L’Autorità di controllo sulla privacy degli italiani ammonisce e pubblica in Gazzetta ufficiale un “avvertimento formale” destinato alla Regione Campania.
Il Garante nello stesso testo avvisa anche le altre Regioni italiane specificando il suo “no alle iniziative locali che violano la normativa privacy”.
Vincenzo De Luca aveva annunciato la card vaccinale pochi mesi fa (gennaio 2021) con entusiasmo e con il suo savoir faire, nel frattempo noi ne avevamo parlato rimarcando ciò che il Garante pubblica solo oggi in Gazzetta ufficiale, appunto che “l’iniziativa è priva di una idonea base giuridica”.
Il Presidente della Regione Campania avrebbe dovuto sapere ciò che viene indicato all’interno del Provvedimento del 25 maggio (Registro provvedimenti GPDP n. 207), ma anche dell’ammonimento fatto al Governo questo 23 aprile.
Ma andiamo nel dettaglio a leggere su cosa punta la sua attenzione il Garante della privacy: 1) inidoneità della base giuridica; 2) criticità del sistema di rilascio delle certificazioni verdi; 3) principio di trasparenza; 4) principi di limitazione della conservazione e di integrità e riservatezza; 5) valutazione di impatto sulla protezione dei dati.
L’Autorità di controllo emette il provvedimento in risposta all’ordinanza n. 17 del 6 maggio 2021 che il Presidente della Regione Campania ha introdotto sul territorio regionale e che contiene “disposizioni per la ripresa in sicurezza delle attività economiche, culturali e sociali”.
Per quanto riguarda la base giuridica (primo punto che il Garante mette in elenco) si legge nel testo che “il decreto legge n. 52/2021 non rappresenti, allo stato, una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale”, questo perché lo stesso decreto “risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice in materia di protezione dei dati personali (artt. 2-ter e 2-sexies)”.
Il Presidente del Garante nell’audizione informale alla Camera del 6 maggio aveva anche avvisato che la “competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali” ricade nelle materie “assoggettate alla riserva di legge statale (Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/21)”.
Sempre al punto 1 del provvedimento si scrive che la Corte Costituzionale ha recentemente evidenziato che “la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell’art. 117, secondo comma, lettera q), Cost.” (Ordinanza n. 4/21).
Al punto 2 si specifica invece, relativamente alla “smart card”, che non si è “tenuto adeguatamente conto dei rischi che l’implementazione della misura determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal Regolamento e a tutelare i diritti degli interessati (art. 25, par. 1, del Regolamento)”.
Al punto 3 invece il Garante, in primis ricorda che il decreto legge n. 52/2021 contrasta con il principio di trasparenza perché “non indica, in modo chiaro, le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento)”, poi aggiunge che l’ordinanza del Presidente della Regione Campania “non individua in modo puntuale i soggetti” che trattano le informazioni e che “possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni verdi”, inoltre che si dispone in Campania “un sistema di rilascio e di verifica, difforme da quello individuato a livello nazionale e su cui sono stati forniti dei primi chiarimenti da parte del Ministero della salute con la richiamata nota del 6.5.2021”.
Il Garante infine dice che, come per il decreto legge n. 52/2021, le disposizioni dell’ordinanza del Presidente della Regione Campania “violano anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento)”. Ma le disposizioni dell’ordinanza non forniscono neppure “adeguata garanzia anche in merito al rispetto del principio di integrità e riservatezza”.
“L’introduzione delle certificazioni verdi nel territorio campano – conclude così i cinque punti il Garante – con le modalità indicate nella predetta ordinanza determina un trattamento sistematico di dati personali, anche relativi alla salute, su larga scala, che presenta un rischio elevato per i diritti e le libertà degli interessati in relazione alle conseguenze che possono derivare alle persone con riferimento alla limitazione delle libertà personali”.
Andrea Ippolito
