g-docweb-display Portlet

Nota del Presidente del Garante per la protezione dei dati personali - Trattamenti di dati personali effettuati nell’ambito dell’emissione, del rilascio e della verifica delle certificazioni verdi di cui al decreto legge n. 52/2021

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Regione Abruzzo

Regione Basilicata

Regione Calabria

Regione Emilia Romagna

Regione Friuli Venezia Giulia

Regione Lazio

Regione Liguria

Regione Lombardia

Regione Marche

Regione Molise

Regione Piemonte

Provincia Autonoma di Trento

Regione Puglia

Regione Siciliana

Regione Toscana

Regione Umbria

Regione Valle d’Aosta

Regione Veneto

Conferenza delle Regioni e delle Province Autonome

Oggetto: Trattamenti di dati personali effettuati nell’ambito dell’emissione, del rilascio e della verifica delle certificazioni verdi di cui al decreto legge n. 52/2021.

Lo scorso 9 giugno il Garante ha reso il parere sullo schema di decreto del Presidente del Consiglio dei Ministri, che deve essere adottato, ai sensi dell’art. 9, comma 10, del d.l. n. 52/2021, di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze, in relazione ai trattamenti dei dati personali, anche relativi alla salute, effettuati attraverso la Piattaforma nazionale digital green certificate (“Piattaforma nazionale-DGC”) per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19 (EU Digital COVID Certificate, già Digital Green Certificate, di seguito certificazioni verdi) (all. n. 1).

Nel suddetto parere, l’Autorità ha ribadito quanto già rilevato dal Garante nel provvedimento di avvertimento del 23 aprile 2021, ovvero che il decreto legge n. 52/2021 non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2, e 9) e dal Codice in materia di protezione dei dati personali (artt. 2-ter e 2-sexies).

E’ stato inoltre osservato che, alla data di adozione del predetto provvedimento, la proposta di Regolamento del Parlamento europeo e del Consiglio sull’EU digital COVID certificate, approvata nella sua formulazione finale il 21 maggio 2021 (successivamente adottata il 14 giugno 2021), prevede che l’EU Digital COVID Certificate possa essere utilizzato dagli Stati membri anche per finalità diverse da quelle previste nel predetto Regolamento (agevolazione degli spostamenti all’interno dell’Unione) (c.d. uso domestico delle certificazioni), che devono essere espressamente previste da una norma di legge nazionale, conforme alla normativa dell'Unione in materia di protezione di dati e ai principi di efficacia, necessità e proporzionalità, che deve individuare, in modo chiaro, l'ambito e la portata del trattamento, le finalità, le categorie di soggetti che possono verificare il certificato nonché le pertinenti garanzie per prevenire discriminazioni e abusi, tenendo conto dei rischi per i diritti e le libertà degli interessati (Considerando n. 37 nella proposta di Regolamento, Considerando n.48 nel testo adottato).

Al riguardo, nell’intervento del 6 maggio 2021 formulato nel corso dell’audizione informale presso le Commissioni riunite I, II e XII della Camera dei Deputati, nonché nel provvedimento di avvertimento adottato il 25 maggio 2021 nei confronti della Regione Campania, questa Autorità ha ritenuto necessario che in sede di conversione in legge del d.l. n. 52/2021 sia introdotta una riserva di legge statale per l’individuazione puntuale delle finalità per le quali possono essere utilizzate le certificazioni attestanti l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare.

La limitazione delle libertà personali effettuata anche attraverso il trattamento di dati sulla salute degli interessati, realizzata attraverso la previsione di subordinare l’accesso a luoghi e a servizi al possesso di una certificazione attestante l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare, può essere considerata ammissibile infatti solo se prevista da una norma di legge statale (artt. 6, par. 2, e 9 del Regolamento e artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali, considerando n. 37 del Regolamento del Parlamento europeo e del Consiglio sull’EU digital COVID certificate, adottato il 14 giugno 2021; cfr. anche Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/2021).

Ciò stante, nel richiamato parere del 9 giugno u.s., il Collegio dell’Autorità ha ritenuto che le certificazioni attestanti l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell’ambito dell’adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2.

Nel medesimo parere è stato inoltre ritenuto che l’uso di certificazioni, che attestino l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico/molecolare, diverse da quelle indicate nel predetto schema di decreto del Presidente del Consiglio dei Ministri, ovvero l’uso di strumenti di verifica (quali ad esempio app per dispositivi mobili) ulteriori rispetto a quelli ivi indicati non possono ritenersi ammissibili, perché non garantirebbero in ogni caso il rispetto del principio di esattezza dei dati trattati (art. 5, par. 1, lett. d), del Regolamento). Ciò, in quanto il collegamento con la Piattaforma nazionale-DGC risulta indispensabile per verificare l’attualità delle condizioni attestate nella certificazione, tenendo conto dell’eventuale variazione delle stesse (es. sopraggiunta positività), con significativi rischi anche in ordine alla reale efficacia della misura di contenimento. Solo la Piattaforma nazionale-DGC, attuata nel pieno rispetto delle garanzie previste dalla disciplina di protezione dati e conformemente al parere dell’Autorità, ha infatti le caratteristiche per realizzare, superate le criticità in ordine alla specificazione delle finalità del trattamento di seguito riportate, il rilevante obiettivo di interesse pubblico sottostante e può considerarsi proporzionata all’obiettivo legittimo perseguito.

Alla stregua di tali osservazioni, il Garante ha pertanto reso parere favorevole sul predetto schema di decreto di attuazione della disciplina in tema di certificazioni verdi a condizione che, in sede di conversione in legge del d.l. n. 52/2021,:

siano specificamente definite le finalità del trattamento e sia introdotta una riserva di legge statale per l’utilizzo delle certificazioni per attestare l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare;

sia previsto che, nei casi in cui possono essere utilizzate le predette certificazioni, le stesse possano essere emesse, rilasciate e verificate esclusivamente attraverso le modalità indicate nello schema di decreto in esame;

sia adeguatamente modificata la previsione della natura transitoria delle disposizioni applicabili in ambito nazionale alle certificazioni verdi, per evitare che le stesse cessino di avere efficacia nel momento dell’entrata in vigore del predetto Regolamento europeo.

Il 17 giugno 2021 il Presidente del Consiglio dei Ministri ha adottato il predetto decreto di cui all’art. 9, comma 10 del d.l. n. 52/2021 con una formulazione che tiene conto delle osservazioni formulate dal Garante nel citato parere del 9 giugno 2021.

Ciò stante, si richiama l’attenzione delle SS.LL. su quanto ivi indicato e quindi sulla necessità di soprassedere dall’adottare o dal dare attuazione a disposizioni adottate a livello locale che:

- introducono fattispecie diverse da quelle allo stato previste dalla normativa di livello nazionale in cui possa essere richiesta l’esibizione di certificati attestanti lo stato di avvenuta vaccinazione, guarigione o di esito negativo di un test per il Covid-19 per accedere a luoghi e locali o instaurare rapporti giuridici;

- prevedono modalità di emissione, gestione e controllo delle predette certificazioni difformi da quelle disciplinate nel predetto di decreto del Presidente del Consiglio dei Ministri.

Si rappresenta, infine, che, con riferimento ai predetti eventuali trattamenti, l’Autorità si riserva ogni valutazione in ordine all’adozione di provvedimenti finalizzati ad imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento (art. 58, par. 2, lett. f) del Regolamento).

IL PRESIDENTE
Stanzione