g-docweb-display Portlet

Memoria del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione - AS 2463 - Conversione in legge del decreto-legge 26 novembre 2021, n. 172 recante “Misure urgenti per il contenimento dell'epidemia da COVID-19 e per lo svolgimento in sicurezza delle attività economiche e sociali”

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VIDEO DELL'AUDIZIONE

 

Memoria del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione - AS 2463 - Conversione in legge del decreto-legge  26 novembre 2021, n. 172 recante “Misure urgenti per il contenimento dell'epidemia da COVID-19 e per lo svolgimento in sicurezza delle attività economiche e sociali”

Senato della Repubblica - 1 Commissione Affari costituzionali

(7 dicembre 2021)

 

1. Il contesto normativo

Ringrazio, ancora una volta, la Commissione per aver inteso proseguire il confronto con il Garante, ormai consolidato, sul tema delle misure di contrasto pandemico e, in particolare, delle certificazioni verdi, analizzando sotto il profilo della protezione dei dati anche quest’ultimo tassello della disciplina.

Il dialogo tra il legislatore e l’Autorità è stato infatti, sinora, particolarmente proficuo nel contribuire a delineare un equilibrio sostenibile tra i vari interessi in gioco (segnatamente: sanità pubblica, autodeterminazione terapeutica, riservatezza), garantendo che le misure di contenimento dei contagi (e le certificazioni verdi in primo luogo) non degenerassero in strumenti di sorveglianza di massa.

Questo equilibrio ha, del resto, caratterizzato sin dall’origine l’indirizzo impresso dall’Unione europea alle politiche di contrasto pandemico, tese a promuovere un’idea di libertà come mai disgiunta dalla responsabilità e da quella solidarietà sociale che la stessa Carta di Nizza assume tra i suoi fondamenti. E’ un’idea, questa, che si è espressa con chiarezza già dai primi mesi di pandemia, con riferimento al contact tracing digitale e che poi è stata sviluppata, con non minore efficacia, in relazione alle certificazioni verdi.

Il modello di certificazione verde proposto, con il Regolamento UE 2021/953 (cui poi gli Stati membri si sono conformati, anche negli spazi rimessi alla loro discrezionalità), ha, infatti, inteso rappresentare uno strumento non già di controllo, ma di promozione delle libertà, ad efficacia dichiaratamente temporanea e strettamente commisurata all’emergenza pandemica, fondato su di un sistema tanto efficiente quanto rispettoso della privacy e della stessa autodeterminazione in ordine alle scelte vaccinali.

Tanto la prescritta equivalenza dei presupposti di rilascio della certificazione, quanto il divieto – contenuto nel Considerando 48 del Regolamento (UE) 2021/953 – di conservazione dei dati cui si acceda nell’ambito delle attività di verifica sono, infatti, funzionali a garantire la riservatezza non solo dei dati sulla condizione clinica del soggetto (in relazione alle certificazioni da avvenuta guarigione), ma anche delle scelte da ciascuno compiute in ordine alla profilassi vaccinale. Le garanzie di protezione dati sono, infatti, state correttamente concepite anche come sinergiche rispetto all’esigenza di evitare possibili discriminazioni in ragione della scelta vaccinale; esigenza sottolineata con forza anche dalla risoluzione 2361 (2021) del Consiglio d’Europa.

Le coordinate tracciate a livello europeo hanno consentito, quindi, di sviluppare, nei Paesi come il nostro nei quali non vige un obbligo di vaccinazione generalizzato, misure di contenimento della pandemia- quali appunto il “green pass”- tali da assicurare un bilanciamento democraticamente congruo tra sanità pubblica, libertà di cura e riservatezza. E ciò, in virtù soprattutto di una disciplina, quale quella di protezione dati, che anche su questo terreno ha dimostrato tutta la rilevanza di quella “funzione sociale” che le assegna, primariamente, il Regolamento.

Anche la disciplina italiana- nell’evoluzione che l’ha caratterizzata, a partire dal d.l. 52 del 2021 – può essere letta come il tentativo, realizzato per approssimazioni successive, di affinare il bilanciamento tra esigenze di sanità pubblica, libertà d’iniziativa economica, privacy e autodeterminazione in ordine alle scelte sanitarie, modulando la tecnica in funzione della libertà.

Lungo il corso di quest’evoluzione, il sistema del green pass nazionale si è sensibilmente migliorato, da un lato circoscrivendo(1) alla sola legge statale il novero delle fonti legittimate ad imporre l’uso di tale misura(2) e, dall’altra, assicurando con i provvedimenti attuativi (in particolare il d.P.C.M. 17 giugno 2021, attuativo dell’art. 9, c.10, d.l. 52/21) che oggetto della verifica sia (oltre al nome, al cognome e alla data di nascita) il solo qr code attestante il possesso di una certificazione in corso di validità, senza alcun riferimento al presupposto del certificato (vaccinazione, guarigione, tampone)(3). Si evita, in tal modo, un’indebita conoscenza, da parte di terzi, della condizione sanitaria o, comunque, delle scelte vaccinali del soggetto.

Il complesso delle misure, anche di carattere tecnico, attuative della normativa primaria ha così consentito di rendere effettiva l’equivalenza dei presupposti di rilascio delle certificazioni verdi, garantendo che in sede di verifica non si acceda ad alcun dato sulla condizione sanitaria o vaccinale del soggetto, evitando così anche il rischio di discriminazioni. Tutto questo è stato reso possibile  grazie a una configurazione del sistema del green pass come, effettivamente, una sorta di verifica del tutto estrinseca del possesso (per ragioni che il verificatore non deve conoscere) del “requisito abilitativo” allo svolgimento di determinate attività. In questi termini è, infatti, effettivamente concepita– come rilevato in dottrina- la titolarità del green pass, quale onere da adempiere per l’accesso a determinati luoghi o lo svolgimento di determinate attività, senza che tuttavia rilevino e siano all’esterno conoscibili le ragioni sottese all’ottenimento del requisito abilitativo.

Sotto questo profilo, tuttavia, in sede di conversione, proprio qui al Senato, del d.l. 152, si è introdotta una norma (derogatoria del divieto di conservazione dei dati connessi alle verifiche sul certificato) suscettibile di alterare profondamente la ratio del sistema, volta appunto a garantire la massima riservatezza al presupposto di rilascio del green pass. Con la previsione, infatti, della facoltà di consegna, da parte dei lavoratori dei settori pubblico e privato, di copia della certificazione verde, al datore di lavoro, si consente infatti a quest’ultimo di evincere anche il presupposto di rilascio della stessa.

Esso è infatti agevolmente desumibile dal dato relativo alla scadenza della certificazione, dal momento che ciascun presupposto di rilascio (tampone, guarigione, vaccinazione) determina un diverso periodo di validità del green pass. In tal modo, dunque, una scelta quale quella sulla vaccinazione – così fortemente legata alle intime convinzioni della persona – rischia di essere  privata delle necessarie garanzie di riservatezza, con effetti potenzialmente pregiudizievoli in ordine all’autodeterminazione individuale.

Tale potenziale pregiudizio è, poi, aggravato dal contesto lavorativo in cui matura. La prevista ostensione (e consegna) del certificato verde a un soggetto, quale il datore di lavoro, al quale dovrebbe essere preclusa la conoscenza di condizioni soggettive peculiari dei lavoratori come la situazione clinica e convinzioni personali, pare infatti poco compatibile con le garanzie sancite  sia dalla disciplina di protezione dati, sia dalla normativa giuslavoristica (artt.. 88 Reg. Ue 2016/679; 113 d.lgs. 196 del 2003; 5 e 8 l. n. 300 del 1970; 10 d.lgs. n. 276 del 2003).

Non posso, dunque, che cogliere quest’occasione per suggerire, anzitutto alla Commissione, una riflessione ulteriore su tale norma, valutando l’opportunità di una sua abrogazione. Non credo, infatti, che nessuna semplificazione, reale o presunta che sia, valga il prezzo della rinuncia alla riservatezza su scelte così fortemente connotative della persona quali quelle in ambito vaccinale o, comunque, sulla condizione sanitaria.

2. Il d.l. 172

L’esigenza di evitare che le verifiche sulle certificazioni verdi comportino l’accesso ai dati ivi contenuti e, in particolare, al presupposto di rilascio delle stesse si conferma, del resto, anche rispetto alle nuove misure introdotte dal d.l. in esame in questa materia(4). Mi riferisco non tanto e non solo al piano per l’effettuazione costante di controlli, anche a campione, dell’osservanza delle norme sul green pass, la cui predisposizione è demandata, dall’articolo 7 del decreto, al prefetto territorialmente competente, ma anche e soprattutto alle norme di cui agli artt. 5 e 6.

Con il primo, in particolare, si è introdotta una 'differenziazione' nella disciplina degli effetti (nelle zone gialle o arancioni, a decorrere dal 29 novembre) delle certificazioni verdi, secondo che conseguano ad avvenuta vaccinazione o guarigione da un lato o a test dall’altro.

Con l’articolo 6, tale differenziazione è stata estesa alle zone bianche per il periodo 6 dicembre 2021-15 gennaio 2022, in relazione allo svolgimento delle attività e alla fruizione dei servizi per i quali nelle zone gialle siano previste limitazioni. La disciplina transitoria (applicabile cioè sino all’intervenuta modifica del dPCM 17 giugno 2021) autorizza espressamente, all’art. 6, c.2, gli “interventi di adeguamento necessari a consentire la verifica del possesso delle sole certificazioni verdi” legittimanti (e, dunque, quelle da vaccino o guarigione).

Si tratta di una modifica rilevante, in quanto come già osservato la disciplina delle certificazioni verdi è stata, sinora, complessivamente orientata a garantire l’equivalenza tra i presupposti di rilascio della certificazione e l’esigenza di evitarne l’indebita rivelazione, al fine di garantire anche l’esercizio della libertà di autodeterminazione in ordine alle scelte vaccinali.

Quest’esigenza non può, certamente, venir meno pur nel contesto di un quadro normativo così mutato e, dunque, s’impone l’adozione di alcuni accorgimenti in tal senso.

Se l’esclusione della raccolta, da parte dei soggetti verificatori, dei dati dell'intestatario della certificazione è già prevista in via generale dall’art. 13, comma 5, del dPCM 17 giugno 2021, ciò che in questa sede va garantito è che il sistema “a regime” consenta, mediante un’opportuna soluzione informatica, di far corrispondere al “verde” solo le certificazioni da guarigione o vaccino e, al “rosso”, solo quelle da test. In tal modo, infatti (e solo in tal modo) si può assicurare che l’applicazione della norma sulla differenziazione delle certificazioni avvenga senza legittimare l’accesso dei soggetti verificatori ai dati contenuti nel pass e, in particolare, ai presupposti di rilascio dello stesso.

Naturalmente, tale risultato è conseguibile mediante soluzioni informatiche specifiche, integrative dell’attuale sistema, che spetterà al dPCM disciplinare. In tal modo, peraltro, rispetto ai titolari soggetti a duplice regime (il green pass ordinario per i dipendenti e il super green pass per i clienti, come nel caso dei ristoratori), l’app C19 di verifica dovrà contenere al suo interno due “percorsi” informatici distinti: il primo, tradizionale, che non  distingua tra le tipologie di certificazioni e il secondo che, invece, operi questa differenziazione dando tuttavia solo evidenza dell’esito (verde o rosso anche in questo caso, sia pur sulla base di presupposti distinti). E’ quanto parrebbe consenta di fare la nuova versione dell’app C 19, disponibile da ieri, pur in assenza delle modifiche al dPCM 17 giugno.

Più complessa è la questione della disciplina transitoria, applicabile cioè sino all’entrata in vigore delle modifiche al dPCM 17 giugno. In questa fase, l’art. 6, c.2, del decreto-legge  autorizza “gli interventi di adeguamento necessari a consentire la verifica del possesso delle sole certificazioni verdi” da guarigione o da vaccino”. Riesce difficile immaginare altra soluzione di verifica che quella svolta su certificazioni cartacee e, dunque, con accesso da parte del soggetto verificatore al dato relativo al presupposto di rilascio del pass. Non posso, dunque, che auspicare l’adozione quanto più possibile tempestiva delle disposizioni attuative, al fine di introdurre quanto prima la disciplina “a regime”.

Come, del resto, non posso che sollecitare il definitivo superamento della disciplina transitoria relativa alle certificazioni di esenzione dall’obbligo di green pass per incompatibilità clinica soggettiva con la vaccinazione, che dal 4 agosto viene di volta in volta prorogata (da ultimo fino al 31 dicembre). Si tratta di un profilo tutt’altro che marginale. Sebbene, infatti, le circolari vigenti per la fase transitoria correttamente escludano che il certificato cartaceo possa indicare la  motivazione clinica dell’esenzione (che attiene ai presupposti di rilascio del documento e non dev’essere oggetto di controllo), è evidente come questa modalità di gestione dei certificati determini, comunque, l’indebita rilevazione di dati sanitari dell’intestatario, da parte dei soggetti verificatori.

Anche in questo caso, però, la tecnologia può porsi davvero al servizio dell’uomo, associando nel sistema di verifica C 19 il “verde” anche alla sussistenza di un certificato di esenzione, che dovrebbe consistere, esattamente come per il green pass, in un qr code con il solo nominativo e la data di nascita. In tal modo, infatti, si impedisce l’accesso, da parte dei verificatori, ai dati inerenti la condizione sanitaria dell’interessato, suscettibili- se indebitamente divulgati- di esporlo a discriminazioni tanto più inaccettabili in quanto relative a una situazione di vulnerabilità.

Non deve stupire l’enfasi che ho posto sulla disciplina attuativa. Molte, moltissime garanzie, soprattutto in termini di protezione dati sono, infatti, inscritte nei dPCM attuativi della disciplina di rango primario ed è ad essi, dunque, che si deve guardare ai fini del completamento anche degli ultimi tasselli della normativa, peraltro complessa, del green pass. E’ ora particolarmente importante che, nel prosieguo dell’iter parlamentare, siano mantenute le garanzie necessarie ad assicurare un congruo bilanciamento tra le esigenze di sanità pubblica e la riservatezza individuale, il cui rapporto- ci ha insegnato la pandemia– non è di aut-aut ma, semmai, di sinergia.

________

 

(1) Considerandone l’incidenza su materie coperte da riserva di legge statale, quali profilassi internazionale, autodeterminazione terapeutica-relativamente all’esigenza di evitare discriminazioni nei confronti di quanti non possano o non vogliano vaccinarsi e, quindi, di evitare obblighi vaccinali surrettizi- e, appunto, protezione dati. Sul tema cfr. Corte cost., sent. 5/2018 sulle condizioni di legittimità dell’obbligo vaccinale, nonché, sulla riserva di legge statale in materia di vaccinazione, cfr. ordinanza Giudice del lavoro di Messina del 12 dicembre 2020; Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/21 in ordine alla profilassi internazionale.

(2) E’ significativa, in particolare, la previsione, aggiunta in sede di conversione del d.l. 105 del 2021, secondo cui “Ogni diverso  o  nuovo  utilizzo delle certificazioni verdi COVID-19 e'  disposto  esclusivamente  con legge dello Stato” (art. 9, c.10-bis d.l. 52 del 2021). Si tratta di previsione quantomai opportuna in ragione dell’esigenza di evitare iniziative di singole Regioni che, proprio in ragione della riserva di legge statale che caratterizza le materie incise da queste misure, risulterebbero illegittime e non certo soltanto sotto il profilo privacy.

(3) Ragione che induce, peraltro, Cons. St., Sez. III, ord. 17 settembre 2021, n. 5130 ad escludere la sussistenza di “lesioni della riservatezza sanitaria” in relazione all’obbligo di esibizione del green pass ex art. 9, c.10. d.l. 52 del 2021. In ordine alla legittimità delle certificazioni verdi (in quanto misura temporanea, ragionevolmente efficace in termini di prevenzione sanitaria e non tale da imporre un obbligo terapeutico coercitivo) nell’ordinamento francese, v. Conseil Constitutionnel 5 agosto 2021, n. 824.

(4) Non ci si soffermerà, in questa sede, sulle altre disposizioni del decreto-legge e, in particolare, su quelle relative all’estensione dell’obbligo vaccinale, che non presentano particolari criticità sotto il profilo della protezione dei dati.

 

Scheda

Doc-Web
9725434
Data
07/12/21