3508
Certificazioni verdi
Il punto di vista del Garante
Francesca Gardini, Ufficio giuridico
Il D.L. del 22 aprile 2021, n. 52, come rappresentato con nostra Circolare n. 90/2021, ha introdotto le certificazioni verdi COVID-19 a livello nazionale, condizionando al relativo rilascio gli spostamenti in entrata e in uscita dai territori delle Regioni e delle Province Autonome collocati in zona arancione o in zona rossa ovvero, laddove previsto dalle linee guida, l’accesso a eventi sportivi, fiere, convegni e congressi il cui svolgimento è previsto in territori collocati in zona gialla.
L’utilizzo delle predette certificazioni, tra l’altro, successivamente è stato esteso alle feste, anche al chiuso, conseguenti alle cerimonie civili o religiose e, come precisato con nostre Circolari nn. 101/2021, 126/2021 e 127/2021, all’accesso alle strutture di ospitalità e lungodegenza, RSA, hospice, strutture riabilitative e strutture residenziali per anziani, anche non autosufficienti e, comunque, a tutte le strutture di cui all’art. 44 del DPCM 12 gennaio 2017, nonché alle strutture residenziali socio-assistenziali.
Le certificazioni, tuttavia, come precisato nel decreto stesso, sono state introdotte a livello nazionale, in via provvisoria, e saranno utilizzabili fino all’entrata in vigore degli atti delegati per l’attuazione delle disposizioni di cui al Regolamento Europeo del 14 giugno 2021 su «un quadro per il rilascio, la verifica e l’accettazione di certificazioni interoperabili per agevolare la libera circolazione all’interno dell’UE durante la pandemia di COVID-19 (EU digital COVID certificate)», che abiliteranno l’attivazione della Piattaforma nazionale digital green certificate (Piattaforma nazionale - DGC) per l’emissione e la validazione delle certificazioni. Piattaforma che, come previsto dal decreto, altro non è che il sistema informativo nazionale attraverso il quale si realizzerà l’emissione, il rilascio e la verifica delle certificazioni COVID-19 interoperabili a livello nazionale ed europeo.
Tale atto normativo, sin dall’annuncio della sua emanazione, ha provocato accesi dibattiti e già il giorno successivo alla sua pubblicazione in G.U. è stato oggetto di un provvedimento del Garante per la protezione dei dati personali (doc. web n. 9578184) che, non ritenendolo una valida base giuridica per l’introduzione e l’utilizzo delle certificazioni verdi a livello nazionale, ha avvertito tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale, dell’economia e delle finanze, e degli affari regionali, nonché la Conferenza delle Regioni e delle Province Autonome, della potenziale violazione delle disposizioni del Regolamento (UE) 2016/679 che avrebbero potuto comportare i trattamenti dei dati personali effettuati nell’ambito dell’utilizzo di tali certificazioni.
L’Autorità ha rappresentato, in particolare, che il decreto non può rappresentare una valida base giuridica per l’introduzione delle certificazioni verdi a livello nazionale, in quanto privo dell’elemento essenziale per valutare la proporzionalità della norma, richiesta dal Regolamento (UE) 2016/679, ovvero le finalità perseguite attraverso l’introduzione della certificazione. Una mancanza che, come precisa il Garante stesso, assume ancora più rilevanza se si considera la circostanza che tali certificazioni possono essere ritenute come condizione valida anche per l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici, allo stato, non espressamente previsti dal decreto legge.
Tanto è vero che, proprio l’indeterminatezza delle finalità per le quali è richiesta all’interessato l’esibizione della certificazione verde, ha favorito l’adozione in talune Regioni di Ordinanze volte a disciplinare l’utilizzo delle predette certificazioni, in contrasto con il principio per cui l’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implicano il trattamento dei dati personali ricade nelle materie assoggettate alla riserva di legge statale. Iniziative che, pertanto, hanno indotto l’Autorità ad intervenire, come nel caso della Regione Campania (doc. web n. 9590466).
Il Garante ha rilevato, altresì, in particolare, la violazione da parte del D.L. dei seguenti principi:
- minimizzazione dei dati, in quanto sarebbe stato sufficiente, attese le ipotesi di utilizzo previste nel decreto, un solo modello di certificazione – senza distinguere tra vaccinazione, guarigione e test negativo – nella quale riportare esclusivamente i dati anagrafici, l’identificativo unico della certificazione e la data di fine validità della stessa;
- trasparenza, non essendo state indicate in modo chiaro le finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti e che possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni. Al riguardo, inoltre, il Garante ha precisato che l’assenza di indicazione del titolare del trattamento dei dati, soprattutto con riferimento alla Piattaforma Nazionale - DGC, non consente agli interessati di esercitare i diritti in materia di protezione dei dati personali previsti dal Regolamento (UE) 2016/679;
- limitazione della conservazione secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco temporale non superiore al conseguimento delle finalità per le quali sono trattati. Il che assume ancora più rilevanza se si considera la valenza temporanea della normativa in commento, destinata a essere sostituita da quella europea;
- integrità e riservatezza, atteso che il decreto non precisa le misure previste per garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale.
Si tratta, tuttavia, di un provvedimento che, essendo stato chiaramente rivolto alle istituzioni che hanno introdotto il sistema di certificazione, non ha riguardato direttamente le nostre strutture associate deputate a rilasciare all’interessato, su richiesta dello stesso, le certificazioni secondo il modello allegato al decreto.
Tanto è vero che, lo stesso Ministero della Salute è intervenuto a precisare che le certificazioni verdi - concepite fondamentalmente come strumento che gli italiani possono utilizzare volontariamente nel frattempo che venga implementato il progetto del rilascio, della verifica e della accettazione delle certificazioni interoperabili a livello europeo - sono esclusivamente esibite al personale delle forze pubbliche senza la possibilità da parte di queste ultime di raccolta, conservazione e successivo trattamento.
Non a caso, del resto, nell’Ordinanza dell’8 maggio u.s. il Ministro della Salute, subordinando l’accesso dei familiari e visitatori alle strutture sanitarie, socio-sanitarie e socio-assistenziali, ivi precisate, al possesso della certificazione verde ha escluso espressamente la loro raccolta e conservazione nonché il successivo trattamento dei dati ivi contenuti da parte delle strutture.
L’impianto normativo del D.L. in tema di utilizzo della certificazione verde a livello nazionale, tuttavia, come già rappresentato nella nostra Circolare n. 90/2021, troverà applicazione fino all’emanazione del DPCM con il quale verrà attivata la Piattaforma nazionale - DGC, il cui schema è stato trasmesso dal Ministero della Salute, lo scorso 7 giugno 2021, al Garante, unitamente alla valutazione di impatto sulla protezione dei dati trattati attraverso la detta Piattaforma e all’informativa da rendere agli interessati.
L’Autorità, con provvedimento del 9 giugno u.s. (doc. web n. 9668064), ha espresso parere favorevole sullo schema del DPCM sottopostogli, individuando alcune prescrizioni volte a rafforzare le garanzie nei confronti dei soggetti i cui dati saranno trattati nell’ambito della Piattaforma nazionale – DGC, e autorizzando il Ministero della Salute ad effettuare il trattamento dei dati connessi al recupero, da parte degli interessati, delle certificazioni tramite il sistema di allerta COVID-19 – App Immuni.
Tale parere, in particolare, è stato condizionato alla realizzazione delle seguenti attività, in sede di conversione, del D.L. 52/2021 (i) specificazione delle finalità del trattamento e introduzione, attesa la limitazione delle libertà personali in gioco, di una riserva di legge statale per l’utilizzo delle certificazioni, (ii) introduzione della possibilità che le certificazioni siano emesse, rilasciate e verificate esclusivamente attraverso le modalità indicate nel DPCM, (iii) modificazione della previsione della natura transitoria delle disposizioni applicabili a livello nazionale, e (iv) previsione dell’applicabilità delle sanzioni di cui all’art. 4 del D.L. 19/2020 anche alle attività poste in essere dai soggetti preposti al controllo delle certificazioni.
Interessante al riguardo notare che le nostre strutture associate, da quanto risulta dal provvedimento del Garante, saranno chiamate a verificare le certificazioni ai fini degli accessi nelle strutture attraverso l’App VerificaC19, unico strumento che consentirà di controllare l’autenticità, la validità e l’integrità della certificazione, nonché di conoscere le generalità dell’interessato, senza venire a conoscenza delle informazioni che ne hanno determinato l’emissione.
Il parere, inoltre, è stato condizionato alla previa valutazione da parte dell’Autorità (a) del trattamento dei dati effettuato nell’ambito della comunicazione alle Regioni delle informazioni relative a test molecolari/antigenici e di certificati di guarigioni trasmessi al Sistema Tessera Sanitaria (STS) da strutture sanitarie e mediche per finalità epidemiologiche, descritte nella valutazione di impatto allegata al decreto, (b) delle misure adottate per assicurare l’integrità, la riservatezza e l’esattezza dei dati trattati nell’ambito della raccolta da parte della Piattaforma delle informazioni relative alla pregressa infezione delle persone vaccinate prima dell’entrata in vigore del DPCM, e (c) del superamento delle criticità rilevate in merito all’App IO, come strumento a disposizione degli interessati per recuperare le certificazioni.
Il Garante, infine, facendo riferimento al trattamento dei dati di contatto degli interessati utilizzati per l’invio del codice univoco autorizzativo generato dalla Piattaforma, ha rilevato la necessità che il decreto venga integrato con la specifica della finalità perseguita e l’individuazione del relativo periodo di conservazione, invitando il Ministero della Salute - individuato espressamente come titolare del trattamento dei dati generati dalla piattaforma dall’art. 42 del D.L. del 31 maggio 2021, n. 77 - a porre in atto iniziative volte a informare gli interessati della delicatezza dei dati riportati nelle certificazione e della circostanza che sono tenuti a esibire le stesse solo ai soggetti preposti ai controlli.
Dovrà essere modificato, altresì, l’allegato F al decreto, contenente le misure di sicurezza della Piattaforma, nella parte relativa ai dati oggetto di registrazione (codice fiscale, canale di accesso, modalità di autenticazione, data e ora dell’accesso, sito operazione, tipologia di certificato recuperato e tipologia di codice univoco nazionale associato al tipo di evento sanitario) e ai relativi tempi di conservazione (12 mesi), prevedendo espressamente che tali registrazioni siano usate ai soli fini della verifica della liceità del trattamento e per garantire l’integrità e la riservatezza dei dati personali.
Il DPCM sul quale il Garante ha espresso il parere sopra riportato è stato pubblicato in G.U. il 17 giugno u.s. come comunicato con circolare n. 135/2021, dunque, attesa la prossima applicazione del Regolamento Europeo (1° luglio 2021), non resta che attendere la conversione in legge del D.L. 52/2021.