Home>Garante>Comunicati, Dati Sanitari, Identità e Cittadinanza Digitale, Pubblica Amministrazione, Pubblica Sicurezza, Sanità>Audizione Garante Privacy sulle tematiche relative al green pass Covid-19

Audizione Garante Privacy sulle tematiche relative al green pass Covid-19

 

VIDEO DELL’AUDIZIONE

Audizione informale, in videoconferenza, del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione sulle tematiche relative alla certificazione verde Covid-19

Commissioni riunite I, II e XII della Camera dei Deputati

(6 maggio 2021)

 

1. Normazione primaria e consultazione preventiva del Garante

Ringrazio le Commissioni per quest’occasione di confronto che consente di realizzare, sia pur in forme e tempi diversi, quel dialogo istituzionale sollecitato dal Garante al Governo già nella fase precedente l’adozione del decreto-legge e la sua presentazione alle Camere ai fini della conversione in legge.

Il legislatore europeo, con il Regolamento 2016/679, ha infatti reso obbligatorio, ancorché non vincolante, il parere del Garante anche rispetto alla normazione primaria (art. 36, p.4). E questo, proprio al fine di garantire la conformità degli atti legislativi al parametro normativo europeo, rilevante anche ex art. 117, c. I Cost..

La consultazione del Garante -appunto definita dallo stesso Regolamento preventiva- sulla normazione primaria, consente del resto di inscrivere le necessarie garanzie per la privacy già all’interno della cornice legislativa, pur suscettibile di integrazione, eventualmente, con la disciplina attuativa, per gli aspetti di dettaglio. In tal modo anche quest’ultima può essere indirizzata, con opportuni criteri direttivi, verso le soluzioni idonee a realizzare il miglior equilibrio tra i vari beni giuridici, tenendo conto dell’impatto che ciascuna previsione normativa può determinare sulla privacy individuale.

L’esperienza di questi primi tre anni di applicazione della previsione regolamentare sui poteri consultivi del Garante ne ha dimostrato la lungimiranza e, soprattutto, l’idoneità a realizzare quella “funzione sociale” della protezione dati cui allude il Considerando 4 del Regolamento. Essa  presuppone, infatti, un costante bilanciamento di questo diritto con i vari interessi giuridici – di natura individuale o metaindividuale – in gioco, da risolversi secondo quel canone di proporzionalità che, proprio in questa materia, la Corte costituzionale ha valorizzato con la sentenza n. 20 del 2019, rel. Zanon.

Rispetto ai provvedimenti anche emergenziali adottati, da un anno a questa parte, a fini di contenimento dei contagi, l’interlocuzione del Garante con Parlamento e Governo – su schemi oltre che di decreti-legge, anche di ordinanze – ha consentito, in un circuito virtuoso, di migliorare, spesso sensibilmente, le norme proposte. L’esigenza del coinvolgimento del Garante nel procedimento legislativo è, del resto, il riflesso della centralità della protezione dati in una società, quale quella attuale, iperconnessa, in quanto re-gola le condizioni per la circolazione di ciò che, come il dato, rappresenta l’elemento costitutivo del digitale.

Questi tre anni di applicazione del Regolamento hanno dimostrato che, rispetto a progetti di legge ordinari, la consultazione del Garante può anche e ben realizzarsi nella forma dell’audizione parlamentare, auspicabilmente nella fase precedente la fissazione del termine degli emendamenti in Commissione, in prima lettura, al fine di poter intervenire sul testo senza incorrere nelle preclusioni derivanti da un suo compiuto consolidamento.

Rispetto a norme, suscettibili di implicazioni sulla protezione dati, adottate con decretazione d’urgenza, è invece necessario acquisire il parere del Garante nella fase precedente la presentazione del testo alle Camere ai fini della conversione in legge. La generale immediata efficacia delle disposizioni (salva la delega a provvedimenti attuativi per la disciplina di aspetti complementari) implica, infatti, l’esigenza di una consultazione del Garante prima che esse entrino in vigore e possano, dunque, legittimare un trattamento suscettibile, in ipotesi, di violare la disciplina di protezione dati.

2. La disciplina delle certificazioni verdi Covid-19

Ciò premesso sui profili di metodo inerenti la consultazione del Garante, venendo al merito dell’art. 9 del decreto-legge, mi limiterò ad alcune osservazioni di massima relative alle criticità e, soprattutto, alle carenze del testo, evidenziate con il provvedimento di avvertimento del 23 aprile 2021. Con tale atto, rivolto a tutti i soggetti coinvolti nel trattamento, si è inteso sottolineare come lo svolgimento di quest’ultimo, nei termini previsti dal decreto-legge non previamente sottoposto all’Autorità, possa integrare gli estremi di alcune violazioni della disciplina di protezione dati.

Va sin da ora precisato che a quel provvedimento di avvertimento sono seguite interlocuzioni con il Governo, tuttora in corso in questi giorni, volte ad adeguare, verosimilmente con gli emendamenti che saranno presentati, il testo del decreto-legge ai rilievi del Garante. Le considerazioni che seguono si riferiscono, dunque, alla formulazione attuale delle norme, al netto di ipotesi di modifica in discussione.

2.1. Determinatezza della disciplina e tassatività delle finalità del trattamento

Ai fini della legittimità del trattamento è indispensabile, anzitutto, che la relativa previsione normativa ne circoscriva, in maniera sufficientemente determinata, l’estensione dal punto di vista soggettivo e oggettivo, introducendo garanzie adeguate all’impatto del trattamento sui diritti e le libertà dei cittadini e alla natura dei dati trattati. Sotto questo profilo, va considerato che quello funzionale al sistema delle certificazioni verdi è un trattamento effettuato sistematicamente, su larga scala, rispetto a dati anche sanitari in quanto suscettibili di inferenza, sia pur indiretta, sulla base dei dati contenuti nell’attestazione. Da un lato, infatti, il dato relativo alla guarigione presente nel relativo modello di pass rivela la condizione patologica, pur pregressa, dell’interessato. Dall’altro lato, poi, anche da un dato sull’avvenuta vaccinazione potrebbe evincersi, pur indirettamente, la sussistenza di patologie nel caso di soggetti i quali non rientrino, al momento di rilascio del pass, nella fascia di età dei soggetti eleggibili per la somministrazione del vaccino.

Ciò dimostra, dunque, l’impatto considerevole del trattamento sulla riservatezza individuale e, di qui, la sussistenza dei presupposti per la sottoposizione al Garante della valutazione d’impatto ai sensi dell’art. 35, par. 10 del Regolamento, che sarebbe stata necessaria prima dell’avvio del flusso informativo.

Ma al di là di questo aspetto, la rilevanza, quantitativa e qualitativa del trattamento, dimostra anche l’esigenza della previsione, già con la disciplina di rango primario, di garanzie adeguate ai rischi connessi al flusso di dati in questione, nonché della stringente osservanza del canone di proporzionalità.

Sotto questo profilo, la norma presenta varie carenze tra le quali rileva, in primo luogo, l’indeterminatezza delle finalità (incompatibile con il principio di cui all’art. 5.1.b. del Regolamento) che legittimano la subordinazione di determinate attività all’ostensione del pass.  Esso può essere infatti richiesto non soltanto ai fini degli spostamenti territoriali nei casi di cui all’art. 2, c.1 e 3 del decreto-legge, ma anche per la partecipazione agli eventi indicati dalle linee guida adottate ai sensi degli artt. 5, c. 4 e 7, c.2.

Questa particolare eterointegrazione del precetto in virtù di meri atti di soft law (comunque da sottoporre al parere del Garante) lascia residuare un margine di indeterminatezza nella previsione normativa, suscettibile di estendere in misura non irrilevante il perimetro del trattamento. Tale indeterminatezza delle fattispecie legittimanti il trattamento dei dati personali, anche appunto di carattere sanitario, funzionali al sistema delle certificazioni verdi, appare poco compatibile con gli specifici requisiti che devono caratterizzare la base giuridica a tal fine (artt. 6, par. 2 e 9 del regolamento; artt. 2 ter e 2 sexies d.lgs. 196/03 e s.m.i.).

Del resto che la norma, in questi termini redatta, si presti a interpretazioni discrezionali è dimostrato anche dall’attuazione propostane a livello regionale, con ordinanze che ne hanno esteso l’ambito applicativo e rispetto alle quali, sinora in un caso, il Garante è dovuto intervenire. La riserva di legge statale sulle materie incise da queste misure(1) rischia così di essere elusa, per effetto di norme carenti della necessaria determinatezza.

E’ dunque opportuno introdurre una precisazione che escluda l’utilizzo dei pass per finalità diverse da quelle espressamente previste dal decreto-legge, auspicabilmente circoscrivendo maggiormente ex-ante l’ambito rimesso alle determinazioni delle linee-guida (sempre che non si ritenga preferibile rinviare, anziché ad atti di soft law, ad atti, almeno, amministrativi generali).

Tale esigenza è tanto più rilevante in ragione della mancata esplicitazione delle ragioni per le quali si sia ritenuto di introdurre delle certificazioni nazionali, in via provvisoria e anticipatrice rispetto a quelle previste, a livello europeo, dal draft di regolamento attualmente in discussione.

2.2.  Conformità al principio di minimizzazione

Al fine di garantire il rispetto del principio di minimizzazione dei dati di cui all’art. 5, par. 1 lett. c) del Regolamento – tanto più rilevante in ragione della natura “particolare” di alcuni dei dati trattati – è indispensabile espungere dalla previsione relativa al contenuto dei certificati ogni dato ultroneo rispetto alle finalità di verifica della condizione del soggetto, non ostativa alla libera circolazione. A questi fini, le sole informazioni necessarie appaiono essere i dati identificativi, il numero univoco della certificazione e il suo termine di validità (che sarà naturalmente diverso in ragione dell’oggetto dell’attestazione).

In tal senso, appaiono eccedenti non solo l’indicazione del numero di dosi di vaccino somministrate al soggetto, ma anche la previsione di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo) in virtù della quale esse sono rilasciate.

La verifica della validità della certificazione necessita, infatti, della sola indicazione della sua estensione temporale, che non è invece ricompresa tra i campi previsti nell’allegato 1 al decreto. Quest’ultimo, in particolare, dovrà essere la sola fonte idonea a disciplinare le tipologie di dati contenute nelle certificazioni, laddove oggetto del dPCM di cui al comma 10 dovranno essere, segnatamente, le categorie di dati suscettibili di trattamento nell’ambito della Piattaforma Nazionale DGC.

2.3. L’architettura del trattamento, il ruolo dei soggetti coinvolti e il principio di trasparenza

Ai fini della legittimità del trattamento è necessaria l’individuazione dei titolari, con particolare riferimento alle attività di emissione e controllo delle certificazioni verdi e delle operazioni svolte sulla “Piattaforma Nazionale DGC”, che rappresenterebbe il sistema informativo nazionale per il rilascio e la verifica e l’accettazione di certificazioni Covid-19 interoperabili a livello nazionale ed europeo. L’omessa individuazione dell’ente presso il quale sarà istituita la piattaforma e dei soggetti istituzionali ai quali è assegnata la titolarità dei trattamenti effettuati mediante tale sistema informativo, oltre a privare della necessaria certezza normativa la disciplina di riferimento, non rende possibile agli interessati l’esercizio dei diritti e delle tutele remediali loro riconosciute dalla normativa di protezione dei dati personali.

E’ dunque necessario, in osservanza del principio di trasparenza, definire tali elementi strutturali del trattamento, oltre a garanzie adeguate per le certificazioni di cui all’ultimo periodo dell’art. 9, c.10, ovvero quelle rilasciate, nelle more dell’adozione del dPCM cui è demandata la previsione della disciplina di dettaglio, dalle strutture sanitarie pubbliche e private, dalle farmacie, dai medici di medicina generale e pediatri di libera scelta. Per tali certificazioni si prevede, infatti, soltanto un vincolo di contenuto “minimo”, dovendo esse riportare le informazioni previste in allegato al decreto-legge.

Per questi certificati non è contemplata alcuna delle garanzie che saranno invece, doverosamente, introdotte con il citato dPCM, in ordine al termine di conservazione dei dati, alle misure di protezione di natura tecnica e organizzativa idonee a prevenire trattamenti non autorizzati o illeciti o la perdita, la distruzione o il danno accidentali e, infine, alle modalità di aggiornamento delle certificazioni stesse. In assenza di misure volte a garantire l’aggiornamento di tali attestazioni come in seguito sarà possibile grazie alla citata piattaforma, infatti, non sarà possibile verificarne l’attualità in caso di sopravvenuta modificazione dei presupposti di validità (ad esempio, per sopraggiunta positivizzazione).

E’ pertanto opportuno che tali garanzie, se realizzabili pur nell’ambito del sistema transitorio precedente l’emanazione del dPCM, siano inserite direttamente nel decreto-legge, essendo altrimenti preferibile la soppressione dell’ultimo periodo del comma 10.

Con i perfezionamenti su indicati, la disciplina delle certificazioni verdi nazionali può realizzare un congruo bilanciamento tra privacy, esigenze sanitarie, libertà di circolazione e di iniziativa economica. Si può, in tal senso, delineare un valido strumento (ancorché in via transitoria rispetto alla disciplina europea), al fine di consentire delle riaperture in sicurezza e, con esse, un’almeno parziale ripresa economica.

Tuttavia, ai fini della migliore efficacia – oltre che della piena legittimità- di tale strumento è indispensabile che esso contempli le garanzie essenziali ad assicurare, anche in questo caso, quella sinergia tra diritti individuali ed istanze collettive sulla quale si è fondata sinora l’azione di contrasto della pandemia.  Essa ha, infatti, saputo rifuggire la logica dell’eccezione (secondo cui necessitas non habet legem), riaffermando il valore della mediazione democratica per la ricerca dell’equilibrio più alto tra individuale e collettivo, persona e Stato, libertà e potere.

__________
(1) Libertà di circolazione, profilassi internazionale, autodeterminazione terapeutica (relativamente all’esigenza di evitare discriminazioni nei confronti di quanti non possano o non vogliano vaccinarsi e, quindi, di evitare obblighi vaccinali surrettizi) e, appunto, protezione dati: cfr. Corte cost., sent. 5/2018 sulle condizioni di legittimità dell’obbligo vaccinale, nonché, sulla riserva di legge statale in materia di vaccinazione, cfr. ordinanza Giudice del lavoro di Messina del 12 dicembre 2020; Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/21.