I trattamenti di dati personali previsti dalla norma che introduce la cartaverde Covid-19 rischiano di violare la normativa privacydi Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internetlaw , responsabilità medica e civile, e condominio - 15 giugno 2021PDFprivacy e cybersecurity Garante per la protezione dei dati personali: Provvedimento di avvertimento inmerito ai trattamenti effettuati relativamente alla certificazione verde perCovid-19 prevista dal d.l. 22 aprile 2021, n. 52 del 23 aprile 2021.Premessa.Nel provvedimento oggetto di commento, il Garante per la protezione dei datipersonali è intervenuto per rendere il proprio parere in ordine al rispettodella normativa privacy delle disposizioni normative previste  dal d.l. 22aprile 2021, n. 52.Nello specifico il suddetto decreto legge ha introdotto delle misure urgentiper contrastare e contenere l’emergenza epidemiologica da Covid-19, conriguardo agli spostamenti sul territorio nazionale. In particolare, il decretoprevede che tali spostamenti, in entrata e in uscita dai territori delleRegioni e delle Province autonome collocati in zona arancione o rossa, nonchél’accesso a manifestazioni, fiere e congressi, siano consentiti ai soggettimuniti di certificazioni verdi.La normativa prevede che tali certificazioni possano essere rilasciate, surichiesta dell’interessato, per attestare il completamento del ciclo vaccinale,l’avvenuta guarigione da Covid-19 e l’effettuazione del test antigenico rapidoo molecolare con esito negativo al virus SARS-CoV-2 e abbiano valenza in ambitonazionale fino all’entrata in vigore di un apposito regolamento europeo inmateria che preveda una carta verde europea avente analogo contenuto efunzione.Il decreto legge prevede, inoltre, l’introduzione di un decreto del Presidentedel Consiglio dei ministri nel quale stabilire le specifiche tecniche perassicurare l’interoperabilità delle certificazioni verdi e la piattaformanazionale per il DGC, la quale costituisce un sistema informativo nazionale peril rilascio, la verifica e l’accettazione di tali certificazioni a livellonazionale ed europeo, e per indicare i dati che possono essere riportati nellecertificazioni verdi Covid-19.La decisione del Garante.L’Autorità Garante per la protezione dei dati personali ha ritenuto che ildecreto legge del 22 aprile 2021, n. 52 non rappresenta una valida basegiuridica per legittimare i trattamenti di dati personali attraversol’introduzione e l’utilizzo dei certificati verdi a livello nazionale,riconoscendo che la suddetta misura normativa non tiene conto adeguatamente deirischi che tale trattamento dati determina per i diritti e le libertà degliinteressati.In particolare, l’Autorità ha individuato le seguenti criticità:(i) In primis la mancata previa consultazione del Garante per l’adozione delsuddetto decreto. Tale consultazione, secondo il Garante, avrebbe permessoall’Autorità di indicare tempestivamente modalità e garanzie contribuendoall’introduzione di una misura necessaria per il contenimento dell’emergenzaepidemiologica, ma comunque rispettosa della disciplina in materia diprotezione dei dati personali. Il carattere di urgenza della norma, secondol’Autorità, non avrebbe dovuto impedire la preventiva consultazionedell’Autorità medesima, poiché essa durante il periodo di pandemia –consapevole della necessità di adottare interventi tempestivi – ha sempre resoi pareri di propria competenza sugli atti normativi in merito all’emergenzasanitaria in tempi molto ristretti.(ii) In secondo luogo, l’Autorità ha rilevato l’inidoneità del decreto sopradetto a costituire base giuridica per legittimare i trattamenti daticonseguenti all’introduzione della certificazione verde, poiché mancano alcunielementi essenziali richiesti dal Regolamento europeo e dal Codice in materiadi protezione dei dati personali. L’impianto normativo, infatti, non fornisceun’indicazione esplicita e tassativa delle specifiche finalità perseguiteattraverso l’introduzione delle certificazioni verdi, elemento ritenutoessenziale dal Regolamento europeo (e confermato dalla C
orte Costituzionale)per valutare le misure previste dalla norma sono proporzionali rispetto airischi per i diritti e le libertà degli interessati. Infatti, la base giuridicache individua un obiettivo di interesse pubblico deve prevedere un trattamentodi dati personali proporzionato alla finalità legittima perseguita.A tal proposito, ricorda il Garante, solo una legge statale può introdurrelimitazioni all’esercizio di diritti o libertà della persona el’indeterminatezza delle finalità della disposizione normativa in esame assumeparticolare rilievo con riferimento alla possibilità che tali certificazioniverdi possano essere successivamente ritenuti una condizione valida anche perl’accesso a luoghi o servizi per lo svolgimento di rapporti giuridici, come inambito lavorativo o scolastico.La mancata indicazione delle motivazioni che hanno indotto il Governoall’adozione provvisoria delle predette certificazioni (in attesa dell’adozionedell’analogo documento europeo) non permette, invece, di valutare se lo stessoabbia tenuto conto dei rischi di eventuali disallineamenti in merito allecaratteristiche e funzionalità dei due documenti (cioè della certificazioneverde italiana e di quella europea).Volume consigliatoCybersecurity e privacy: come proteggere il tuo sito - e-Book in pdfCybersecurity e privacy: come proteggere il tuo sito - e-Book in pdfDamiano Marinelli, Chiara Gambelunghe, Daniele Giancola, Michele Spigarelli,2021, Maggioli EditoreL’ebook affronta la nuova tematica della cybersecurity connessa al mondoprivacy in relazione al web, approfondendo sia gli aspetti giuridici che quellitecnici propri del marketing, offrendo un chiaro quadro della normativa espunti interessanti per ,muoversi al meglio in...14,90 € 14,16 €AcquistaNote(iii) Il Garante ha inoltre ritenuto che il decreto legge viola il principio diminimizzazione dei dati secondo cui gli stessi devono essere adeguati,pertinenti e limitati a quanto necessario rispetto alle finalità per le qualisono trattati.  Alla luce del suddetto principio, l’Autorità ha ritenuto chenon sia pertinente indicare nelle certificazioni informazioni ulteriori oltrequelle strettamente necessarie: quali i dati anagrafici per identificarel’interessato, l’identificativo univoco della certificazione e la data di finevalidità della stessa. Tali informazioni sarebbero di per sé sufficienti aconsentire la verifica dei documenti senza far conoscere, al soggetto deputatoal controllo, la condizione, anche relativa a vicende sanitarie,dell’interessato, in funzione della quale la stessa è stata rilasciata.(iv) Secondo l’Autorità il decreto legge n. 52/2021 viola anche il principio diesattezza dei dati, secondo cui gli stessi devono essere esatti e, senecessario, aggiornati e devono essere adottate tutte le misure ragionevoli percancellare o rettificare tempestivamente i dati inesatti rispetto alle finalitàper le quali sono trattati. Il requisito di esattezza è dunque essenziale pervalutare la proporzionalità della limitazione e l’idoneità della misura dicontenimento e contrasto dell’emergenza epidemiologica. Il sistema transitorio,istituito dal suddetto decreto legge, non consente invece di verificarel’attualità delle condizioni attestate nella certificazione, perché non puòtener conto delle eventuali modificazioni delle condizioni relativeall’interessato successive al momento del rilascio della stessa.(v) L’Autorità Garante ha osservato, inoltre, che il decreto leggesopraindicato viola il principio di trasparenza, non indicando in modo chiaro epuntale le finalità perseguite, le caratteristiche del trattamento e i soggettiche possono trattare dati raccolti in questi termini(vi) Infine, secondo il Garante, la disposizione normativa in esame viola iprincipi di limitazione della conservazione e di integrità e riservatezza,secondo cui i dati devono essere conservati in una forma che consental’identificazione degli interessati per un arco di tempo non superiore alconseguimento delle finalità per le quali sono trattati.Alla luce delle criticità in questi termini rilevate, l’Autorità Garante per laprotezio
ne dei dati personali ha concluso il proprio provvedimento ritenendoche il decreto legge del 22 aprile 2021, n. 52 non sia proporzionatoall’obiettivo di interesse pubblico perseguito, sebbene legittimo, poiché nonindividua puntualmente le finalità per le quali si intende utilizzare lacertificazione verde e le misure adeguate per garantire la protezione dei dati,secondo i principi di privacy by design e by default, durante tutte le fasi deltrattamento.Sulla base di ciò, il Garante ha avvertito tutti i soggetti coinvolti neltrattamento, tra cui, in particolare, i Ministeri della salute, dell’interno,dell’innovazione tecnologica e della transizione digitale e dell’economia edelle finanze, degli affari regionali e la Conferenza delle Regioni o delleProvince autonome del fatto che i trattamenti di dati personali effettuati inattuazione delle disposizioni di cui al decreto legge n. 52/2021 possonoviolare le disposizioni del Regolamento europeo.Diventa autore di Diritto.itScopri di più!Ti potrebbe interessare ancheApp Immuni e il ruolo del Garante della privacydi Luca Iadecola 28 aprile 2020L’intelligenza artificiale al servizio della pubblica amministrazione 2.0di Isabella Masi 5 febbraio 2021Il bug di un sito internet che permette ai navigatori di visualizzare emodificare i dati ivi contenuti, relativi ai partecipanti ad un concorsopubblico, determina una violazione della privacydi Muia' Pier Paolo 13 ottobre 2020La blockchain e il suo utilizzodi Alessandra Viceconte 19 novembre 2020© RIPRODUZIONE RISERVATA