Il Garante per la protezione dei dati personali ha adottato un provvedimento con il quale ha “avvertito” formalmente la Regione Campania che il sistema di certificazione di avvenuta vaccinazione, guarigione o negatività, promosso per favorire la ripresa in sicurezza delle attività economiche, culturali e sociali, non è conforme alla norma.
In base all’istruttoria avviata dal Garante è emerso che l’iniziativa è priva di una idonea base giuridica. Disposizioni di questa natura, che condizionano diritti e libertà personali sono ammissibili, infatti, solo se previsti da una idonea normativa nazionale e non da un’ordinanza regionale. Tale ordinanza, tra le altre cose, oltrepassa il perimetro disegnato dal DL 52 del 22/04/2021 (c.d. Decreto Riaperture).
Ma andiamo con ordine e vediamo quali sono le tappe di questa imbarazzante situazione che si è venuta a creare.
1 – DL 52/2021
Tutto ha inizio con il Decreto Legge 52/2021 del 22 aprile. In questo decreto vengono previste misure urgenti per la graduale ripresa delle attivita’ economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19. (21G00064) (GU Serie Generale n.96 del 22-04-2021).
Nel DL 52/2021 viene introdotta la “Certificazione Verde Covid 19” (Art.9) e ne viene spiegato l’utilizzo che il Governo intende fare di tale certificazione.
Infatti, l’art.2, comma 1 e 3, spiegano che tali misure servono a regolare e consentire gli spostamenti in entrata e in uscita dai territori collocati in zona arancione o rossa dove, oltre che per comprovate esigenze lavorative o per situazioni di necessità o per motivi di salute, nonché per il rientro ai propri residenza, domicilio o abitazione, anche ai soggetti muniti delle “certificazioni verdi covid-19” di cui all’art.9. Il comma 3 poi estende l’utilizzo della Certificazione Verde anche per gli spostamenti all’estero.
Nell’art.9 viene poi declinato in maniera relativamente completa cosa si intende per Certificato Verde e a quali contesti ne è riferito l’utilizzo.
Uno degli aspetti degni di interesse è la necessità che contestualmente al rilascio si provveda a rendere disponibile la certificazione nel fascicolo sanitario elettronico dell’interessato.
Il Legislatore inoltre, al comma 6 si è premurato di segnalare che le certificazioni verdi COVID-19 rilasciate ai sensi del DL 52/2021 dovranno riportare esclusivamente i dati indicati nell’allegato 1, dove i dati identificativi sono ridotti al minimo.
Al comme 9, viene poi precisato che le disposizioni relative al Pass verde sono applicabili in ambito nazionale fino alla data di entrata in vigore degli atti delegati per l’attuazione delle disposizioni di cui al regolamento del Parlamento europeo e del Consiglio su un quadro per il rilascio, la verifica e l’accettazione di certificazioni interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione all’interno dell’Unione Europea durante la pandemia di COVID-19 che abiliteranno l’attivazione della Piattaforma nazionale – DGC.
2 – Provvedimento di “avvertimento” Garante Privacy del 23 aprile per Min.Salute e altri
E’ appena passato un giorno e il Garante lancia il primo missile terra aria.
Per i profili di competenza dell’Autorità, viene osservato al ministero della salute che il decreto legge del 22 aprile 2021, n. 52, non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale. Viene inoltre segnalato che il provvedimento è mancante di una serie di elementi, che dovrebbero invece caratterizzare dispositivi che prevedono trattamenti così sensibili, ovvero:
- Mancata consultazione del Garante
- Inidoneità della base giuridica
- Principio di minimizzazione dei dati
- Principio di esattezza
- Principio di trasparenza
- Principi di limitazione della conservazione e di integrità e riservatezza
L’autorità conclude il suo avvertimento raccomandando di integrare opportunamente il Decreto in fase di conversione in Legge in modo da sanare le difformità rilevate.
3 – 6 maggio – ORDINANZA N.17 DEL 6 MAGGIO 2021 a firma del Pres. della Regione Campania V. De Luca.
Il 6 maggio ecco che invece arriva l’ordinanza regionale con cui il presidente De Luca fornisce ulteriori misure per la prevenzione e gestione dell’emergenza epidemiologica da COVID-19 per la ripresa in sicurezza delle attività economiche, culturali e sociali.
Sul sito della Regione Campania vi è anche un “sottotitolo” a presentare il dispositivo: “I VANTAGGI DELLA CARD VACCINALE” “che contiene disposizioni per la ripresa in sicurezza delle attività economiche, culturali e sociali.”
L’ordinanza campana introduce, inoltre, l’utilizzo di smart card come “sistema di rilascio di certificazione di avvenuta vaccinazione” senza specificare la titolarità del trattamento, chi può accedere e usare le informazioni, chi può controllare la validità e l’autenticità delle certificazioni. Il progetto è quello di abilitare i possessori della card a una serie di attività socio-economiche (partecipazione ai matrimoni, eventi, turismo etc.) e facilitare quindi la ripresa economica.
4 – 6 maggio – il Garante approccia informalmente.
Il 6 maggio stesso, in tempo zero, il Garante privacy reagisce all’ordinanza della Regione Campania effettuando un’audizione informale presso le I II e XII commissioni riunite della Camera per far presente che il DL52/2021 presentava varie carenze come l’indeterminatezza delle finalità dei trattamenti relativi alle “certificazioni verdi”. In audizione rammenta il provvedimento di avvertimento del 23/4/2021.
Sempre il 6 maggio: Il ministero della salute, con una nota del 6 maggio (7754), specifica a tutti i soggetti interessati che “le certificazioni verdi sono state concepite per favorire gli spostamenti tra le regioni italiane in condizioni di sicurezza nel rispetto delle garanzie di protezione dei dati personali ribadendo il concetto che servono per spostarsi tra regioni arancioni / Rosse.”
5 – Provvedimento del 25 maggio 2021 vs regione campania (ma in generale è un richiamo all’ordine per tutti)
Arriva il secondo missile terra aria. Questa volta l’avvertimento è per la Regione Campania che con la sua ordinanza ha introdotto un sistema di rilascio e di verifica della vaccinazione difforme da quelli individuati a livello nazionale e, soprattutto, che mette a rischio l’interoperabilità delle certificazioni a livello nazionale ed europeo, in contrasto proprio con la finalità di agevolare la libera circolazione all’interno dell’Unione Europea durante la pandemia di Covid-19.
A Regione Campania vengono contestate:
– Inidoneità della base giuridica
– criticità del sistema di rilascio delle certificazioni verdi
– Principio di trasparenza (come per il DL 52/2021) e non è indicata la titolarità del trattamento! (GRAVE)
– Principi di limitazione della conservazione e di integrità e riservatezza
– Valutazione di impatto: non è stata resa disponibile, si presume quindi che non sia stata eseguita.
L’autorità chiude l’avvertimento spiegando perchè la certificazione/smart card di completamento della vaccinazione elaborato dalla Campania non è conforme:
- Si basa su un DL che sarà modificato in sede di conversione di legge per assorbire le modifiche richieste dal garante con il suo provvedimento del 23 aprile vs il governo. Ad ogni buon conto, non è in linea nemmeno con il DL attuale.
- I trattamenti che si propongono non hanno una base legale (occorre una norma nazionale per i trattamenti che intende fare la regione campania) e non possono quindi “poggiare” sul DL 52/2021 richiamato nell’ordinanza.
- Introduce la smart card violando principi di liceità, trasparenza, privacy by design e by default in ogni fase del trattamento.
Vedremo come il Team di protezione dei dati personali della Campania e quindi la Preseidenza Regionale, risponderà alle osservazioni dell’Autorità.