Passaporto Vaccinale: il Garante Privacy boccia il Governo

Con le campagne di vaccinazione in corso, prosegue anche il dibattito sul passaporto vaccinale, la certificazione che attesta l’avvenuta vaccinazione e quindi la possibilità di viaggiare all’estero o di frequentare luoghi pubblici o eventi come partite e concerti.

Al momento, il “Green Pass” (“green” nel senso di “semaforo verde”; non c’è alcun legame con il tema dell’ambiente) non esiste ancora, ma la Commissione europea ha stilato le linee guida per quello che viene chiamato “Certificato Verde Vaccinale” e in Italia sono iniziate le prime sperimentazioni, in ordine sparso, da parte delle Regioni.

Nel Lazio, ad esempio, tutti coloro che hanno completato la vaccinazione per il Covid-19 possono richiedere un certificato digitale che viene incluso nel proprio fascicolo sanitario elettronico. A Bolzano, invece, chi ottiene il Green Pass potrà accedere a ristoranti e partecipare ad eventi. Si tratta in questo caso di un certificato che ha valenza solo locale e sarà gestito con un’app dedicata per lo smartphone.

La proposta di un Certificato Verde Digitale da utilizzare come passaporto vaccinale per muoversi liberamente nei Paesi membri in Europa è arrivata il 17 marzo 2021 dalla Commissione Europea. L’ente ha stilato le linee guida che ogni Stato dovrà seguire per la creazione del proprio passaporto vaccinale, che dovrà necessariamente essere digitale e dotato di un QR code e una firma digitale affinché ne sia impedita la falsificazione.

Il certificato dovrebbe quindi essere rilasciato a coloro che sono guariti dal Covid-19 da meno di 6 mesi, alle persone che hanno ottenuto almeno la prima dose di vaccino ed infine a chi risulta negativo ad un test, anche rapido, effettuato nelle precedenti 48 ore.

Inoltre, non è escluso che una volta definito, il Green Pass possa diventare obbligatorio anche per accedere a locali e ristoranti. Il certificato dovrebbe essere pronto per metà giugno ma la natura del “passaporto d’immunità”, che contiene al suo interno dati sensibili dei cittadini e informazioni sul loro stato di salute, rende particolarmente importante la questione della privacy

Per tale ragione, l’autorità garante per la protezione dei dati personali (il cosiddetto Garante Privacy), invocando “un intervento urgente a tutela dei diritti e delle libertà delle persone”, è entrata di diritto nel dibattito sulla formulazione data dal Governo con l’art. 9 del decreto-legge n. 52 del 22 aprile 2021. I dubbi sulle Certificazioni Verdi COVID-19 riguardano soprattutto la privacy e la possibilità di discriminazione. Per quest’ultima questione, si teme la disparità tra chi ha potuto vaccinarsi e chi, invece, non ha ancora potuto farlo. A tal proposito, il Garante ritiene ci debba essere una legge nazionale per evitare discriminazioni. Sulla prima questione, invece, vorrei che ci soffermassimo per una serie di motivi.

Innanzitutto, la “leggerezza” dimostrata in questa occasione dall’Esecutivo dovrebbe rattristarci particolarmente, poiché denota una mancanza di visione sul tema, una non sufficiente valorizzazione del Garante Privacy (un’autorità amministrativa indipendente sempre più importante nella vita democratica del Paese) oltre che una “distratta elusione” del principio di legalità.
L’art. 36 del GDPR (Regolamento europeo sulla protezione dei dati), infatti, prevede che in un caso come quello di specie, il Governo avrebbe dovuto consultare preventivamente il Garante Privacy ai fini dell’elaborazione di una proposta di atto legislativo. L’Esecutivo, però, non ha rispettato questa previsione, frastornato, probabilmente, dalla perdurante “modalità d’urgenza” con cui, da più di un anno, si affrontano i momenti cruciali di questa terribile esperienza pandemica.

E questo è il primo problema. Il Garante ha potuto leggere il contenuto del decreto solo dopo la sua approvazione. Questo non è solo un problema di forma ma anche di sostanza; non è solo un problema di metodo ma anche di merito. Difatti, nel decreto-legge mancano molti elementi che di certo verranno corretti quanto prima ma che, al momento, rendono le disposizioni non compatibili con l’attuale quadro normativo in materia.

Se è chiaro cosa si vuol fare e a cosa dovrebbero servire questi Green Pass, non è altrettanto chiaro, ad esempio, chi sarà il titolare del trattamento di questa enorme quantità di dati, dove saranno conservati, a chi dovrà rivolgersi il cittadino per chiedere la modifica di un dato inesatto (dal momento che dall’esattezza dei dati inseriti dipenderà la libertà di circolazione delle persone) e soprattutto perché verranno richiesti così tanti dati personali (nome, cognome, tipo di vaccino fatto, data di prenotazione dell’eventuale richiamo, data di quando si è risultati positivi e quando negativi al Covid, ecc.). In questo modo, il sistema risulta lesivo dei diritti degli interessati e soprattutto le informazioni richieste sono incredibilmente sovrabbondanti rispetto alle necessità.

Pertanto, una raccolta siffatta appare inutile allo scopo nonché lesiva di uno dei principi fondamentali del trattamento, ovvero il principio di minimizzazione. Questo principio è centrale nell’economia della protezione dei dati ed afferma che, salvo poche eccezioni, un titolare deve trattare solo i dati di cui ha realmente bisogno per raggiungere le finalità prestabilite, pena l’illiceità del trattamento. Inoltre, replicare all’interno del Green Pass la raccolta di dati che già esistono da un’altra parte (ad esempio sulle tessere sanitarie) e darli in mano a chiunque sia dotato di uno scanner per il QR code è, dal punto di vista logico e strutturale, un inutile innalzamento del rischio. Sarebbe più opportuno, invece, che la certificazione raccogliesse dati che sono già esistenti in altri luoghi, senza quindi doverne replicare la registrazione, e svolgesse la funzione per cui è stato creato, ovvero attestare, certificare semplicemente l’esistenza di condizioni che sono propedeutiche alla circolazione delle persone in sicurezza.

Questo progetto normativo può ancora essere implementato con l’adozione di cautele che consentano di contemperare nel giusto modo il diritto alla salute, alla circolazione e all’impresa con il diritto alla privacy. Al decreto-legge, infatti, seguirà un successivo atto di attuazione che analizzerà più nello specifico gli aspetti di privacy, fermo restando l’annuncio del Governo sull’inizio del trattamento già sulla base dell’attuale testo normativo. Si auspica, pertanto, un’inversione dell’ordine di questi due fattori così da permettere al Garante Privacy (che non è un organo politico ma tecnico, a differenza di quanto spesso dimostrato, invece, dagli Organismi di vigilanza) di intervenire per il bene dei cittadini e della democrazia, in uno spirito di leale collaborazione fra i “poteri” dello Stato.

Dott. Luca Gaudiosi
BeGov Puglia

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *