Il garante privacy ha dato parere favorevole alla green pass Covid-19

Redazione 02/07/21
Scarica PDF Stampa
 

Garante per la protezione dei dati personali: Parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass del 09.06.2021

Premessa

Nel parere oggetto del presente commento, il Garante per la protezione dei dati personali è intervenuto per fornire il proprio parere in ordine al rispetto della normativa privacy del DPCM che ha ad oggetto la previsione e l’attuazione della piattaforma nazionale DGC e il rilascio del certificato verde Covid-19 che permette l’accesso ad alcune tipologie di manifestazioni ed eventi.
Il Ministero della salute ha, quindi, trasmesso al Garante lo schema di decreto del Presidente del Consiglio dei Ministri, da adottare ai sensi dell’art.9 del d.l. n.52/2021, nonché la relativa valutazione di impatto sui dati personali (effettuata sempre al Ministero) in ordine agli effetti che potranno derivare sui dati personali dai trattamenti disciplinati dal DPCM medesimo ed in particolare quelli trattati attraverso la Piattaforma nazionale DGC per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19, proprio per permettere al Garante di fornire il proprio parere in merito, che sostanzia una condizione necessaria per l’avvio della suddetta Piattaforma.

Lo schema di decreto è composto da 19 articoli e 6 allegati.

Il primo allegato (allegato A) si occupa di descrivere i dati utilizzati per l’emissione di tali certificazioni e ne individua la provenienza, la destinazione e il trattamento, nonché le informazioni contenute e visibili nelle varie tipologie di certificazione verde.

L’allegato B definisce, invece, le regole di concessione e di revoca delle certificazioni verdi, nonché disciplina il processo con cui viene effettuata la verifica, da parte dei soggetti a ciò deputati, per mezzo della relativa app (cioè la App Verifica C19).

L’allegato C, poi, introduce le modalità con cui vengono trasmessi i dati da parte dei soggetti autorizzati, sia per quanto riguarda l’esecuzione dei tamponi finalizzati a rilevare il contagio da Covid-19 sul paziente, sia dei relativi certificati di guarigione da Covid-19, con particolare attenzione alle modalità di fruizione e di accesso.

L’allegato D, invece, si occupa di indicare la struttura dell’identificativo univoco delle certificazioni verdi, mentre l’allegato E si occupa di illustrare gli strumenti digitali, che vengono messi a disposizione degli interessanti affinchè ognuno di essi possa recuperare la propria certificazione verde Covid-19 e le modalità con cui detti interessati possano effettuare la autenticazione e la successiva interazione con la piattaforma nazionale DGC nonché di individuare i soggetti che sono coinvolti in dette operazioni.

Infine, l’allegato F descrive le caratteristiche dell’infrastruttura informativa e le misure che vengono adottate per garantire la riservatezza, l’ integrità e la disponibilità dei dati che vengono trattati attraverso la suddetta piattaforma nazionale.

Le finalità della certificazione verde

Per quanto concerne la individuazione delle finalità del c.d. Green pass covid-19, il Garante evidenzia come il d.l. n. 52/2021 abbia introdotto delle misure urgenti per contenere e contrastare l’emergenza epidemiologica da Covid-19, con riguardo agli spostamenti sul territorio nazionale nelle zone identificate come “rosse” o “arancioni” nonché con riguardo alla partecipazione a convegni, fiere, congressi ed eventi sportivi e in generale a spettacoli aperti al pubblico.

In particolare, il decreto prevede che tali spostamenti, in entrata e in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa (oltre alle ipotesi di spostamenti per motivi di salute, di lavoro o per necessità), nonché l’accesso a manifestazioni, fiere e congressi siano consentiti ai soggetti muniti di certificazioni verdi.

Il successivo d.l. n.65/2021 ha, poi, esteso l’ambito di utilizzo delle predette certificazioni anche in zona gialla, ammettendo la possibilità di celebrare feste conseguenti a cerimonie civili o religiose, anche al chiuso, purchè i partecipanti siano muniti della documentazione di riferimento. Inoltre, il Ministero della Salute, con apposita Ordinanza, ha stabilito che le richiamate certificazioni debbano essere esibite anche dai familiari dei soggetti ricoverati nelle RSA che voglio accedere alla struttura per visitare il proprio parente.

La richiamata normativa prevede che tali certificazioni possano essere rilasciate, su richiesta dell’interessato, per attestare tre diverse condizioni che permettono gli spostamenti o l’accesso ai luoghi di cui sopra:

  • il completamento del ciclo vaccinale;
  • l’avvenuta guarigione da Covid-19;
  • l’effettuazione del test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2.

Il Garante per la protezione dei dati personali, già con il proprio precedente provvedimento del 23 aprile 2021 aveva rilevato, la possibile violazione della normativa in materia di privacy da parte delle suddette certificazioni in quanto vi era una rilevante criticità dovuta al fatto che il decreto che le ha previste non individuava le finalità perseguite attraverso l’introduzione di tali certificazioni.

In particolare, secondo il Garante, una tale carenza di individuazione delle finalità del trattamento, assumerebbe particolare rilievo con riferimento alla possibilità che queste certificazioni possano essere utilizzate come condizioni di accesso a luoghi o servizi oppure per l’instaurazione o la individuazione delle modalità di svolgimento di rapporti giuridici che non sono espressamente indicati nel decreto.

Il Garante ha quindi rilevato come l’indeterminatezza delle finalità per le quali è richiesta all’interessato l’esibizione della certa verde abbia già favorito l’adozione a livello regionale di ordinanze che ne prevedevano l’uso ai fini dell’accesso a luoghi o servizi o per le modalità di svolgimento di rapporti giuridici.

A titolo di esempio di tale problematica, il garante ha evidenziato di essere già intervenuto in precedenza con riferimento ad un’ordinanza adottata dalla Regione Campania in cui aveva rivendicato il potere dello Stato di adottare tutte quelle misure che limitino i diritti e le libertà fondamentali tra le quali ricade anche il trattamento dei dati personali.

Inoltre, la mancata individuazione delle finalità, determina la impossibilità di valutare se i trattamenti di dati effettuati in base alla normativa che introduce le certificazioni verdi siano proporzionate o meno.

In considerazione di ciò, con il richiamato provvedimento dello scorso aprile, il Garante aveva già rilevato come il D.L. 52/2021 non costituisce una idonea base giuridica per legittimare i trattamenti dei dati personali previsti dal sistema delle certificazioni verdi.

In risposta al suddetto provvedimento del Garante, il Ministero della Salute ha fornito i chiarimenti circa le finalità dell’uso delle certificazioni verdi.

In particolare, il Ministero ha precisato che l’uso delle certificazioni verdi è stato concepito per favorire gli spostamenti tra le regioni italiane in condizioni di sicurezza e nel rispetto delle garanzie a protezione dei dati personali, con il solo obbligo di esibizione alle Forze di Polizia ai fini delle verifiche sugli spostamenti tra regioni e senza possibilità di conservazione o successivo utilizzo dei dati raccolti.

I soggetti coinvolti nel trattamento

Con specifico riferimento alla Piattaforma nazionale-DGC, il DPCM prevede che la titolarità dei dati, che vengono trattati dalla società Sorgei S.p.a. mediante l’infrastruttura del Sistema Tessera Sanitaria (nell’ambito della vigente convenzione fra il Ministero dell’economia e delle finanze e la predetta società per la medesima infrastruttura) sia attribuita al Ministero della salute.

È previsto, inoltre che il Ministero della salute, per garantire il corretto trattamento dei dati personali, designi quali responsabili del trattamento il Ministero dell’economia e delle finanze e le società Sorgei S.p.a.e PagoPA S.p.a.

La piattaforma DGC e il periodo di conservazione dei dati

Il d.l. 52/2021 ha istituito la piattaforma nazionale DGC e previsto che questa sia il sistema informativo nazionale per il rilascio, la verifica e l’accettazione delle certificazioni verdi che operano a livello nazionale ed europeo grazie al Sistema TS.

La suddetta piattaforma consente la raccolta e la gestione delle informazioni necessarie per la concessione e revoca della validità delle certificazioni, sia per l’avvenuta vaccinazione, guarigione e di test antigenico rapido o molecolare con esito negativo.

Inoltre, la piattaforma si occupa di gestire la generazione e la revoca della validità delle certificazioni verdi  e delle codifiche europee e nazionali per consentire un’efficace operatività con i sistemi informativi degli altri Stati membri dell’Unione Europea.

La piattaforma DGC si compone di una serie di elementi:

  • il primo è il sistema di raccolta e gestione delle informazioni necessarie alla concessione delle predette tre tipologie di certificazioni verdi (le vaccinazioni, le guarigioni e i test antigenici rapidi o molecolari).
  • La seconda componente sono l’insieme delle applicazioni e dei programmi con cui l’utente non interagisce direttamente ma che sono essenziali al funzionamento della Piattaforma per consentire la elaborazione delle informazioni necessarie per la concessione delle certificazioni (sulla base di precise regole sanitarie).
  • La terza componente si occupa di definire i diversi strumenti digitali per la messa a disposizione delle certificazioni verdi a tutti gli interessati.
  • Infine, la quarta componente introduce l’app per i dispositivi mobili che consente di controllare l’autenticità, la validità e l’integrità della documentazione necessaria.

Nel caso in cui una struttura pubblica del Servizio Sanitario Regionale o un medico USMAF o SASN comunichi alla Piattaforma DGC la positività di una persona vaccinata o guarita dal virus, quest’ultima provvederà a revocare le certificazioni già generate o ancora in corso di validità.

Per quanto riguarda la conservazione dei dati contenuti nelle certificazioni verdi, il decreto prevede che queste siano conservate fino alla loro validità e cancellate alla scadenza della stessa dal predetto Sistema TS.

Disponibilità delle certificazioni a favore degli interessati

Lo schema di DPCM prevede poi che gli interessati, al ricevimento delle certificazioni verdi, possono disporne attraverso il sito web dedicato alla Piattaforma nazionale, il Fascicolo Sanitario Elettronico, App Immuni, App IO, Sistema TS.

Una volta concessa la certificazione, l’interessato riceve una mail o un sms con un codice denominato AUTHCODE, generato dalla Piattaforma in virtù dei dati acquisiti al momento della prenotazione o somministrazione del vaccino.

Il codice generato dal sistema o l’utilizzo dell’identità digitale consentono all’interessato di accedere alla Piattaforma e di consultare la validità delle proprie certificazioni.

Per la sicurezza nell’utilizzo dell’AUTHCODE è prevista la segnalazione da parte della Piattaforma sia nel caso in cui il numero di tentativi di recupero della certificazione sia stato effettuato più volte con le stesse cifre della Tessera Sanitaria e in un periodo temporale limitato, oppure nel caso di ripetuti tentativi di accesso errati.

È possibile inoltre, che la certificazione verde venga resa disponibile all’interno del Fascicolo Sanitario elettronico dell’interessato, in formato PDF e visibile solo a quest’ultimo.

Il decreto prevede, infine, che l’interessato possa ottenere la propria certificazione anche recandosi da un medico o da un farmacista che accede al Sistema TS con le proprie credenziali, procedendo al recupero della certificazione dell’interessato attraverso l’inserimento delle cifre del numero della Tessera Sanitaria di quest’ultimo.

I dati riportati nelle certificazioni verdi

Le certificazioni verdi contengono informazioni in merito all’avvenuta guarigione, la vaccinazione o l’esito negativo di un test antigenico o molecolare e comprendono, quali dati personali: il nome e il cognome dell’interessato, la sua data di nascita, la malattia o l’ agente bersaglio, la struttura che ha rilasciato il certificato, l’ identificativo univoco dello stesso.

Le informazioni in merito alla avvenuta vaccinazione fanno riferimento al tipo, alla denominazione, al produttore o al titolare dell’autorizzazione all’immissione in commercio del vaccino somministrato, al numero della dose effettuata e al numero totale di dosi previste, alla data dell’ultima somministrazione vaccinale e allo stato membro in cui la vaccinazione è stata effettuata.

La certificazione verde di avvenuta guarigione, invece, riporta la data del primo test molecolare positivo, l’indicazione dello stato membro che ha effettuato il primo test positivo e la data di emissione della scadenza della certificazione.

I dati raccolti relativamente alla certificazione da test antigenico rapido o molecolare con esito negativo, infine, riporta l’indicazione della tipologia di test effettuato, della denominazione e del produttore del test che è stato, della data e dell’ ora del prelievo del campione e lo Stato in cui è stato effettuato il test.

Le modalità di verifica delle certificazioni verdi

Il decreto prevede che la verifica delle certificazioni venga effettuata mediante la lettura del codice a barre bidimensionale da parte del verificatore esclusivamente attraverso l’App di Verifica C19.

La suddetta App consente al verificatore di controllare l’autenticità, la validità e l’integrità della certificazione e di accedere alle generalità del soggetto senza però rendere visibili al verificatore le informazioni che hanno determinato l’emissione della certificazione e senza conservare i dati oggetto di verifica.

Per quanto concerne i soggetti deputati al controllo dei certificati verdi, questi vengono individuati dallo schema di DPCM nelle seguenti figure:

  • i pubblici ufficiali nell’esercizio delle relative funzioni;
  • il personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o in pubblici servizi;
  • i soggetti titolari delle strutture recettive e dei pubblici esercizi per l’accesso ai quali è prescritto il possesso della certificazione verde;
  • il proprietario o il legittimo detentore di luoghi o locali presso i quali si svolgono eventi e attività per partecipare ai quali è necessario essere muniti della certificazione verde;
  • i gestori delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali per poter accedere alle quali, in qualità di visitatori, è necessario essere muniti della certificazione verde.

Viene inoltre previsto che l’interessato, al momento del controllo della certificazione verde, possa essere richiesto, da uno dei soggetti di cui sopra deputati al controllo, di esibire un documento di identità.

Informazioni da rendere agli interessati

Lo schema di decreto in esame prevede che l’interessato possa esercitare i diritti previsti dagli artt. 15, 16 e 18 del Regolamento europeo (GDPR) secondo le modalità indicate nell’ambito delle informazioni rese all’interessato, ai sensi degli artt. 13 e 14 del Regolamento medesimo (cioè secondo quanto previsto nell’informativa privacy).

Identificativo univoco e codice a barre

Lo schema di decreto in esame prevede, infine, che alle certificazioni verdi sia associato un identificativo univoco con un codice a barre bidimensionale (QR code).

Il suddetto codice si compone di 37 caratteri alfanumerici che comprendono la versione del codice, il paese che lo ha emesso e una stringa casuale nonché un codice per garantire l’integrità dello stesso. Il QR code, invece, contiene i dati della certificazione verde, che sono stati elaborati, firmati digitalmente e codificati attraverso l’uso di diversi formati e protocolli.

La decisione del Garante

La base giuridica del trattamento

Come detto, l’Autorità Garante per la protezione dei dati personali aveva già ritenuto, con proprio provvedimento dell’ aprile 2021, che il D.L. 52/2021 non rappresentava una valida base giuridica per legittimare i trattamenti di dati personali attraverso  l’introduzione e l’utilizzo dei certificati verdi a livello nazionale, riconoscendo che la suddetta misura normativa non teneva conto adeguatamente dei rischi che tale trattamento dati determina per i diritti e le libertà degli interessati.

Secondo il Garante, le suddette criticità dal medesimo sollevate sono state solo parzialmente superate con i successivi interventi normativi in materia. In ragione di ciò, l’autorità ritiene necessario che, in sede di conversione in legge del d.l. n. 52/2021, sia introdotta una riserva di legge statale per l’individuazione puntuale delle finalità per le quali possono essere utilizzate le suddette certificazioni verdi attestanti l’avvenuta vaccinazione o la guarigione da Covid-19 o ancora l’esito negativo di un test antigenico o molecolare.

Infatti, secondo il Garante, la circostanza che si richieda il possesso di una certificazione attestante la conclusione del ciclo vaccinale o la guarigione da Covid-19 così come l’esito negativo del tampone molecolare quale condizione necessaria per poter accedere a luoghi e servizi, sostanziano una limitazione della libertà personale. Pertanto, una tale limitazione è ammissibile soltanto se è prevista da una norma di rango primario (quindi da una legge).

Inoltre, il Garante precisa che l’utilizzo delle certificazioni verdi diverse da quelle previste dal decreto oggetto del presente commento non possono ritenersi ammissibili anche perché non garantirebbero in ogni caso il rispetto del principio di esattezza dei dati trattati.

Infatti, soltanto la Piattaforma nazionale DGC, che viene attuata nel rispetto delle garanzie previste dalla disciplina sulla protezione dei dati personali, possiede le caratteristiche per realizzare un concreto e legittimo obiettivo di interesse pubblico idoneo a legittimare il relativo trattamento dati.

Inoltre, secondo il Garante, al fine di assicurare che la norma relativa all’introduzione delle certificazioni verdi rispetto il principio di proporzionalità del trattamento, è necessario considerare dette certificazioni come delle misure di sanità pubblica che consentano di accedere ad alcune tipologie di eventi o luoghi soltanto nel caso in cui sia prevista la presenza di un numero determinato di partecipanti.

Secondo il Garante, è poi importante specificare che la necessità di presentazione delle certificazioni verdi debba essere esclusa per l’accesso ai luoghi in cui si svolgono le attività quotidiane (come ristoranti, luoghi di lavoro ecc.) oppure dove si svolgono le attività legate all’esercizio di diritti e libertà fondamentali delle persone (es. luoghi dove si svolge il diritto di riunione o la libertà di culto ecc).

Infine, il Garante richiede che la normativa nazionale sia idonea a prevenire discriminazioni nei confronti di quei soggetti che per motivi clinici non possono sottoporsi a vaccinazione o ai test molecolari o antigenici al fine di partecipare a quelle attività per cui è richiesta la certificazione.

In considerazione di quanto sopra, il Garante ritiene indispensabile superare l’indeterminatezza delle finalità della disposizione attraverso l’introduzione di adeguate garanzie quali quelle sopracitate.

La natura transitoria delle disposizioni

Nello schema di DPCM in esame è prevista l’applicazione della normativa in tema di certificazioni verdi, in ambito nazionale, soltanto fino alla data di entrata in vigore degli atti delegati per l’attuazione delle disposizioni previste dal Parlamento europeo e del Consiglio.

Inoltre, la verifica e l’accettazione di certificazioni interoperabili all’interno dell’unione europea avrà come effetto quello di abilitare l’attivazione della Piattaforma DGC.

Il Garante aveva già rilevato nel provvedimento del 23 aprile 2021 l’insussistenza delle motivazioni in forza delle quali si era inteso introdurre soltanto in via provvisoria l’utilizzo delle predette certificazioni verdi.

Tali motivazioni non sono tutt’oggi riportate nello schema di decreto in esame pertanto, il Garante rileva la necessità di modificare la previsione che concerne la natura transitoria delle disposizioni applicabili in ambito nazionale per evitare che esse cessino di avere efficacia nel momento in cui entrerà in vigore il Regolamento europeo.

Il principio di minimizzazione dei dati

In merito alla possibile violazione del principio di minimizzazione dei dati (secondo cui i dati devono essere adeguati e pertinenti rispetto alle finalità per le quali sono trattati), che il Garante aveva già segnalato con il proprio provvedimento dell’aprile 2021, l’Autorità aveva evidenziato la necessità che le certificazioni dovessero riportare i dati personali strettamente necessari al fine di  consentire ai soggetti preposti ai controlli di verificare il possesso di una certificazione valida.

Il Garante ritiene che il suddetto rilievo può ritenersi superato dallo schema di decreto in esame, in quanto, sebbene le certificazioni contengano numerose informazioni personali, non è prevista la rilevabilità dei tali dati in fase di verifica da parte del soggetto che svolge il controllo (pertanto tale soggetto non viene a conoscenza della condizione in base alla quale è stata rilasciata all’interessato la certificazione verde, né la data di cessazione della sua validità); inoltre, in quanto la APP utilizzata per la verifica delle certificazioni verdi non prevede la registrazione dei dati relativi al controllo effettuato.

Volume consigliato

I rischi nel trattamento dei dati – e-Book in pdf

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici. 

Michele Iaselli | 2021 Maggioli Editore

9.90 €  7.92 €

Soggetti deputati al controllo delle certificazioni

Un’importante novità introdotta con il decreto oggetto del presente commento è stata l’individuazione dei soggetti deputati al controllo delle certificazioni, attribuito come precedentemente detto alle seguenti figure:

  • i pubblici ufficiali nell’esercizio delle relative funzioni;
  • il personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o in pubblici servizi;
  • i soggetti titolari delle strutture recettive e dei pubblici esercizi per l’accesso ai quali è prescritto il possesso della certificazione verde;
  • il proprietario o il legittimo detentore di luoghi o locali presso i quali si svolgono eventi e attività per partecipare ai quali è necessario essere muniti della certificazione verde;
  • i gestori delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali per poter accedere alle quali, in qualità di visitatori, è necessario essere muniti della certificazione verde.

Secondo il Garante, quindi, tale individuazione specifica ha superato le criticità in precedenza evidenziate.

I diritti dell’interessato

Il Garante aveva già rilevato la necessità di introdurre la possibilità per il soggetto interessato di esercitare il diritto di rettifica con modalità semplificate rispetto a quelle tradizionalmente previste, al fine di assicurare l’esattezza e il costante aggiornamento dei dati trattati.

Nello schema di DPCM è stato quindi prevista tale possibilità per l’interessato attraverso l’uso di un servizio telefonico dedicato attraverso un numero di pubblica utilità.

Inoltre nello schema di decreto è stata introdotta la possibilità di informare l’interessato in caso di revoca della certificazione, utilizzando i dati di contatto forniti dallo stesso interessato; ciò, al fine di assicurare un controllo utile anche all’individuazione di dati non corretti.

Gli strumenti digitale per la messa a disposizione dell’interessato delle certificazioni verdi

Come detto, il decreto prevede che l’interessato possa consultare, visualizzare e scaricare le certificazioni verdi o attraverso la Piattaforma, il fascicolo elettronico, app immuni, app IO e il Sistema TS. L’accesso con l’app immuni o tramite sito web è garantito in virtù dell’indicazione del numero della tessera sanitaria e del relativo codice autorizzativo (AUTHCODE) generato dalla Piattaforma.

Nello schema di decreto viene inoltre previsto che l’AUTHCODE sia comunicato all’interessato attraverso l’utilizzo dei dati di contatto forniti dall’interessato, ma non viene esplicitato se tali dati siano trattati solo ai fini di tale comunicazione o se anche per altri scopi, nonché il periodo di conservazione degli stessi.

In ragione di ciò, il Garante ritiene opportuno che venga disciplinato il trattamento dei dati di contatto limitandone l’utilizzo all’invio del codice soltanto per il fine di recuperare la certificazione verde.

Per quanto riguarda l’App IO il Garante ha rilevato la necessità di disporre un provvedimento correttivo in considerazione degli elevati rischi connessi ai trattamenti dei dati, al numero di interessati coinvolti e alle modalità messe a disposizione dalla medesima applicazione.

Il periodo di conservazione dei dati

Ai fini della conservazione dei dati e alla sicurezza del suo trattamento, il Garante ritiene favorevole che il decreto abbia previsto che gli stessi siano conservati fino al termine di validità della certificazione verde.

Il Garante tuttavia rileva come nell’allegato F del decreto in esame sia prevista la conservazione, per un periodo di 12 mesi, del codice fiscale, canale di accesso, modalità di autenticazione, data e ora dell’accesso, sito operazione, tipologia di certificato recuperato e tipologia di codice univoco associato al tipo di evento sanitario.

La conservazione per un periodo di dodici mesi contrasta con quanto previsto in tema di conservazione dei dati nel contesto della Piattaforma DGC e per questo motivo l’Autorità ritiene necessario che siano modificate le tipologie di dati oggetto di registrazione e i tempi di conservazione, per garantire che le registrazioni siano oggetto di verifica e integrità e riservatezza.

Valutazione finale del Garante

A causa della manifesta esigenza di attivare con urgenza la Piattaforma DGC e la necessità di un bilanciamento tra questa e il rispetto dei diritti e delle libertà fondamentali, il Garante ha espresso parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri alle seguenti condizioni:

  • che, nella conversione in legge del D.L. n. 52/2021,
  • siano definite le finalità di trattamento;
  • sia introdotta una riserva di legge statale per l’utilizzo di certificazioni che attestino l’avvenuta vaccinazione o guarigione da Covid-19 o l’esito negativo del tampone, in modo da non consentire alle regioni o alle province di introdurre ordinanze lesive dei diritti e delle libertà della persona che condizionino eccessivamente l’accesso a determinati luoghi al possesso delle suddette certificazioni;
  • sia adeguatamente modificata la previsione della natura transitoria delle disposizioni applicabili in ambito nazionale alle certificazioni verdi, per evitare che le stesse cessino di avere efficacia nel momento dell’entrata in vigore del predetto Regolamento europeo.
  • Che le certificazioni siano emesse, rilasciate e verificate attraverso le modalità indicate nello schema di decreto.
  • Che venga prevista l’applicabilità delle sanzioni con riferimento all’attività svolta dai soggetti preposti al controllo.
  • Che la raccolta dei dati relativi all’infezione da Covid-19 delle persone vaccinate, ai fini di una corretta attuazione del regolamento e della normativa sulla privacy, venga effettuata solo a seguito della valutazione favorevole da parte del Garante al fine di assicurare l’integrità, la riservatezza e l’esattezza dei dati trattati.
  • Che l’utilizzo dell’App IO per il recupero delle certificazioni, venga consentito soltanto nel caso in cui siano superate le criticità rilevate con il provvedimento correttivo adottato nei confronti della società PagoPA S.p.a. e subordinato ad una successiva valutazione favorevole da parte del Garante.
  • Che il trattamento dei dati di contatto degli interessati sia integrato attraverso l’indicazione della finalità perseguita, ovvero utilizzato esclusivamente per l’invio del codice univoco relativo al recupero della certificazione verde o della comunicazione di un eventuale revoca della stessa.
  • Che, ai fini di un corretto trattamento dei dati del singolo soggetto, oltre all’indicazione della finalità sia specificato il periodo di conservazione dei dati medesimi.
  • Che sia modificato l’allegato F dello schema di decreto, con particolare riferimento alla parte in cui si prevede la possibilità di conservazione di alcune tipologie di dati, prevedendo che tali registrazioni siano usate ai soli fini della verifica della liceità del trattamento oltre a garantire l’integrità e la riservatezza dei dati personali.

Infine, il Garante ha richiesto al Ministero della salute di mettere in atto iniziative volte a informare gli interessati della delicatezza dei dati riportati nelle certificazioni.

Volume consigliato

I rischi nel trattamento dei dati – e-Book in pdf

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici. 

Michele Iaselli | 2021 Maggioli Editore

9.90 €  7.92 €

Redazione

Scrivi un commento

Accedi per poter inserire un commento