I trattamenti di dati personali previsti dalla norma che introduce la carta verde Covid-19 rischiano di violare la normativa privacy
Garante per la protezione dei dati personali: Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19 prevista dal d.l. 22 aprile 2021, n. 52 del 23 aprile 2021.
Premessa.
Nel provvedimento oggetto di commento, il Garante per la protezione dei dati personali è intervenuto per rendere il proprio parere in ordine al rispetto della normativa privacy delle disposizioni normative previste dal d.l. 22 aprile 2021, n. 52.
Nello specifico il suddetto decreto legge ha introdotto delle misure urgenti per contrastare e contenere l’emergenza epidemiologica da Covid-19, con riguardo agli spostamenti sul territorio nazionale. In particolare, il decreto prevede che tali spostamenti, in entrata e in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa, nonché l’accesso a manifestazioni, fiere e congressi, siano consentiti ai soggetti muniti di certificazioni verdi.
La normativa prevede che tali certificazioni possano essere rilasciate, su richiesta dell’interessato, per attestare il completamento del ciclo vaccinale, l’avvenuta guarigione da Covid-19 e l’effettuazione del test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2 e abbiano valenza in ambito nazionale fino all’entrata in vigore di un apposito regolamento europeo in materia che preveda una carta verde europea avente analogo contenuto e funzione.
Il decreto legge prevede, inoltre, l’introduzione di un decreto del Presidente del Consiglio dei ministri nel quale stabilire le specifiche tecniche per assicurare l’interoperabilità delle certificazioni verdi e la piattaforma nazionale per il DGC, la quale costituisce un sistema informativo nazionale per il rilascio, la verifica e l’accettazione di tali certificazioni a livello nazionale ed europeo, e per indicare i dati che possono essere riportati nelle certificazioni verdi Covid-19.
La decisione del Garante.
L’Autorità Garante per la protezione dei dati personali ha ritenuto che il decreto legge del 22 aprile 2021, n. 52 non rappresenta una valida base giuridica per legittimare i trattamenti di dati personali attraverso l’introduzione e l’utilizzo dei certificati verdi a livello nazionale, riconoscendo che la suddetta misura normativa non tiene conto adeguatamente dei rischi che tale trattamento dati determina per i diritti e le libertà degli interessati.
In particolare, l’Autorità ha individuato le seguenti criticità:
(i) In primis la mancata previa consultazione del Garante per l’adozione del suddetto decreto. Tale consultazione, secondo il Garante, avrebbe permesso all’Autorità di indicare tempestivamente modalità e garanzie contribuendo all’introduzione di una misura necessaria per il contenimento dell’emergenza epidemiologica, ma comunque rispettosa della disciplina in materia di protezione dei dati personali. Il carattere di urgenza della norma, secondo l’Autorità, non avrebbe dovuto impedire la preventiva consultazione dell’Autorità medesima, poiché essa durante il periodo di pandemia – consapevole della necessità di adottare interventi tempestivi – ha sempre reso i pareri di propria competenza sugli atti normativi in merito all’emergenza sanitaria in tempi molto ristretti.
(ii) In secondo luogo, l’Autorità ha rilevato l’inidoneità del decreto sopra detto a costituire base giuridica per legittimare i trattamenti dati conseguenti all’introduzione della certificazione verde, poiché mancano alcuni elementi essenziali richiesti dal Regolamento europeo e dal Codice in materia di protezione dei dati personali. L’impianto normativo, infatti, non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l’introduzione delle certificazioni verdi, elemento ritenuto essenziale dal Regolamento europeo (e confermato dalla Corte Costituzionale) per valutare le misure previste dalla norma sono proporzionali rispetto ai rischi per i diritti e le libertà degli interessati. Infatti, la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato alla finalità legittima perseguita.
A tal proposito, ricorda il Garante, solo una legge statale può introdurre limitazioni all’esercizio di diritti o libertà della persona e l’indeterminatezza delle finalità della disposizione normativa in esame assume particolare rilievo con riferimento alla possibilità che tali certificazioni verdi possano essere successivamente ritenuti una condizione valida anche per l’accesso a luoghi o servizi per lo svolgimento di rapporti giuridici, come in ambito lavorativo o scolastico.
La mancata indicazione delle motivazioni che hanno indotto il Governo all’adozione provvisoria delle predette certificazioni (in attesa dell’adozione dell’analogo documento europeo) non permette, invece, di valutare se lo stesso abbia tenuto conto dei rischi di eventuali disallineamenti in merito alle caratteristiche e funzionalità dei due documenti (cioè della certificazione verde italiana e di quella europea).
Volume consigliato
Cybersecurity e privacy: come proteggere il tuo sito – e-Book in pdf
Damiano Marinelli, Chiara Gambelunghe, Daniele Giancola, Michele Spigarelli, 2021, Maggioli Editore
L’ebook affronta la nuova tematica della cybersecurity connessa al mondo privacy in relazione al web, approfondendo sia gli aspetti giuridici che quelli tecnici propri del marketing, offrendo un chiaro quadro della normativa e spunti interessanti per ,muoversi al meglio in…
14,90 € 14,16 €
Acquista
su www.maggiolieditore.it –>
Note
(iii) Il Garante ha inoltre ritenuto che il decreto legge viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Alla luce del suddetto principio, l’Autorità ha ritenuto che non sia pertinente indicare nelle certificazioni informazioni ulteriori oltre quelle strettamente necessarie: quali i dati anagrafici per identificare l’interessato, l’identificativo univoco della certificazione e la data di fine validità della stessa. Tali informazioni sarebbero di per sé sufficienti a consentire la verifica dei documenti senza far conoscere, al soggetto deputato al controllo, la condizione, anche relativa a vicende sanitarie, dell’interessato, in funzione della quale la stessa è stata rilasciata.
(iv) Secondo l’Autorità il decreto legge n. 52/2021 viola anche il principio di esattezza dei dati, secondo cui gli stessi devono essere esatti e, se necessario, aggiornati e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati. Il requisito di esattezza è dunque essenziale per valutare la proporzionalità della limitazione e l’idoneità della misura di contenimento e contrasto dell’emergenza epidemiologica. Il sistema transitorio, istituito dal suddetto decreto legge, non consente invece di verificare l’attualità delle condizioni attestate nella certificazione, perché non può tener conto delle eventuali modificazioni delle condizioni relative all’interessato successive al momento del rilascio della stessa.
(v) L’Autorità Garante ha osservato, inoltre, che il decreto legge sopraindicato viola il principio di trasparenza, non indicando in modo chiaro e puntale le finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare dati raccolti in questi termini
(vi) Infine, secondo il Garante, la disposizione normativa in esame viola i principi di limitazione della conservazione e di integrità e riservatezza, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Alla luce delle criticità in questi termini rilevate, l’Autorità Garante per la protezione dei dati personali ha concluso il proprio provvedimento ritenendo che il decreto legge del 22 aprile 2021, n. 52 non sia proporzionato all’obiettivo di interesse pubblico perseguito, sebbene legittimo, poiché non individua puntualmente le finalità per le quali si intende utilizzare la certificazione verde e le misure adeguate per garantire la protezione dei dati, secondo i principi di privacy by design e by default, durante tutte le fasi del trattamento.
Sulla base di ciò, il Garante ha avvertito tutti i soggetti coinvolti nel trattamento, tra cui, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale e dell’economia e delle finanze, degli affari regionali e la Conferenza delle Regioni o delle Province autonome del fatto che i trattamenti di dati personali effettuati in attuazione delle disposizioni di cui al decreto legge n. 52/2021 possono violare le disposizioni del Regolamento europeo.
Diventa autore di Diritto.it
Scopri di più!
Ti potrebbe interessare anche
Il parere del Garante Privacy sullo schema predisposto da AgID per l’erogazione del servizio pubblico wi-fi free
di Muia’ Pier Paolo
16 dicembre 2020
Il Garante privacy ha espresso parere favorevole all’utilizzo del modello ISEE pre-compilato
di Muia’ Pier Paolo
5 settembre 2019
La Cybervulnerabilità ed i conseguenti risvolti negativi sulla tutela della privacy aziendale
di Concas Alessandra
9 novembre 2020
Il ritardo del comune nel fornire i dati oggetto di trattamento all’interessato che esercita il diritto di accesso costituisce violazione della normativa privacy
di Muia’ Pier Paolo
2 dicembre 2020
The post I trattamenti di dati personali previsti dalla norma che introduce la carta verde Covid-19 rischiano di violare la normativa privacy appeared first on Diritto.it.
Source: Diritto.it