Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Privacy e pass vaccinali: è necessaria un’idonea base giuridica

Con provvedimento di avvertimento n. 156/2021, l’Autorità italiana in materia di protezione dei dati personali interviene “a gamba tesa” sulle certificazioni introdotte dal D.L. n. 52/2021.

Quanto previsto dal Decreto-legge n. 52/2021 non è sufficiente a garantire la tutela dei dati personali dei cittadini italiani. Questa è la conclusione a cui è giunto il Garante italiano in merito all’introduzione della c.d. “certificazione verde” per gli spostamenti all’interno del territorio italiano.

Partiamo dal principio.

La norma citata prevede espressamente che gli spostamenti in entrata e in uscita dai territori delle regioni collocate in zona arancione, o rossa, siano consentiti anche per i soggetti muniti del c.d. “green pass”.

Inoltre, tali documenti possono costituire condizione di accesso a determinati eventi, qualora previsto dalle linee guida adottate dalla Conferenza delle Regioni, o delle Province autonome, o dal sottosegretario in materia di sport.

Le limitazioni alla libertà di spostamento all’interno del territorio italiano sono evidenti, ma soprattutto, introducono una nuova tipologia di certificato idoneo a limitare i diritti e le libertà delle persone fisiche coinvolte, senza una preventiva valutazione del Garante.

Proprio per queste ragioni l’Autorità italiana, lo scorso 23 aprile, ha emanato uno specifico provvedimento di avvertimento.

Analizziamo le criticità evidenziate.

In primis, la mancata consultazione dell’Autorità. La recente misura emergenziale è stata emanata senza la consultazione preventiva del Garante, nonostante gli avvertimenti inviati nella fase di stesura del provvedimento.

L’Autorità ha ribadito che: “Nel progettare l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, si ritiene che non si sia tenuto adeguatamente conto dei rischi, di seguito illustrati, che l’implementazione della misura determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal Regolamento (UE) 2016/679 e a tutelare i diritti degli interessati (art. 25, par. 1, del Regolamento)”.

I maggiori dubbi riguardano, tuttavia, la base giuridica del trattamento: il Governo non ha esplicitato le finalità dell’acquisizione dei dati necessari alla predisposizione del documento.

Si legge nel provvedimento: “[…] l’impianto normativo non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalità della norma, richiesta dall’art. 6 del Regolamento, anche alla luce di quanto affermato dalla Corte Costituzionale nella sentenza n. 20 del 21 febbraio 2019, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita”.

Inoltre, vi è una palese violazione del principio di trasparenza: “Il decreto legge viola il principio di trasparenza non indicando in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento). Il decreto infatti, oltre a non individuare in modo puntuale le finalità, non indica i soggetti che trattano le predette informazioni e che possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni verdi.

Si tratta di un avvertimento, ovvero di un invito ad adeguare le norme emanate ai principi imposti dalla vigente normativa in materia di privacy e trattamento dati personali.

Non si tratta di un episodio isolato. Già in tema di vaccinazione del personale l’Autorità era intervenuta ribadendo la limitazione dei trattamenti e il coinvolgimento obbligatorio del medico competente come unico soggetto autorizzato al trattamento dei dati sanitari dei dipendenti (https://www.garanteprivacy.it/temi/coronavirus/faq#vaccini).

È stata offerta al Governo la massima collaborazione. Attendiamo, ora, la reazione di Draghi: vi sono troppe criticità a cui porre rimedio.