Lab-IP

Pass vaccinale: le preoccupazioni del Garante della privacy

Emanuel Silvestri

06/05/2021

Il 2 marzo 2021, ad un anno esatto dall’inizio della pandemia da Covid19, la Presidente della Commissione europea ha annunciato l’intenzione di introdurre un Digital Green Pass, una sorta di passaporto in grado di identificare i soggetti a cui è stato inoculato un vaccino contro il coronavirus e permettere di muoversi liberamente tra i 27 Paesi dell’Unione per ragioni di lavoro o turismo. La proposta segue l’esempio già sperimentato con successo nello Stato di Israele dove il numero di nuovi contagi è stato sensibilmente abbattuto. 

Il 17 marzo, l’Unione europea ha approvato ufficialmente il “passCovid”. In base alle disposizioni europee, il certificato verde consentirà di spostarsi liberamente tra gli Stati membri a chiunque si sia sottoposto a vaccino, oppure risulti negativo ad un test o dimostri di essere guarito dal Covid avendo sviluppato gli anticorpi. Il documento sarà reso per tutti da giugno 2021 in formato digitale o cartaceo, sarà interoperabile e legalmente vincolante per gli Stati membri e riguarderà tutti i vaccini disponibili sul mercato. Sulla falsariga di quanto concertato a livello europeo, molti Stati membri hanno deciso di anticipare la decisione con dei “pass nazionali” per garantire lo spostamento tra le diverse aree del Paese o per viaggiare all’estero. Tra questi la Grecia che per salvare la stagione turistica estiva ha stipulato un accordo bilaterale con Israele per tutelare il flusso reciproco di cittadini vaccinati e l’Ungheria che ha cominciato ad emettere certificati simili per i suoi cittadini immunizzati dal vaccino o dal contagio. 

Con il Decreto-Legge n.52 del 26 aprile (D.L. “Riaperture”), anche il Governo italiano ha seguito questo orientamento. Nelle prescrizioni del legislatore nazionale, il pass sarà previsto per spostarsi tra Regioni che hanno un diverso grado di rischio (art.2), partecipare a manifestazioni pubbliche (art.5), garantire l’ingresso a fiere, convegni e congressi (art.7).

 Il “pass italiano” sarà all’inizio cartaceo rilasciato da medici, farmacisti o strutture sanitarie e riguarderà tutti coloro che hanno terminato l’intero ciclo vaccinale con una durata di validità di 6 mesi così come per coloro che hanno sviluppato l’immunità dopo essere guariti dalla malattia. Per i soggetti che si sono sottoposti a test (molecolare o antigenico) risultando negativi, il pass avrà una durata limitata alle 48 ore seguenti all’esito. L’obiettivo è pervenire ad un pass digitale che si avvalga di un’applicazione per smartphone con codice QR oppure introdurre una tessera con i dati forniti dalle autorità sanitarie tramite il libretto sanitario elettronico. Il pass italiano dovrà poi essere coordinato con quello europeo non appena sarà adottato il Digital Green Certificate.

Il 23 aprile, con l’avvertimento indirizzato al Governo, l’Autorità Garante per la Protezione dei Dati Personali ha elencato le criticità sul pass vaccinale e i pericoli che potrebbero derivare da una adozione nei termini prescritti (Provvedimento 23 aprile 2021, n.156).

Il primo rimprovero è quello di non aver consultato preventivamente il Garante quando sarebbe stato necessario eseguire una valutazione di impatto di queste norme sui diritti e le libertà dei cittadini così come disciplinati dalla legislazione vigente.

Il secondo rilievo riguarda la base giuridica che introduce il pass. Secondo il Garante non sarebbe valida perché mancante di elementi essenziali richiesti dal Regolamento europeo e dal Codice della Privacy. Il decreto, infatti, non indicherebbe in modo tassativo ed esplicito per quali finalità è richiesto l’attestato. L’indicazione degli obiettivi appare ineludibile per stabilire se il sacrificio della privacy possa considerarsi proporzionato a realizzare gli scopi perseguiti oppure no. 

Il Garante sottolinea poi un aspetto non secondario. Ove manchi già ab origine una indicazione delle finalità per introdurre il pass, “cosa assicura che in futuro esso non possa essere esteso per consentire l’accesso a luoghi e servizi pubblici o per instaurare un rapporto di lavoro o per essere ammessi a scuola?”.

C’è inoltre un problema relativo alle informazioni contenute nel certificato che andrebbero limitate a quelle “strettamente indispensabili”, come i dati anagrafici, l’identificativo univoco della certificazione, la data di fine validità della stessa, riguardando dati classificati come “sensibili”.

Appare poi fortemente discutibile e contraria al principio di minimizzazione, la scelta di adottare tre certificazioni diverse che distinguono tra vaccino, pregressa malattia, o test negativo. Sarebbe sufficiente per lo scopo realizzare un unico certificato uguale per tutti che indichi solo la durata della sua validità senza dover indicare a chiunque le vicende sanitarie dell’interessato.

A conclusione, mancherebbe anche del tutto l’indicazione del titolare del trattamento dei dati e non sarebbe stabilito presso quale ente avrà sede la piattaforma nazionale di raccolta (censure già segnalate dal Garante in sede di provvedimento autorizzativo sull’APP Immuni). Questa mancanza costituirebbe una grave violazione delle norme sulla privacy, così come il fatto di non aver previsto un termine ultimo di durata per la conservazione dei dati e le misure attuative necessarie per garantirne l’integrità e la riservatezza.

FacebooktwitterredditpinterestlinkedintumblrmailFacebooktwitterredditpinterestlinkedintumblrmail