Per usare il green pass bisogna ancora risolvere alcuni problemi di privacy

È stato firmato il decreto del presidente del Consiglio dei ministri (Dpcm), adottato di concerto con il ministro della salute, il ministro per l’Innovazione tecnologica e il ministro dell’Economia, per l’attuazione della piattaforma nazionale digital green certificate (Dgc) finalizzata all’emissione al rilascio e alla verifica del Covid Certificate. I profili essenziali del tema sono ormai conosciuti. Invece, forse non è altrettanto noto che il parere favorevole del Garante sul Dpcm – reso il 9 giugno scorso – è condizionato al recepimento di indicazioni fornite dal Garante stesso. Green pass, Draghi firma il decreto sulla “certificazione verde Covid-19” Si tratta di criticità rilevate dall’Autorità riguardo al testo del cosiddetto Decreto Riaperture e contenute nel provvedimento di avvertimento adottato dalla stessa il 23 aprile scorso. Restano quindi alcuni problemi, che potranno essere risolti in sede di conversione in legge di tale decreto. Le condizioni Il rilievo principale riguarda le finalità delle certificazioni per attestare l’avvenuta vaccinazione o guarigione da Covid-19 oppure l’esito negativo di un test antigenico o molecolare. Il Garante ha affermato che il relativo trattamento dei dati personali può essere considerato “proporzionato” – ai sensi del Regolamento europeo sulla protezione dei dati personali (Gdpr) – solo a condizione che, in sede di conversione in legge del decreto che ha introdotto le certificazioni, «ne siano specificamente definite le finalità e sia introdotta una riserva di legge statale» per l’utilizzo delle certificazioni stesse. In altri termini, solo una legge dello stato – quindi non una legge regionale o un Dpcm, ad esempio – può subordinare al possesso della certificazione l’accesso a luoghi o servizi. Green pass europeo, firmato il regolamento: ecco come funziona Questo rilievo era stato avanzato dal Garante già nel citato provvedimento del 23 aprile e poi ribadito dal presidente dell’Autorità, in audizione in parlamento. Inoltre, il Comitato nazionale per la bioetica aveva evidenziato il rischio di discriminazioni «in base alla provenienza geografica», derivante dal fatto che regioni o singoli comuni potessero richiedere certificazioni aggiuntive. Proprio l’indeterminatezza normativa delle circostanze per l’esibizione del “green pass” ha favorito l’adozione, da parte di alcune regioni e province autonome, di ordinanze che ne hanno imposto l’uso anche per scopi ulteriori rispetto a quelli previsti nel Decreto Riaperture, rendendo necessario l’intervento del Garante (ad esempio, verso la regione Campania). Dunque, la disciplina del Covid Certificate andrà integrata individuando con chiarezza, in sede di conversione in legge del decreto, i casi in cui può essere chiesto di esibire la certificazione verde per accedere a luoghi o locali. Peraltro, anche il Regolamento europeo sul “green pass” prevede che lo stesso possa essere utilizzato dagli stati membri per finalità ulteriori rispetto agli spostamenti all’interno dell’Ue, ma solo se ciò è previsto da una norma nazionale. L’Autorità ha altresì invitato il governo a valutare, sempre in sede di conversione del decreto indicato, la possibilità che l’accesso a eventi o luoghi possa essere subordinata al possesso delle predette certificazioni verdi esclusivamente qualora sia prevista la presenza di un numero di partecipanti superiore a una soglia determinata, quindi non in ogni caso. Analogamente, l’Autorità ha evidenziato l’opportunità che la certificazione verde non sia richiesta per «attività che comportano l’accesso a luoghi in cui si svolgono attività quotidiane (come ristoranti, luoghi di lavoro, negozi, ecc.) o a quelli legati all’esercizio di diritti e libertà fondamentali (come diritto di riunione, libertà di culto, ecc.)». Il Garante intende richiamare l’attenzione sul fatto che l’uso del pass vada limitato solo ai casi in cui ciò sia strettamente necessario, a fini di salute pubblica, e comunque nel rispetto delle tutele costituzionali. Il Garante ha pure sottolineato che, come indicato anche nel Regolamento europeo sul “green pass”, la disciplina nazionale deve prevedere «idonee garanzie per prevenire discriminazioni nei confronti di coloro che, per motivi clinici, potrebbero essere nell’impossibilità di sottoporsi alla vaccinazione e che si troverebbero nella condizione di dover effettuare, anche in più occasioni, test antigenici o molecolari (sostenendone i relativi costi) al fine di poter partecipare ad attività per le quali è richiesto il possesso delle predette certificazioni». In altre parole, se è vero che la previsione di tamponi evita eventuali discriminazioni verso i non vaccinati, tuttavia l’effettuazione di più test di accertamento – che hanno una validità di 48 ore, nonché costi talora non indifferenti – si traduce comunque in una disparità tra vaccinati e non. I rilievi superati Il decreto-legge di fine maggio sulla governance del Pnrr aveva superato una delle criticità sollevate dall’Autorità nel citato richiamo formale del 23 aprile, attribuendo al ministero della Salute la titolarità dei trattamenti effettuati attraverso la Piattaforma nazionale-Dgc. In tale richiamo il Garante aveva rilevato, tra le altre cose, che la norma sulle certificazioni verdi non rispettava il principio di “minimizzazione” dei dati, previsto dal Gdpr, e suggerito che esse mostrassero solo i dati personali strettamente necessari a consentire ai soggetti preposti ai controlli – da individuare specificamente – di accertare la validità della certificazione. Il Dpcm ha recepito questi rilievi. Infatti, «sebbene le predette certificazioni riportino numerose informazioni personali» – dice il Garante – tali informazioni non sono rilevabili da parte di chi fa le verifiche. L’app VerificaC19, individuata dal ministero della Salute quale unico strumento di controllo a disposizione dei verificatori – indicati dal Dpcm – consente infatti di rilevare esclusivamente «l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’interessato». Il soggetto deputato al controllo, quindi, non ha informazioni sulla condizione (vaccinazione, guarigione, esito negativo di un test Covid-19) per la quale è stata emessa la certificazione, nel rispetto della “privacy” dell’interessato. Peraltro, le caratteristiche tecniche della predetta applicazione non prevedono la registrazione dei dati relativi ai controlli effettuati e la verifica dei certificati non comporta la raccolta dei dati del controllato. Il Garante precisa che l’uso di strumenti di verifica ulteriori – ad esempio, app per dispositivi mobili, com’era l’app Mitiga, bloccata dal Garante – non sono ammissibili. Con il varo del nuovo Dpcm è stato palese, ancora una volta, che il diritto al trattamento dei propri dati in conformità alla relativa disciplina può essere rispettato anche nel perseguimento di fini di sanità pubblica. Detto ciò, la certificazione nazionale, prevista sin da aprile, diviene operativa solo nell’imminenza dell’entrata in vigore di quella Ue, che la sostituirà dal 1° luglio. E la “colpa” non è della privacy.