Il Garante privacy continua ad avvisare e ricordare al Governo che vige l’obbligo di rispettare la disciplina in materia di protezione dei dati personali per quello che concerne la normativa sul Green pass.
Già il 1 marzo l’Autority aveva ammonito con una nota intitolata: “Garante privacy, no a ‘pass vaccinali’ per accedere a locali o fruire di servizi senza una legge nazionale”.
All’interno del testo, il Garante faceva presente di essere a conoscenza delle discussioni in riguardanti “l’opportunità di iniziare a implementare soluzioni, anche digitali (ad esempio le app), per rispondere all’esigenza di rendere l’informazione sull’essersi o meno vaccinati come condizione per l’accesso a determinati locali o per la fruizione di taluni servizi (es. aeroporti, hotel, stazioni, palestre ecc.)”, ma richiamava “l’attenzione dei decisori pubblici e degli operatori privati italiani sull’obbligo di rispettare la disciplina in materia di protezione dei dati personali“.
Inoltre l’Autority avvisava che “i dati relativi allo stato vaccinale…sono dati particolarmente delicati e un loro trattamento non corretto può determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone: conseguenze che, nel caso di specie, possono tradursi in discriminazioni, violazioni e compressioni illegittime di libertà costituzionali”.
Successivamente però l’Ente emetteva un avvertimento formale titolando così la nota: “Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19 prevista dal d.l. 22 aprile 2021, n. 52 – 23 aprile 2021”.
A tal proposito Guido Scorza, Componente del Garante per la protezione dei dati personali, in un’intervista del 22 aprile rilasciata ad Open online specificava che da regolamento europeo loro dovrebbero ricevere la bozza del provvedimento normativo sul quale viene chiesto di fornire un parere, “per poi procedere all’implementazione. Al momento, – affermava Scorza – a meno che non stia arrivando mentre parliamo, non ci è ancora arrivato nulla”.
Nell’avvertimento del 23 aprile il Garante analizzava in sei punti ben definiti le criticità del certificato verde digitale e/o pass vaccinale, e quindi la mancata consultazione del Garante; l’inidoneità della base giuridica; il principio di minimizzazione dei dati; il principio di esattezza; il principio di trasparenza; i principi di limitazione della conservazione e di integrità e riservatezza, poi concludeva così: “…occorre rilevare che la disciplina della certificazione verde delineata dal decreto legge del 22 aprile 2021, n. 52, risulta pertanto non proporzionata rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito, in quanto non individua puntualmente le finalità per le quali si intende utilizzare la certificazione verde e, in ossequio ai principi di privacy by design e by default, le misure adeguate per garantire la protezione dei dati, anche appartenenti a categorie particolari, in ogni fase del trattamento, e un trattamento corretto e trasparente nei confronti degli interessati (artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32 del Regolamento)”.
Mentre in un’intervista rilasciata ieri a La Stampa, il presidente del Garante per la protezione dei dati personali spiega perché l’Autority ha contestato la norma emanata dal Governo italiano e perché la parte del Decreto legge (Decreto riaperture) che istituisce il pass vaccinale non è chiara, non tutela la privacy dei cittadini e va modificata.
“Così com’è, la norma non circoscrive sufficientemente l’ambito di utilizzo dei pass, con il rischio di interpretazioni, magari in buona fede, che però abbiano l’effetto di estenderne indebitamente il perimetro. Non vi è – afferma il presidente Pasquale Stanzione – una chiara definizione dei protagonisti del trattamento (titolare e responsabile in particolare) necessaria invece, a tacer d’altro, per l’esercizio, da parte degli interessati, dei diritti loro riconosciuti dalla disciplina privacy. Inoltre, la previsione di due modelli diversi di pass a seconda che siano tampone negativo o da guarigione o, invece, da vaccino andrebbe sostituita dall’indicazione della sola scadenza temporale del certificato. Vanno poi introdotte garanzie adeguate alla natura dei dati trattati, che sono sensibili».
Riportiamo qui un’altra delle sottolineature di Stanzione, il quale risponde ad una domanda dove viene chiesto come si possa rispettare la privacy riguardo al certificato verde digitale che il Parlamento dell’Unione europea sta mettendo a punto: “Come abbiamo riferito in Senato, il draft di regolamento, pur con qualche modifica che il Garante europeo per la privacy e il Board hanno richiesto, sottende un equilibrio ponderato tra privacy, esigenze sanitarie e libertà di circolazione, in quanto contempla garanzie adeguate per evitare trattamenti indebiti dei dati e, tramite essi, discriminazioni nei confronti di quanti non vogliano o non possano vaccinarsi”.
Andrea Ippolito
