Leggi&Diritto

Green card nazionale: le severe critiche del Garante della privacy

leggi-diritto-2021

Green card nazionale: si accelera sul Digital Green Certificate europeo. Una delibera del Garante della privacy (Delibera 23-4-2021, pubblicata nella G.U. 3-5-2021, n.104) evidenzia le (preannunciate) criticità della Green card, introdotta dal D.L. 52/2021, riguardo ai profili di competenza dell’Autorità, in relazione al Regolamento (UE) 2016/679 (GDPR).

Vediamole in sintesi le novità sulla green card nazionale, seguendo lo schema della delibera.

Mancata consultazione del Garante durante l’elaborazione di una proposta di atto legislativo.

Il carattere di urgenza del decreto-legge non costituisce condizione ostativa al preventivo coinvolgimento dell’Autorità: sarebbe stato importante un tale coinvolgimento considerato che l’introduzione della certificazione verde determina un trattamento sistematico di dati personali, anche relativi alla salute, su larga scala, che presenta un rischio elevato per i diritti e le libertà degli interessati.

Inidoneità della base giuridica della green card nazionale

Il decreto-legge non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalità della norma, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita.

L’assenza di una puntuale indicazione delle finalità non consente neanche una valutazione in ordine alla compatibilità delle predette certificazioni con quanto previsto a livello europeo, tenuto conto che il loro utilizzo sembrerebbe essere temporaneo, in attesa dell’adozione delle analoghe certificazioni individuate dall’Unione europea.

Al riguardo, si rileva che la norma risulta anche priva dell’indicazione delle motivazioni in forza delle quali si rende necessario introdurre, in via provvisoria, le predette certificazioni verdi, stante la prossima adozione del Regolamento UE 2021/0068 (COD) del 17 marzo 2021 sul certificato verde digitale (Digital Green Certificate) approvato il 29 aprile 2021.

Si vedano i siti Europarl.europa.eu e europa.eu.

La Green Card nazionale ha immotivatamente anticipato il Digital Green Certificate europeo.

Si evidenzia poi che non risultano conformi alla disciplina sulla protezione dei dati personali le previsioni sulla validità delle certificazioni verdi redatte in base allegato 1 al decreto e sulla validità dei certificati di guarigione rilasciati dalle strutture sanitarie, prima dell’entrata in vigore del decreto legge.

La modulistica allegata al decreto legge non è conforme alla disciplina in materia di protezione dei dati personali

Violazione del principio di minimizzazione dei dati

Il decreto-legge viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. In particolare circa gli spostamenti consentiti si ritiene che le stesse debbano riportare esclusivamente i seguenti dati: dati anagrafici necessari a identificare l’interessato; identificativo univoco della certificazione; data di fine validità della stessa.

Le certificazioni devono riportare solo i dati necessari a consentire i controlli e non ulteriori informazioni.

La previsione di tre differenti modelli di certificazioni verdi in funzione della condizione in cui versa l’interessato e l’indicazione sulle stesse di numerosi dati personali, anche relativi alla salute, espressamente elencati nell’allegato 1 al decreto, si pone in contrasto con il citato principio di minimizzazione dei dati.

Violazione del principio di esattezza

Il decreto-legge viola il principio di esattezza dei dati secondo cui gli stessi devono essere esatti e, se necessario, aggiornati, e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.

 È necessario che le certificazioni siano redatte sulla base di informazioni esatte e aggiornate.

La previsione transitoria secondo cui è consentito l’utilizzo delle certificazioni di guarigione rilasciate prima dell’entrata in vigore del decreto-legge e delle certificazioni verdi redatte sulla base dell’allegato 1 al predetto decreto appare in contrasto con il principio di esattezza dei dati.

Violazione del principio di trasparenza

Il decreto-legge viola il principio di trasparenza non indicando in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi.

Il decreto non indica i soggetti che trattano le informazioni e che possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni verdi.

Violazione dei principi di limitazione della conservazione e di integrità e riservatezza

Le disposizioni del decreto violano anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Ciò assume particolare rilievo tenuto conto che le disposizioni sembrerebbero introdurre misure temporanee, destinate a essere sostituite da quelle individuate in sede europea.

Si rileva inoltre che le disposizioni del decreto non forniscono adeguata garanzia rispetto al principio di integrità e riservatezza, atteso che non sono indicate le misure che si intende adottare per garantire un’adeguata sicurezza dei dati personali, compresa la protezione.

Green card nazionale: cosa succede ora

L’Autorità Garante, alla luce di quanto detto, ha avvertito tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale, dell’economia e delle finanze e degli affari regionali e la Conferenza delle Regioni o delle Province autonome del fatto che i trattamenti di dati personali effettuati nell’ambito dell’utilizzo delle certificazioni verdi di cui al decreto-legge del 22 aprile 2021, n. 52, in assenza di interventi correttivi, possono tradursi nella violazione delle disposizioni del Regolamento 2016/679.

Ha comunicato il provvedimento al Presidente del Consiglio dei ministri, per le valutazioni di Competenza.

L’utilizzo della certificazione verde nazionale resta comunque operativo dal giorno successivo alla pubblicazione del decreto-legge (dal 23-4-2021).

Altri articoli di approfondimento giuridico potrai trovarli nella sezione Leggi&Diritto del Blog Simone.