Close Menu
Notizie giuridiche Diritti fondamentali della persona Ordine pubblico Sanità

Pass Vaccinale: necessario un intervento urgente a tutela dei diritti e delle libertà delle persone

Redazionedi Aggiornato il:
iscrizione contemporanea a due albi professionali
Indice dei contenuti ⇣

Pass vaccinale. Il Garante privacy invia un avvertimento formale al Governo: necessario un intervento urgente a tutela dei diritti e delle libertà delle persone

La norma appena approvata per la creazione e la gestione delle certificazioni verdi, i cosiddetti pass vaccinali, presenta criticità tali da inficiare, se non opportunamente modificata, la validità e il funzionamento del sistema previsto per la riapertura degli spostamenti durante la pandemia. È quindi necessario un intervento urgente a tutela dei diritti e delle libertà delle persone.

Questa l’indicazione del Garante per la protezione dei dati personali contenuta in un avvertimento formale, adottato ai sensi del Regolamento Ue, appena trasmesso a tutti i ministeri e agli altri soggetti coinvolti. Il provvedimento è stato inviato anche al Presidente del Consiglio dei ministri, per le valutazioni di competenza.

Il Garante osserva innanzitutto che il cosiddetto decreto riaperture (DL 52/2021) non garantisce una base normativa idonea per l’introduzione e l’utilizzo dei certificati verdi su scala nazionale, ed è gravemente incompleto in materia di protezione dei dati, privo di una valutazione dei possibili rischi su larga scala per i diritti e le libertà personali.

In contrasto con quanto previsto dal Regolamento europeo in materia di protezione dei dati personali, il decreto non definisce con precisione le finalità per il trattamento dei dati sulla salute degli italiani, lasciando spazio a molteplici e imprevedibili utilizzi futuri, in potenziale disallineamento anche con analoghe iniziative europee. Non viene specificato chi è il titolare del trattamento dei dati, in violazione del principio di trasparenza, rendendo così difficile se non impossibile l’esercizio dei diritti degli interessati: ad esempio, in caso di informazioni non corrette contenute nelle certificazioni verdi.

La norma prevede inoltre un utilizzo eccessivo di dati sui certificati da esibire in caso di controllo, in violazione del principio di minimizzazione. Per garantire, ad esempio, la validità temporale della certificazione, sarebbe stato sufficiente prevedere un modulo che riportasse la sola data di scadenza del green pass, invece che utilizzare modelli differenti per chi si è precedentemente ammalato di Covid o ha effettuato la vaccinazione.
Il sistema attualmente proposto, soprattutto nella fase transitoria, rischia, tra l’altro, di contenere dati inesatti o non aggiornati con gravi effetti sulla libertà di spostamento individuale. Non sono infine previsti tempi di conservazione dei dati né misure adeguate per garantire la loro integrità e riservatezza.

Il Garante rimarca, infine, che le gravi criticità rilevate si sarebbero potute risolvere preventivamente e in tempi rapidissimi se, come previsto dalla normativa europea e italiana, i soggetti coinvolti nella definizione del decreto legge avessero avviato la necessaria interlocuzione con l’Autorità, richiedendo il previsto parere, senza rinviare a successivi approfondimenti.

L’Autorità ha comunque offerto al Governo la propria collaborazione per affrontare e superare le criticità rilevate.

Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per COvid-19 prevista dal d.l. 22 aprile 2021, n. 52 - 23 aprile 2021

Registro dei provvedimenti
n. 156 del 23 aprile 2021
(in corso di pubblicazione sulla Gazzetta Ufficiale)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

Con il decreto legge del 22 aprile 2021, n. 52, sono state introdotte misure urgenti per contenere e contrastare l’emergenza epidemiologica da Covid-19 concernenti anche gli spostamenti sul territorio nazionale, le modalità di svolgimento di spettacoli aperti al pubblico ed eventi sportivi e di fiere, convegni e congressi.

In particolare, il decreto prevede che gli spostamenti in entrata e in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa siano consentiti anche ai soggetti muniti delle certificazioni verdi (art. 2). Tali certificazioni inoltre possono costituire condizione di accesso a eventi qualora previsto dalle linee guida adottate dalla Conferenza delle Regioni o delle Province autonome o dal sottosegretario in materia di sport (art. 5, comma 4). Le linee guida adottate ai sensi dell’art. 1, comma 14, d.l. n. 33/2020 possono prevedere che l’accesso a fiere, convegni e congressi possa essere riservato soltanto ai soggetti in possesso delle certificazioni verdi (art. 7, comma 2).

Il decreto prevede che le certificazioni verdi possano essere rilasciate, su richiesta dell’interessato, al fine di attestare il completamento del ciclo vaccinale, l’avvenuta guarigione da Covid-19 e l’effettuazione di test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2 (art. 9, comma 2).

Il decreto dispone una diversa durata della validità delle predette certificazioni in relazione alle condizioni per il rilascio: sei mesi in caso di completamento del ciclo vaccinale e di avvenuta guarigione, 48 ore in caso di test con esito negativo (art. 9 commi 3, 4 e 5).

Le disposizioni relative alla certificazione verde sono applicabili in ambito nazionale, fino alla data di entrata in vigore degli atti delegati per l’attuazione delle disposizioni di cui al regolamento del “Parlamento europeo e del Consiglio su un quadro per il rilascio, la verifica e l'accettazione di certificazioni interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione all’interno dell’Unione Europea durante la pandemia di Covid-19 che abiliteranno l’attivazione della Piattaforma nazionale” digital green certificate (Piattaforma nazionale-DGC) (art. 9, comma 9).

Il decreto legge prevede inoltre che con decreto del Presidente del Consiglio dei ministri, adottato di concerto con i Ministri della salute, dell’innovazione tecnologica della transizione digitale e dell’economia e delle finanze, sentito il Garante per la protezione dei dati personali, siano stabilite: “le specifiche tecniche per assicurare l’interoperabilità delle certificazioni verdi Covid-19 e la piattaforma nazionale per il DGC, nonché tra questa e le analoghe piattaforme istituite negli altri Stati membri dell’Unione europea, tramite il Gateway europeo”, “i dati che possono essere riportati nelle certificazioni verdi COVID-19, le modalità di aggiornamento delle certificazioni, le caratteristiche e le modalità di funzionamento della Piattaforma nazionale -DCG, la struttura dell'identificativo univoco delle certificazioni verdi COVID-19 e del codice a barre interoperabile che consente di verificare l’autenticità, la validità e l’integrità delle stesse, l’indicazione dei soggetti deputati al controllo delle certificazioni, i tempi di conservazione dei dati raccolti ai fini dell’emissione delle certificazioni, e le misure per assicurare la protezione dei dati personali contenuti nelle certificazioni” (art. 9, comma 10).

Dalla data di entrata in vigore del decreto legge e nelle more dell’adozione del predetto decreto attuativo, le strutture sanitarie pubbliche e private, le farmacie, i medici di medicina generale e i pediatri di libera scelta possono comunque rilasciare le predette certificazioni verdi assicurando “la completezza degli elementi indicati” nell’allegato 1 al decreto.

OSSERVA

Per i profili di competenza dell’Autorità si osserva che il decreto legge del 22 aprile 2021, n. 52, non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale.

Nel progettare l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, si ritiene che non si sia tenuto adeguatamente conto dei rischi, di seguito illustrati, che l’implementazione della misura determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal Regolamento (UE) 2016/679 e a tutelare i diritti degli interessati (art. 25, par. 1, del Regolamento).

In particolare, si ritiene che le disposizioni di cui al decreto legge del 22 aprile 2021, n. 52, presentino le seguenti criticità:

1. Mancata consultazione del Garante

In via preliminare, si rileva che, in violazione dell’art. 36, par. 4, del Regolamento, il decreto legge del 22 aprile 2021, 52, è stato adottato senza che il Garante sia stato consultato.

Il tempestivo e necessario coinvolgimento dell’Autorità, previsto anche “durante l’elaborazione di una proposta di atto legislativo”, oltre a evitare il vizio procedurale, avrebbe consentito all’Autorità di indicare tempestivamente modalità e garanzie contribuendo all’introduzione di una misura necessaria al contenimento dell’emergenza epidemiologica, rispettosa della disciplina in materia di protezione dei dati personali fin dalla progettazione.

Il carattere di urgenza della norma non costituisce condizione ostativa al preventivo coinvolgimento dell’Autorità, atteso che il Garante, nell’ultimo anno, consapevole della necessità che le disposizioni sottoposte alla sua attenzione fossero adottate tempestivamente, ha sempre reso i pareri di propria competenza sugli atti normativi predisposti in merito all’emergenza sanitaria in tempi molto ristretti, fornendo, laddove necessario, il proprio parere anche d’urgenza a firma del Presidente (cfr. ex multis Parere sulla proposta normativa per la previsione di un’applicazione volta al tracciamento dei contagi da Covid-19 del 29 aprile 2020; Parere su uno schema di disposizione normativa volta a consentire indagini di sieroprevalenza sul SARS-COV-2 al Ministero della salute e all’Istat per finalità epidemiologiche e statistiche del 4 maggio 2020; Autorizzazione al Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19, di cui all’art. 6 del d.l. 30 aprile 2020, n. 20 del 1.6.2020; Parere su schema di decreto del Ministero dell’Economia e delle Finanze, di concerto con il Ministero della salute, relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria nell’ambito del sistema di Allerta Covid 19 di cui all’art. 6, comma 1 del decreto legge n. 30/04/2020, n. 28 del 1.6.2020; Parere d’urgenza del Presidente al MEF sulla ricetta elettronica dematerializzata del 19.3.20, ratificato dal Collegio il 26.3.20).

Al riguardo, si evidenzia che, già in data 8 aprile u.s., il Presidente dell’Autorità aveva rappresentato alla Commissione Affari Costituzionali del Senato della Repubblica la necessità di un coinvolgimento preventivo dell’Autorità nel processo legislativo, in relazione all’introduzione dei passaporti vaccinali, richiamando la proficua collaborazione istituzionale fornita con riferimento anche al sistema nazionale di allerta Covid (Memoria del Presidente del Garante - Profili costituzionali dell'eventuale introduzione di un "passaporto vaccinale" per i cittadini cui è stato somministrato il vaccino anti SARS COV2 dell’8 aprile 2021).

Nell’imminenza dell’adozione del predetto decreto legge, il Presidente ha inoltre inviato una nota al Presidente del Consiglio dei Ministri e al Ministro della salute proprio in merito al necessario coinvolgimento dell’Autorità in fase di adozione dell’atto normativo in materia di passaporti vaccinali (note del 21 aprile 2021).

Si segnala inoltre che l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, determinando un trattamento sistematico di dati personali, anche relativi alla salute, su larga scala, che presenta un rischio elevato per i diritti e le libertà degli interessati in relazione alle conseguenze che possono derivare alle persone con riferimento alla limitazione delle libertà personali, avrebbe reso sicuramente opportuno effettuare una preventiva valutazione di impatto ai sensi dell’art. 35, par. 10 del Regolamento. Ciò, in particolare, in quanto la misura, prevista dal decreto legge, entra in vigore sin dal giorno successivo alla sua pubblicazione.

2. Inidoneità della base giuridica

Come anzidetto il predetto decreto legge non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice in materia di protezione dei dati personali (artt. 2 ter e 2 sexies).

In via principale, l’impianto normativo non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalità della norma, richiesta dall’art. 6 del Regolamento, anche alla luce di quanto affermato dalla Corte Costituzionale nella sentenza n. 20 del 21 febbraio 2019, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita.

Come rappresentato dal Presidente dell’Autorità nella citata memoria, soltanto una legge statale può subordinare l’esercizio di determinati diritti o libertà all’esibizione di tale certificazione. Alla luce di ciò, si palesa, in primo luogo, l’indeterminatezza delle finalità della disposizione relativa alla introduzione delle certificazioni verdi, determinata dalla mancata individuazione puntuale delle fattispecie in cui possono essere utilizzate con esclusione dell’utilizzo di tali documenti in altri casi non espressamente previsti dalla legge.

La mancata specificazione delle finalità per le quali possono essere utilizzate le predette certificazioni assume infatti particolare rilievo con riferimento alla possibilità che tali documenti possano successivamente essere ritenuti una condizione valida anche per l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici, allo stato non espressamente indicati nel decreto legge (es. in ambito lavorativo o scolastico).

L’assenza di una puntuale indicazione delle finalità non consente neanche una valutazione in ordine alla compatibilità delle predette certificazioni con quanto previsto a livello europeo, tenuto peraltro anche conto che il loro utilizzo sembrerebbe essere temporaneo in attesa dell’adozione delle analoghe certificazioni individuate dall’Unione europea.

Al riguardo, si rileva che la norma risulta anche priva dell’indicazione delle motivazioni in forza delle quali si rende necessario introdurre, in via provvisoria, le predette certificazioni verdi, stante la prossima adozione della proposta di regolamento del Parlamento europeo e del Consiglio sul certificato verde digitale (2021/0068 (COD) del 17.3.2021), con riferimento alla quale sono state fornite indicazioni dal Comitato europeo per la protezione dei dati (EDPB) e dall’European Data Protection Supervisor (EDPS) nel parere congiunto reso il 31 marzo 2021 (EDPB-EDPS Joint Opinion 04/2021 on the Proposal for a Regulation of the European Parliament and of the Council on a framework for the issuance, verification and acceptance of interoperable certificates on vaccination, testing and recovery to facilitate free movement during the COVID-19 pandemic (Digital Green Certificate).

La mancata indicazione delle motivazioni che hanno indotto il Governo all’adozione provvisoria delle predette certificazioni, in attesa degli analoghi documenti previsti a livello unionale, non permette infine di valutare se lo stesso abbia tenuto in debita considerazione i rischi di eventuali disallineamenti in merito alle caratteristiche e alle funzionalità dei due documenti.

Si evidenzia poi che le previsioni secondo cui, nelle more dell’adozione del previsto decreto di attuazione, è ammesso l’utilizzo delle certificazioni verdi redatte sulla base di quanto indicato nell’allegato 1 al decreto e dei certificati di guarigione rilasciati dalle strutture sanitarie, prima dell’entrata in vigore del decreto legge, non risultano conformi alla disciplina in materia di protezione dei dati personali, in quanto tali documenti risulterebbero essere rilasciati in assenza delle misure che saranno individuate con il decreto delegato indicato nell’art. 9, comma 10 (art. 9, commi 4 e 10).

3. Principio di minimizzazione dei dati

Il decreto legge viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. c) del Regolamento).

In particolare, atteso che, in virtù di quanto disposto dagli artt. 2, 5 e 7 del decreto, gli spostamenti in entrata e in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa sono consentiti anche ai soggetti muniti delle certificazioni verdi e che la partecipazione a determinati eventi e manifestazioni aperte al pubblico può essere condizionata all’esibizione di tali certificazioni, si ritiene che le stesse debbano riportare esclusivamente i seguenti dati: dati anagrafici necessari a identificare l’interessato; identificativo univoco della certificazione; data di fine validità della stessa.

Tali dati si configurano infatti quali necessari a consentire ai soggetti preposti ai controlli di verificare che la persona che esibisce la certificazione si trovi in una delle condizioni indicate dal decreto (vaccinazione, guarigione o test negativo) per usufruire della certificazione verde (in tal senso cfr. anche la posizione espressa dal Comitato europeo per la protezione dei dati (EDPB) e dall’European Data Protection Supervisor (EDPS) nel parere congiunto reso il 31 marzo 2021).

Alla luce del predetto principio di minimizzazione, si ritiene infatti che non sia pertinente indicare sulla certificazione ulteriori informazioni e che non sia necessario l’utilizzo di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo) in forza della quale le stesse sono rilasciate, atteso che il decreto non prevede ipotesi diverse per il relativo utilizzo.

La verifica sulla validità della certificazione, in funzione della diversa durata di validità della stessa, può essere utilmente effettuata sulla base dell’indicazione nella certificazione della data di fine validità della stessa, campo attualmente non previsto tra quelli indicati nell’allegato 1 al decreto.

In conformità al richiamato principio di minimizzazione del dato, tali informazioni sarebbero sufficienti a consentire la verifica dei documenti senza far conoscere, al soggetto deputato al controllo, la condizione, anche relativa a vicende sanitarie dell’interessato, in funzione della quale la stessa è stata rilasciata.

Ciò stante, la previsione di tre differenti modelli di certificazioni verdi in funzione della condizione in cui versa l’interessato e l’indicazione sulle stesse di numerosi dati personali, anche relativi alla salute, espressamente elencati nell’allegato 1 al decreto, si pongono in contrasto con il citato principio di minimizzazione dei dati.

4. Principio di esattezza

Il decreto legge del 22 aprile 2021, 52, si ritiene violi anche il principio di esatezza dei dati secondo cui gli stessi devono essere esatti e, se necessario, aggiornati e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. d) del Regolamento).

Considerato che, secondo quanto indicato nel decreto, l’utilizzo delle predette certificazioni costituirebbe una delle condizioni per consentire gli spostamenti dalle regioni e province autonome collocati in zona arancione o rossa, ovvero per limitare la libertà di spostamento individuale, nonché per poter partecipare ad eventi e manifestazioni aperte al pubblico, è necessario che le stesse siano redatte sulla base di informazioni esatte e aggiornate. Il requisito di esattezza dei dati si pone infatti come essenziale nella valutazione della proporzionalità della limitazione e della idoneità della misura di contenimento e contrasto dell’emergenza epidemiologica da Covid-19.

La previsione transitoria secondo cui, nelle more dell’adozione del decreto attuativo che istituisce la piattaforma nazionale DGC, sia consentito l’utilizzo delle certificazioni di guarigione rilasciate prima dell’entrata in vigore del decreto legge e delle certificazioni verdi redatte sulla base dell’allegato 1 al predetto decreto appare in contrasto con il principio di esattezza dei dati, ponendo inoltre significativi rischi in ordine alla reale efficacia della misura di contenimento e alla compromissione indebita dei diritti e delle libertà fondamentali dell’interessato.

Il predetto sistema transitorio non consente infatti di verificare l’attualità delle condizioni attestate nella certificazione, perché non può tener conto, in assenza della piattaforma, delle eventuali modificazioni delle condizioni relative all’interessato (sopraggiunta positività) successive al momento del rilascio della stessa (art. 9, comma 4).

5. Principio di trasparenza

Il decreto legge viola il principio di trasparenza non indicando in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento). Il decreto infatti, oltre a non individuare in modo puntuale le finalità, non indica i soggetti che trattano le predette informazioni e che possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni verdi.

Al riguardo, si rappresenta che il decreto legge non specifica la titolarità dei trattamenti effettuati ai fini dell’emissione e del controllo delle predette certificazioni verdi e in particolare di quelli posti in essere attraverso la “Piattaforma Nazionale DGC” per l’emissione e validazione delle certificazioni verdi digitali Covid-19. Tale piattaforma, secondo quanto indicato nell’art. 9 del decreto, costituirebbe il sistema informativo nazionale per il rilascio e la verifica e l’accettazione di certificazioni Covid-19 interoperabili a livello nazionale ed europeo. In particolare, si rileva che il decreto legge non individua l’Ente presso il quale sarà istituita la predetta piattaforma e non specifica la connessa titolarità dei trattamenti dei dati personali effettuati attraverso tale sistema informativo.

L’assenza di indicazioni in ordine alla titolarità del trattamento non consente pertanto agli interessati di esercitare i diritti in materia di protezione dei dati personali previsti dal Regolamento (artt. 15 e ss. del Regolamento).

6. Principi di limitazione della conservazione e di integrità e riservatezza

Le disposizioni del decreto violano anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento).

Ciò assume particolare rilievo tenuto conto che le disposizioni sembrerebbero introdurre misure temporanee, destinate a essere sostituite da quelle individuate in sede europea.

Si rileva inoltre che le disposizioni del decreto non forniscono adeguata garanzia rispetto al principio di integrità e riservatezza, atteso che non sono indicate le misure che si intende adottare per garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (artt. 5, par. 1, lett. f) e 32 del Regolamento).

RITENUTO

Alla luce delle rilevanti criticità sopra illustrate, occorre rilevare che la disciplina della certificazione verde delineata dal decreto legge del 22 aprile 2021, n. 52, risulta pertanto non proporzionata rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito, in quanto non individua puntualmente le finalità per le quali si intende utilizzare la certificazione verde e, in ossequio ai principi di privacy by design e by default, le misure adeguate per garantire la protezione dei dati, anche appartenenti a categorie particolari, in ogni fase del trattamento, e un trattamento corretto e trasparente nei confronti degli interessati (artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32 del Regolamento).

Considerato che l’utilizzo della certificazione verde è operativo a partire dal giorno successivo alla pubblicazione del decreto legge è, quindi, urgente l’esigenza di intervenire al fine di tutelare i diritti e le libertà degli interessati.

Il Regolamento attribuisce al Garante, tra gli altri, il potere di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del Regolamento (art. 58, par 2, lett. a)).

Attesi i rischi elevati per le libertà e i diritti degli interessati, risulta, pertanto, necessario avvertire tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale, dell’economia e delle finanze e degli affari regionali e la Conferenza delle Regioni o delle Province autonome del fatto che i trattamenti di dati personali effettuati nell’ambito dell’utilizzo delle certificazioni verdi di cui al decreto legge del 22 aprile 2021, n. 52, in assenza di interventi correttivi, possono violare le disposizioni del Regolamento di cui agli artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32.

Il Garante ritiene altresì di comunicare il presente provvedimento al Presidente del Consiglio dei ministri, per le valutazioni di competenza, rendendosi disponibile a istaurare prontamente un dialogo istituzionale volto al superamento delle predette criticità.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 58, par 2, lett. a), del Regolamento avverte tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale e dell’economia e delle finanze, degli affari regionali e la Conferenza delle Regioni o delle Province autonome del fatto che i trattamenti di dati personali effettuati in attuazione delle disposizioni di cui al decreto legge del 22 aprile 2021, n. 52, sulla base delle motivazioni espresse in premessa, possono violare le disposizioni del Regolamento di cui agli artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32;

b) trasmette copia del presente provvedimento al Presidente del Consiglio dei ministri per le valutazioni di competenza;

c) ai sensi dell’art. 154-bis, comma 3, del Codice, dispone la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 23 aprile 2021

Disclaimer: Contenuti a scopo informativo e divulgativo che non sostituiscono il parere legale di un avvocato. Per una consulenza legale personalizzata contatta lo studio dell’avv. Gianluca Lanciano: Clicca e compila il form · WhatsApp 340.1462661 · Chiama 340.1462661 · Scrivi info@miolegale.it
Sullo stesso argomento
iscrizione contemporanea a due albi professionali
Bonus assegno di mantenimento non corrisposto causa Covid: al via le domande
iscrizione contemporanea a due albi professionali
Sì alla riduzione del prezzo del pacchetto turistico in caso di restrizioni dovute al Covid 19
iscrizione contemporanea a due albi professionali
Covid: circolare del Ministero della Salute settembre 2023
iscrizione contemporanea a due albi professionali
Consiglio di Stato: dal 2023 si torna alle udienze in presenza dopo l’emergenza Covid
iscrizione contemporanea a due albi professionali
Personale sanitario: dal 1° novembre 2022 cessa l’obbligo di vaccinazione anti covid
iscrizione contemporanea a due albi professionali
Tamponi e test covid solo in farmacia e non in parafarmacia
iscrizione contemporanea a due albi professionali
Tutela infortunistica INAIL nei casi di infezione da Covid-19
iscrizione contemporanea a due albi professionali
D.L. 24/2022 Superamento delle misure di contrasto alla diffusione dell’epidemia da COVID-19
iscrizione contemporanea a due albi professionali
D.L. 4/2022 Decreto Sostegni Ter