Gazzetta n. 104 del 3 maggio 2021 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERA 23 aprile 2021
Avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per COVID-19, prevista dal decreto-legge 22 aprile 2021, n. 52. (Provvedimento n. 156).


IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, «Regolamento generale sulla protezione dei dati» (di seguito «Regolamento»);
Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 30 giugno 2003, di seguito «Codice»);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Pasquale Stanzione;

Premesso

Con il decreto-legge del 22 aprile 2021, n. 52, sono state introdotte misure urgenti per contenere e contrastare l'emergenza epidemiologica da Covid-19 concernenti anche gli spostamenti sul territorio nazionale, le modalita' di svolgimento di spettacoli aperti al pubblico ed eventi sportivi e di fiere, convegni e congressi.
In particolare, il decreto prevede che gli spostamenti in entrata e in uscita dai territori delle regioni e delle province autonome collocati in zona arancione o rossa siano consentiti anche ai soggetti muniti delle certificazioni verdi (art. 2). Tali certificazioni inoltre possono costituire condizione di accesso a eventi qualora previsto dalle linee guida adottate dalla Conferenza delle regioni o delle province autonome o dal sottosegretario in materia di sport (art. 5, comma 4). Le linee guida adottate ai sensi dell'art. 1, comma 14, decreto-legge n. 33/2020 possono prevedere che l'accesso a fiere, convegni e congressi possa essere riservato soltanto ai soggetti in possesso delle certificazioni verdi (art. 7, comma 2).
Il decreto prevede che le certificazioni verdi possano essere rilasciate, su richiesta dell'interessato, al fine di attestare il completamento del ciclo vaccinale, l'avvenuta guarigione da Covid-19 e l'effettuazione di test antigenico rapido o molecolare con esito negativo al virus SARS-COV-2 (art. 9, comma 2).
Il decreto dispone una diversa durata della validita' delle predette certificazioni in relazione alle condizioni per il rilascio: sei mesi in caso di completamento del ciclo vaccinale e di avvenuta guarigione, quarantotto ore in caso di test con esito negativo (art. 9 commi 3, 4 e 5).
Le disposizioni relative alla certificazione verde sono applicabili in ambito nazionale, fino alla data di entrata in vigore degli atti delegati per l'attuazione delle disposizioni di cui al regolamento del «Parlamento europeo e del Consiglio su un quadro per il rilascio, la verifica e l'accettazione di certificazioni interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione all'interno dell'Unione europea durante la pandemia di Covid-19 che abiliteranno l'attivazione della Piattaforma nazionale» digital green certificate (Piattaforma nazionale-DGC) (art. 9, comma 9).
Il decreto-legge prevede inoltre che con decreto del Presidente del Consiglio dei ministri, adottato di concerto con i Ministri della salute, dell'innovazione tecnologica della transizione digitale e dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali, siano stabilite: «le specifiche tecniche per assicurare l'interoperabilita' delle certificazioni verdi COVID-19 e la piattaforma nazionale per il DGC, nonche' tra questa e le analoghe piattaforme istituite negli altri Stati membri dell'Unione europea, tramite il Gateway europeo», «i dati che possono essere riportati nelle certificazioni verdi COVID-19, le modalita' di aggiornamento delle certificazioni, le caratteristiche e le modalita' di funzionamento della piattaforma nazionale - DCG, la struttura dell'identificativo univoco delle certificazioni verdi Covid-19 e del codice a barre interoperabile che consente di verificare l'autenticita', la validita' e l'integrita' delle stesse, l'indicazione dei soggetti deputati al controllo delle certificazioni, i tempi di conservazione dei dati raccolti ai fini dell'emissione delle certificazioni, e le misure per assicurare la protezione dei dati personali contenuti nelle certificazioni» (art. 9, comma 10).
Dalla data di entrata in vigore del decreto-legge e nelle more dell'adozione del predetto decreto attuativo, le strutture sanitarie pubbliche e private, le farmacie, i medici di medicina generale e i pediatri di libera scelta possono comunque rilasciare le predette certificazioni verdi assicurando «la completezza degli elementi indicati» nell'allegato 1 al decreto.

Osserva

Per i profili di competenza dell'Autorita' si osserva che il decreto-legge del 22 aprile 2021, n. 52, non rappresenta una valida base giuridica per l'introduzione e l'utilizzo dei certificati verdi a livello nazionale.
Nel progettare l'introduzione della certificazione verde, quale misura volta a contenere e contrastare l'emergenza epidemiologica da Covid-19, si ritiene che non si sia tenuto adeguatamente conto dei rischi, di seguito illustrati, che l'implementazione della misura determina per i diritti e le liberta' degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal regolamento (UE) 2016/679 e a tutelare i diritti degli interessati (art. 25, par. 1, del regolamento).
In particolare, si ritiene che le disposizioni di cui al decreto-legge del 22 aprile 2021, n. 52, presentino le seguenti criticita':

1. Mancata consultazione del Garante
In via preliminare, si rileva che, in violazione dell'art. 36, par. 4, del regolamento, il decreto-legge del 22 aprile 2021, 52, e' stato adottato senza che il Garante sia stato consultato.
Il tempestivo e necessario coinvolgimento dell'Autorita', previsto anche «durante l'elaborazione di una proposta di atto legislativo», oltre a evitare il vizio procedurale, avrebbe consentito all'Autorita' di indicare tempestivamente modalita' e garanzie contribuendo all'introduzione di una misura necessaria al contenimento dell'emergenza epidemiologica, rispettosa della disciplina in materia di protezione dei dati personali fin dalla progettazione.
Il carattere di urgenza della norma non costituisce condizione ostativa al preventivo coinvolgimento dell'Autorita', atteso che il Garante, nell'ultimo anno, consapevole della necessita' che le disposizioni sottoposte alla sua attenzione fossero adottate tempestivamente, ha sempre reso i pareri di propria competenza sugli atti normativi predisposti in merito all'emergenza sanitaria in tempi molto ristretti, fornendo, laddove necessario, il proprio parere anche d'urgenza a firma del Presidente (cfr. ex multis parere sulla proposta normativa per la previsione di un'applicazione volta al tracciamento dei contagi da Covid-19 del 29 aprile 2020; Parere su uno schema di disposizione normativa volta a consentire indagini di sieroprevalenza sul SARS-COV-2 al Ministero della salute e all'Istat per finalita' epidemiologiche e statistiche del 4 maggio 2020; Autorizzazione al Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19, di cui all'art. 6 del decreto-legge 30 aprile 2020, n. 20 del 1° giugno 2020; Parere su schema di decreto del Ministero dell'economia e delle finanze, di concerto con il Ministero della salute, relativo ai trattamenti di dati personali effettuati tramite il Sistema tessera sanitaria nell'ambito del sistema di allerta Covid 19 di cui all'art. 6, comma 1 del decreto-legge n. 30 aprile 2020, n. 28 del 1° giugno 2020; Parere d'urgenza del Presidente al MEF sulla ricetta elettronica dematerializzata del 19 marzo 2020, ratificato dal Collegio il 26 marzo 2020).
Al riguardo, si evidenzia che, gia' in data 8 aprile u.s., il Presidente dell'Autorita' aveva rappresentato alla Commissione affari costituzionali del Senato della Repubblica la necessita' di un coinvolgimento preventivo dell'Autorita' nel processo legislativo, in relazione all'introduzione dei passaporti vaccinali, richiamando la proficua collaborazione istituzionale fornita con riferimento anche al sistema nazionale di allerta Covid (Memoria del Presidente del Garante - Profili costituzionali dell'eventuale introduzione di un «passaporto vaccinale» per i cittadini cui e' stato somministrato il vaccino anti SARS COV-2 dell'8 aprile 2021).
Nell'imminenza dell'adozione del predetto decreto legge, il Presidente ha inoltre inviato una nota al Presidente del Consiglio dei ministri e al Ministro della salute proprio in merito al necessario coinvolgimento dell'Autorita' in fase di adozione dell'atto normativo in materia di passaporti vaccinali (note del 21 aprile 2021).
Si segnala inoltre che l'introduzione della certificazione verde, quale misura volta a contenere e contrastare l'emergenza epidemiologica da Covid-19, determinando un trattamento sistematico di dati personali, anche relativi alla salute, su larga scala, che presenta un rischio elevato per i diritti e le liberta' degli interessati in relazione alle conseguenze che possono derivare alle persone con riferimento alla limitazione delle liberta' personali, avrebbe reso sicuramente opportuno effettuare una preventiva valutazione di impatto ai sensi dell'art. 35, par. 10 del regolamento. Cio', in particolare, in quanto la misura, prevista dal decreto legge, entra in vigore sin dal giorno successivo alla sua pubblicazione.

2. Inidoneita' della base giuridica
Come anzidetto il predetto decreto-legge non rappresenta una valida base giuridica per l'introduzione e l'utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal regolamento (articoli 6, par. 2 e 9) e dal codice in materia di protezione dei dati personali (articoli 2-ter e 2-sexies).
In via principale, l'impianto normativo non fornisce un'indicazione esplicita e tassativa delle specifiche finalita' perseguite attraverso l'introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalita' della norma, richiesta dall'art. 6 del regolamento , anche alla luce di quanto affermato dalla Corte costituzionale nella sentenza n. 20 del 21 febbraio 2019, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalita' legittima perseguita.
Come rappresentato dal Presidente dell'Autorita' nella citata memoria, soltanto una legge statale puo' subordinare l'esercizio di determinati diritti o liberta' all'esibizione di tale certificazione. Alla luce di cio', si palesa, in primo luogo, l'indeterminatezza delle finalita' della disposizione relativa alla introduzione delle certificazioni verdi, determinata dalla mancata individuazione puntuale delle fattispecie in cui possono essere utilizzate con esclusione dell'utilizzo di tali documenti in altri casi non espressamente previsti dalla legge.
La mancata specificazione delle finalita' per le quali possono essere utilizzate le predette certificazioni assume infatti particolare rilievo con riferimento alla possibilita' che tali documenti possano successivamente essere ritenuti una condizione valida anche per l'accesso a luoghi o servizi o per l'instaurazione o l'individuazione delle modalita' di svolgimento di rapporti giuridici, allo stato non espressamente indicati nel decreto-legge (es. in ambito lavorativo o scolastico).
L'assenza di una puntuale indicazione delle finalita' non consente neanche una valutazione in ordine alla compatibilita' delle predette certificazioni con quanto previsto a livello europeo, tenuto peraltro anche conto che il loro utilizzo sembrerebbe essere temporaneo in attesa dell'adozione delle analoghe certificazioni individuate dall'Unione europea.
Al riguardo, si rileva che la norma risulta anche priva dell'indicazione delle motivazioni in forza delle quali si rende necessario introdurre, in via provvisoria, le predette certificazioni verdi, stante la prossima adozione della proposta di regolamento del Parlamento europeo e del Consiglio sul certificato verde digitale (2021/0068 (COD) del 17 marzo 2021), con riferimento alla quale sono state fornite indicazioni dal Comitato europeo per la protezione dei dati (EDPB) e dall'European Data Protection Supervisor (EDPS) nel parere congiunto reso il 31 marzo 2021 (EDPB-EDPS Joint Opinion 04/2021 on the Proposal for a Regulation of the European Parliament and of the Council on a framework for the issuance, verification and acceptance of interoperable certificates on vaccination, testing and recovery to facilitate free movement during the Covid-19 pandemic (Digital Green Certificate).
La mancata indicazione delle motivazioni che hanno indotto il Governo all'adozione provvisoria delle predette certificazioni, in attesa degli analoghi documenti previsti a livello unionale, non permette infine di valutare se lo stesso abbia tenuto in debita considerazione i rischi di eventuali disallineamenti in merito alle caratteristiche e alle funzionalita' dei due documenti.
Si evidenzia poi che le previsioni secondo cui, nelle more dell'adozione del previsto decreto di attuazione, e' ammesso l'utilizzo delle certificazioni verdi redatte sulla base di quanto indicato nell'allegato 1 al decreto e dei certificati di guarigione rilasciati dalle strutture sanitarie, prima dell'entrata in vigore del decreto legge, non risultano conformi alla disciplina in materia di protezione dei dati personali, in quanto tali documenti risulterebbero essere rilasciati in assenza delle misure che saranno individuate con il decreto delegato indicato nell'art. 9, comma 10 (art. 9, commi 4 e 10).

3. Principio di minimizzazione dei dati
Il decreto-legge viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalita' per le quali sono trattati (art. 5, par. 1 lettera c) del regolamento ).
In particolare, atteso che, in virtu' di quanto disposto dagli articoli 2, 5 e 7 del decreto, gli spostamenti in entrata e in uscita dai territori delle regioni e delle province autonome collocati in zona arancione o rossa sono consentiti anche ai soggetti muniti delle certificazioni verdi e che la partecipazione a determinati eventi e manifestazioni aperte al pubblico puo' essere condizionata all'esibizione di tali certificazioni, si ritiene che le stesse debbano riportare esclusivamente i seguenti dati: dati anagrafici necessari a identificare l'interessato; identificativo univoco della certificazione; data di fine validita' della stessa.
Tali dati si configurano infatti quali necessari a consentire ai soggetti preposti ai controlli di verificare che la persona che esibisce la certificazione si trovi in una delle condizioni indicate dal decreto (vaccinazione, guarigione o test negativo) per usufruire della certificazione verde (in tal senso cfr. anche la posizione espressa dal Comitato europeo per la protezione dei dati (EDPB) e dall'European Data Protection Supervisor (EDPS) nel parere congiunto reso il 31 marzo 2021).
Alla luce del predetto principio di minimizzazione, si ritiene infatti che non sia pertinente indicare sulla certificazione ulteriori informazioni e che non sia necessario l'utilizzo di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo) in forza della quale le stesse sono rilasciate, atteso che il decreto non prevede ipotesi diverse per il relativo utilizzo.
La verifica sulla validita' della certificazione, in funzione della diversa durata di validita' della stessa, puo' essere utilmente effettuata sulla base dell'indicazione nella certificazione della data di fine validita' della stessa, campo attualmente non previsto tra quelli indicati nell'allegato 1 al decreto.
In conformita' al richiamato principio di minimizzazione del dato, tali informazioni sarebbero sufficienti a consentire la verifica dei documenti senza far conoscere, al soggetto deputato al controllo, la condizione, anche relativa a vicende sanitarie dell'interessato, in funzione della quale la stessa e' stata rilasciata.
Cio' stante, la previsione di tre differenti modelli di certificazioni verdi in funzione della condizione in cui versa l'interessato e l'indicazione sulle stesse di numerosi dati personali, anche relativi alla salute, espressamente elencati nell'allegato 1 al decreto, si pongono in contrasto con il citato principio di minimizzazione dei dati.

4. Principio di esattezza
Il decreto-legge del 22 aprile 2021, 52, si ritiene violi anche il principio di esatezza dei dati secondo cui gli stessi devono essere esatti e, se necessario, aggiornati e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalita' per le quali sono trattati (art. 5, par. 1, lettera d) del regolamento).
Considerato che, secondo quanto indicato nel decreto, l'utilizzo delle predette certificazioni costituirebbe una delle condizioni per consentire gli spostamenti dalle regioni e province autonome collocati in zona arancione o rossa, ovvero per limitare la liberta' di spostamento individuale, nonche' per poter partecipare ad eventi e manifestazioni aperte al pubblico, e' necessario che le stesse siano redatte sulla base di informazioni esatte e aggiornate. Il requisito di esattezza dei dati si pone infatti come essenziale nella valutazione della proporzionalita' della limitazione e della idoneita' della misura di contenimento e contrasto dell'emergenza epidemiologica da Covid-19.
La previsione transitoria secondo cui, nelle more dell'adozione del decreto attuativo che istituisce la piattaforma nazionale DGC, sia consentito l'utilizzo delle certificazioni di guarigione rilasciate prima dell'entrata in vigore del decreto-legge e delle certificazioni verdi redatte sulla base dell'allegato 1 al predetto decreto appare in contrasto con il principio di esattezza dei dati, ponendo inoltre significativi rischi in ordine alla reale efficacia della misura di contenimento e alla compromissione indebita dei diritti e delle liberta' fondamentali dell'interessato.
Il predetto sistema transitorio non consente infatti di verificare l'attualita' delle condizioni attestate nella certificazione, perche' non puo' tener conto, in assenza della piattaforma, delle eventuali modificazioni delle condizioni relative all'interessato (sopraggiunta positivita') successive al momento del rilascio della stessa (art. 9, comma 4).

5. Principio di trasparenza
Il decreto-legge viola il principio di trasparenza non indicando in modo chiaro le puntuali finalita' perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all'emissione e al controllo delle certificazioni verdi (articoli 5, par. 1, lettera e) e 6, par. 3, lettera b) del regolamento). Il decreto infatti, oltre a non individuare in modo puntuale le finalita', non indica i soggetti che trattano le predette informazioni e che possono accedervi, nonche' quelli deputati a controllare la validita' e l'autenticita' delle certificazioni verdi.
Al riguardo, si rappresenta che il decreto-legge non specifica la titolarita' dei trattamenti effettuati ai fini dell'emissione e del controllo delle predette certificazioni verdi e in particolare di quelli posti in essere attraverso la «Piattaforma Nazionale DGC» per l'emissione e validazione delle certificazioni verdi digitali Covid-19. Tale piattaforma, secondo quanto indicato nell'art. 9 del decreto, costituirebbe il sistema informativo nazionale per il rilascio e la verifica e l'accettazione di certificazioni Covid-19 interoperabili a livello nazionale ed europeo. In particolare, si rileva che il decreto-legge non individua l'Ente presso il quale sara' istituita la predetta piattaforma e non specifica la connessa titolarita' dei trattamenti dei dati personali effettuati attraverso tale sistema informativo.
L'assenza di indicazioni in ordine alla titolarita' del trattamento non consente pertanto agli interessati di esercitare i diritti in materia di protezione dei dati personali previsti dal regolamento (articoli 15 e ss. del regolamento).

6. Principi di limitazione della conservazione e di integrita' e riservatezza
Le disposizioni del decreto violano anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalita' per le quali sono trattati (articoli 5, par. 1, lettera e) e 6, par. 3, lettera b) del regolamento).
Cio' assume particolare rilievo tenuto conto che le disposizioni sembrerebbero introdurre misure temporanee, destinate a essere sostituite da quelle individuate in sede europea.
Si rileva inoltre che le disposizioni del decreto non forniscono adeguata garanzia rispetto al principio di integrita' e riservatezza, atteso che non sono indicate le misure che si intende adottare per garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (articoli 5, par. 1, lettera f) e 32 del regolamento).

Ritenuto

Alla luce delle rilevanti criticita' sopra illustrate, occorre rilevare che la disciplina della certificazione verde delineata dal decreto-legge del 22 aprile 2021, n. 52, risulta pertanto non proporzionata rispetto all'obiettivo di interesse pubblico, pur legittimo, perseguito, in quanto non individua puntualmente le finalita' per le quali si intende utilizzare la certificazione verde e, in ossequio ai principi di privacy by design e by default, le misure adeguate per garantire la protezione dei dati, anche appartenenti a categorie particolari, in ogni fase del trattamento, e un trattamento corretto e trasparente nei confronti degli interessati (articoli 5, 6, par. 3, lettera b), 9, 13, 14, 25 e 32 del regolamento).
Considerato che l'utilizzo della certificazione verde e' operativo a partire dal giorno successivo alla pubblicazione del decreto-legge e', quindi, urgente l'esigenza di intervenire al fine di tutelare i diritti e le liberta' degli interessati.
Il regolamento attribuisce al Garante, tra gli altri, il potere di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del regolamento (art. 58, par 2, lettera a)).
Attesi i rischi elevati per le liberta' e i diritti degli interessati, risulta, pertanto, necessario avvertire tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell'interno, dell'innovazione tecnologica e della transizione digitale, dell'economia e delle finanze e degli affari regionali e la Conferenza delle Regioni o delle Province autonome del fatto che i trattamenti di dati personali effettuati nell'ambito dell'utilizzo delle certificazioni verdi di cui al decreto-legge del 22 aprile 2021, n. 52, in assenza di interventi correttivi, possono violare le disposizioni del regolamento di cui agli articoli 5, 6, par. 3, lettera b), 9, 13, 14, 25 e 32.
Il Garante ritiene altresi' di comunicare il presente provvedimento al Presidente del Consiglio dei ministri, per le valutazioni di competenza, rendendosi disponibile a istaurare prontamente un dialogo istituzionale volto al superamento delle predette criticita'.

Tutto cio' premesso, il Garante

a) ai sensi dell'art. 58, par 2, lettera a), del regolamento avverte tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell'interno, dell'innovazione tecnologica e della transizione digitale e dell'economia e delle finanze, degli affari regionali e la Conferenza delle regioni e delle province autonome del fatto che i trattamenti di dati personali effettuati in attuazione delle disposizioni di cui al decreto-legge del 22 aprile 2021, n. 52, sulla base delle motivazioni espresse in premessa, possono violare le disposizioni del regolamento di cui agli articoli 5, 6, par. 3, lettera b), 9, 13, 14, 25 e 32;
b) trasmette copia del presente provvedimento al Presidente del Consiglio dei ministri per le valutazioni di competenza;
c) ai sensi dell'art. 154-bis, comma 3, del codice, dispone la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 23 aprile 2021

Il presidente e relatore: Stanzione Il segretario generale: Mattei