Covid-19: digital green certificate e sicurezza dei dati personali

Digital green certificate: L’EDPB e l’EDPS sottolineano la necessità che i trattamenti connessi al certificato siano posti in essere seguendo i criteri di effettività, necessità e proporzionalità.



Il 17 marzo 2021 la Commissione europea ha presentato una proposta (di seguito “Proposta”) per la creazione di un “digital green certificate” o “passaporto vaccinale” valido in tutti gli Stati Membri dell’UE, Islanda, Liechtenstein e Norvegia.  

Tale certificato ha l’obiettivo di agevolare la libera circolazione sicura dei cittadini durante la pandemia da COVID-19. Siamo in un periodo in cui, accanto al diritto fondamentale alla libera circolazione, forte è l’esigenza di ciascuno Stato di adottare delle misure, restrittive delle libertà, volte ad interrompere la diffusione del virus. 

Tale documento, che attesta se una persona è stata vaccinata o ha ottenuto un risultato negativo al test per Covid-19 o ancora è guarita dal Covid-19, permetterà al cittadino europeo di non sottostare alle eventuali restrizioni imposte dallo Stato Membro da lui visitato, quali l’obbligo di effettuare una quarantena. 

I passi successivi, previsti per l’estate 2021, saranno la predisposizione di infrastrutture digitali in grado di agevolare l’autenticazione dei certificati, le modifiche che eventualmente dovessero risultare necessarie ai rispettivi sistemi nazionali, e l’adozione dei certificati in questione.

La proposta, che nasce dopo confronti con i vari portatori di interessi diffusi e con gli Sati Membri, è volta ad intervenire in un contesto in cui è solo con un intervento a livello europeo che può essere tutelato il diritto pieno alla circolazione (principio di sussidiarietà). E proprio al fine di poter meglio ed immediatamente intervenire per garantire un’uniformità di diritti, lo strumento utilizzato per l’introduzione del certificato vaccinale è il regolamento, il quale produce immediatamente effetto negli Stati Membri senza necessità di una norma interna di recepimento.

All’interno di questo quadro, il parere congiunto dell’European Data Protection Board (eguito EDPB) e dell’European Data Protection Supervisory (EDPS) in merito al trattamento dei dati degli interessati.

Principi privacy da seguire

L’EDPB e l’EDPS sottolineano la necessità che i trattamenti connessi al certificato siano posti in essere seguendo i criteri di effettività, necessità e proporzionalità.

In relazione al concetto di proporzionalità rilevano l’importanza di un equilibrio tra gli obiettivi di interesse generale perseguiti da questo certificato da una parte e l'interesse individuale al rispetto dei diritti in materia di protezione dei dati personali, di non discriminazione e di tutela delle libertà in generale dall’altra.

Considerate poi anche le differenti posizioni ancora molto forti a livello europeo sia sulla differenza tra certificato vaccinale e certificato di immunità che sui rischi di discriminazione che possono sorgere con l’uso di questi certificati, le due autorità rimarcano l’importanza di predisporre una valutazione di impatto – ad oggi non ancora presente.

Un ulteriore principio, che peraltro viene seguito dalla Commissione già all’interno della Proposta e che qui viene ribadito, è quella della minimizzazione dei dati. Vengono infatti trattati i dati strettamente necessari e si prevede che non sia necessaria la creazione di alcuna banca dati centrale. Espressione di questo principio è anche la conservazione per il periodo strettamente necessario. Infatti la Proposta della Commissione, e di conseguenza il Regolamento che ne deriverà, non legittima né lo Stato che ha creato il certificato a conservare i dati in esso contenuti per un periodo superiore a quello per il quale il certificato può essere usato, né gli Stati Membri presso cui si recherà l’interessato, provvisto di certificato, a conservare i dati personali contenuti nello stesso. Infine, un principio che deve governare tutto il processo è quello della trasparenza. Il trattamento deve essere trasparente, così come i dati che vengono richiesti e trattati, e ciò al fine di rendere ancora più facile la possibilità per gli interessati di esercitare i propri diritti.   

Le osservazioni alla Proposta della Commissione

L’EDPB e l’EDPS chiedono alla Commissione di chiarire alcuni punti poco chiari nella loro Proposta. In particolare chiedono:

  • di chiarire se il certificato verrà creato in automatico dal Paese membro per i propri cittadini e rilasciato agli stessi solo a seguito di specifica richiesta oppure se la creazione dello stesso avverrà solo dopo una specifica richiesta 
  • di precisare che il rilascio di un eventuale ulteriore certificato, nel caso in cui il precedente non contenga dati esatti o aggiornati, verrà effettuato solo su richiesta dell’interessato.
  • di fornire il certificato sia in versione cartacea che digitale al fine di garantire l’inclusione di tutti i cittadini;
  • di modificare quanto ad oggi previsto nell’articolo 15 della Proposta che prevede la possibilità, mediante un atto delegato, di allargare l’applicazione del certificato oltre la situazione di emergenza da Covid-19, alle future ipotesi in cui l’Organizzazione Mondiale della Sanità (OMS) dovesse dichiarare un'emergenza di sanità pubblica di portata internazionale connessa a questa, o ad una patologia infettiva simile. Tale possibilità infatti contrasterebbe con il principio di limitazione
  • di chiarire esplicitamente se e quando sono previsti i trasferimenti internazionali previsti dal considerando 39 della Proposta (“i dati personali possono essere trasmessi/scambiati oltre frontiera al solo scopo di ottenere le informazioni necessarie per confermare e verificare la situazione del possessore del certificato in materia di vaccinazione, test o recupero di dati personali”) ed in questi casi di includere le idonee garanzie al fine di assicurare che i paesi terzi trattino i dati personali scambiati solo per le finalità specificate dalla Proposta

I Titolari del trattamento e le misure di sicurezza 

Già nell’articolo 9 della Proposta della Commissione vengono identificati quali Titolari del trattamento le autorità che nei singoli Paesi saranno responsabili del rilascio del certificato. Considerata l’importanza dei soggetti che agiscono quali Titolari e Responsabili del trattamento, ed al fine di facilitare gli interessati nell’esercizio dei loro diritti, l’EDPB e l’EDPS propongono di rendere pubblico l’elenco di questi soggetti.

Infine, per quanto riguarda le misure di sicurezza viene ribadita la necessità di effettuare delle valutazioni sull’efficacia delle stesse sia prima dell’inizio del trattamento dei dati sia nel corso, al fine di verificare la loro attualità. Considerato che la sicurezza comporta sia l’adozione di misure tecniche che organizzative, viene chiesta la modifica del titolo dello specifico articolo, l’8, della Proposta affinchè sia in grado sin da subito di recepire questa implementazione non solo formale ma soprattutto sostanziale.

Considerazioni finali

L’EDPB e l’EDPS evidenziano l’importanza che la Proposta della Commissione meglio definisca e delimiti lo scopo del certificato, le categorie di soggetti che possono accedere alle informazioni in esso contenute e le garanzie per ridurre gli eventuali usi illeciti. E sottolineano anche che la stessa preveda strumenti di controllo sull’utilizzo che gli Stati Membri faranno del certificato. 

Tale certificato dovrebbe essere infatti integrato all’interno di una politica sanitaria generale e dovrebbe limitarsi a perseguire la specifica e chiara finalità che lo ha visto nascere. L’importanza di tale controllo può poi essere ravvisata anche nel fatto che unitamente ai dati personali, il certificato va a trattare informazioni che indirettamente permetto di acquisire informazioni di natura sanitaria. 

Ad esempio, sapere che un giovane è stato vaccinato quando altri coetanei non lo sono stati, potrebbe permette di dedurre che lo stesso rientra in una delle situazioni che hanno giustificato una vaccinazione precoce.

Se ti è piaciuto l'articolo condividi: