Il GPDP, attraverso un apposito provvedimento, ha “avvertito” la Regione Campania che il sistema di certificazione dell’avvenuta vaccinazione, guarigione o negatività, promosso dalla Regione, viola la normativa sulla privacy.
Un’iniziativa priva di base giuridica
Il Green pass, o Certificazione verde, è il pass introdotto dal Decreto anti-Covid del 22/04/2021 che attesta di essere stati vaccinati, di essere guariti dal Covid o di essersi sottoposti a tampone nelle 48 ore precedenti con esito negativo.
Il pass è necessario non solo per spostarsi tra Regioni in fascia arancione e rossa ma anche per fruire di innumerevoli servizi come quelli turistici, alberghieri, di wedding, trasporti e spettacoli.
Il sistema di certificazione è stato previsto, nella Regione Campania, da un’ordinanza del Presidente che demanda successivamente all’Unità di crisi regionale la definizione delle modalità operative e la distribuzione di smart card al cui interno saranno registrati i pass.
Secondo il Garante della Protezione dei Dati Personali, considerato che disposizioni di tale natura che condizionano in modo significativo i diritti e le libertà personali sono ammissibili solo se previsti da un’idonea normativa nazionale e non da un’ordinanza regionale, l’iniziativa promossa dalla Regione Campania risulta priva di base giuridica.
La violazione dei principi base del Regolamento (UE) 679/16
L’Ordinanza, inoltre, in relazione all’utilizzo di smart card come “sistema di rilascio di certificazione di avvenuta vaccinazione”, non specifica la titolarità del trattamento, chi può accedere e usare le informazioni e chi può controllare la validità e l’autenticità delle certificazioni.
L’iniziativa violerebbe quindi i principi di liceità, correttezza, trasparenza e di privacy by design e by default definiti dal Regolamento (UE) 679/16 sulla protezione dei dati personali.
Il sistema di rilascio e verifica della vaccinazione introdotto dalla Regione Campania risulta difforme da quelli individuati a livello nazionale e mette a rischio la stessa interoperabilità delle certificazioni a livello nazionale ed europeo.
Il focus del Garante sui pass vaccinali
Il GPDP è particolarmente attento in questi mesi al tema dei pass vaccinali, considerato che i dati relativi allo stato vaccinale rappresentano dati molto delicati e che un loro trattamento non corretto potrebbe determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone dando adito a discriminazioni, violazioni e riduzioni illegittime di libertà costituzionali.
È per questo motivo che il Garante ritiene che il trattamento dei dati relativi allo stato vaccinale ai fini della fruizione di determinati servizi o dell’accesso ai locali debba essere oggetto di una norma di legge a livello nazionale e che in assenza di tale base giuridica l’utilizzo di app o pass atti a distinguere i cittadini vaccinati dai cittadini non vaccinati sia da considerarsi illegittimo.
A maggior ragione, la gestione del pass in Italia risulta ancor più sotto la lente di ingrandimento del Garante in relazione al fatto che lo stesso non è stato coinvolto da parte del Governo nella stesura del decreto legge che regola l’introduzione del pass, il che ha generato una situazione che appare carente su molti aspetti formali ed esecutivi; in assenza di specifiche indicazioni sulle corrette modalità di conservazione e trattamento dei dati, il Garante è quindi intervenuto per sottolineare tutte le criticità rilevate e si spera in un intervento a breve per disciplinare il rilascio del pass nel rispetto della privacy.
Fonte: Garante per la protezione dei dati personali “Green pass: no a iniziative locali che violano la normativa privacy. Il Garante invia un avvertimento formale alla Regione Campania” – 26/05/2021