(immagine: Pixabay)

*Vincenzo Salvatore, Of Counsel e Leader del Focus Team Healthcare and Life Sciences di BonelliErede e Giulia Tenaglia, del team di Intellectual Property di BonelliErede.

Il crescente numero di individui vaccinati, la progressiva (e, in larga parte, conseguente) contrazione dei contagi e l’avvicinarsi della stagione estiva in cui la diffusione del virus Sars-Cov-2 (meglio noto come Covid-19) sembra destinata a ridursi, pone l’Unione europea e gli Stati membri di fronte alla necessità di introdurre misure che consentano di agevolare la mobilità delle persone per favorire la ripresa delle attività economiche – con particolare riguardo a quelle connesse al settore turistico ricettivo – e, nello stesso tempo, di non sacrificare le esigenze di tracciabilità, limitando la circolazione dei soggetti che potrebbero veicolare ulteriormente la propagazione del virus.

Fra le iniziative di cui la Commissione europea si è recentemente fatta promotrice (e sulle quali ha agito, anticipando i tempi, anche il governo italiano), l’introduzione di un certificato verde digitale, c.d. green pass, che attesti che l’individuo che ne è titolare è stato sottoposto a trattamento vaccinale contro il Sars-Cov-2, oppure che si è sottoposto a test molecolare o antigenico rapido (i c.d. tamponi), ottenendo un risultato negativo, o ancora che è guarito dall’infezione da Sars-Cov-2. L’esibizione di tale documento (non solo alle autorità di frontiera ma altresì ai soggetti che operano nel settore della ricettività turistico alberghiera o che gestiscono reti di trasposto) consentirebbe di superare le difficoltà incontrate nell’individuazione di strumenti di tracciamento alternativi basati su software in grado di segnalare persone entrate in contatto con soggetti contagiati, che si sono peraltro rivelati inidonei o comunque inefficaci a mitigare il rischio della diffusione del virus (si pensi all’esperienza italiana relativa all’impiego dell’app Immuni).

La competenza a rilasciare il certificato è rimessa alle autorità nazionali che ciascuno Stato membro dovrà opportunamente individuare (centri vaccinali, autorità sanitarie, ecc.). La certificazione, la cui durata non è stata ancora stabilita, verrà rilasciata gratuitamente in formato cartaceo o digitale, consentendo in quest’ultimo caso di essere salvata su un dispositivo mobile (agevolandone così l’esibizione) e corredata da un codice qr con firma digitale per impedirne la falsificazione.

Le criticità del pass

Al di là degli indubbi ed evidenti vantaggi che il rilascio e il possesso di tale certificazione produrrà nell’agevolare la libera circolazione all’interno dei paesi dell’Unione europea, l’emissione di un certificato vaccinale presenta tuttavia una serie di criticità che dovranno essere adeguatamente considerate in sede di introduzione. Il rilascio di una certificazione vaccinale presuppone infatti una attività di schedatura (propriamente di raccolta, conservazione e trasferimento) di dati classificati come sensibili in quanto inerenti alla salute il che, al di là della legittimità del trattamento che potrebbe essere giustificata da prevalenti ragioni di tutela della salute pubblica, presuppone la creazione di un portale e di banche dati interoperabili a livello europeo di non facile realizzazione.

In questo senso, quanto enunciato nella proposta di regolamento sul necessario rispetto del principio di minimizzazione è importantissimo per la sostenibilità del progetto green pass. In concreto dovranno essere garantiti i principi cardine per cui: (i) sui certificati dovranno figurare dati personali limitati e determinati dal regolamento stesso,(ii) i dati ottenuti alla verifica dei certificati non dovranno essere conservati (vale a dire che non dovranno essere create banche dati parallele); (iii) non dovrà essere creata e alimentata una banca dati centrale.

Inoltre, la proposta di regolamento sancisce espressamente che il trattamento dei dati fatto nel contesto della creazione e gestione del green pass trova il proprio presupposto giuridico nella necessità di adempiere a un obbligo di legge (art. 6 lett. c Gdpr e 9 lett. g Gdpr). Questa esplicitazione è un baluardo importante per i diritti dei cittadini in quanto limita l’utilizzabilità del dato al sistema green pass scongiurando così le possibilità che i dati vengano riutilizzati per fini diversi (per esempio per l’accesso alle istituzioni o sul luogo di lavoro).

Il parere dei Garanti

Il Comitato europeo per la protezione dei dati personali (European Data Protection Board – Edpb) e il Garante europeo per la protezione dei dati personali (European Data Protection Supervisory Authority – Edps) nel loro parere congiunto sottolineano che qualsiasi utilizzo dei dati al di fuori delle strette finalità connesse alla creazione e gestione del sistema green pass dovrebbe essere considerato illegittimo. I rischi connessi ad un utilizzo spregiudicato delle informazioni contenute nel green pass non sono però i soli di cui occorre tener conto.

La trasparenza del sistema e la disponibilità delle informazioni sul modo in cui i dati vengono utilizzati saranno essenziali per evitare distorsioni del sistema stesso. I diritti, sanciti dal Gdpr, di accesso, limitazione e cancellazione dovranno essere pienamente garantiti a norma di legge. La scelta di ricorrere ad un green pass per gli spostamenti all’interno dell’Unione determina necessariamente una discriminazione basata sullo stato di salute della persone. Una tale discriminazione è legittima nell’ordinamento europeo nel solo limite in cui sia fondata su dati affidabili in termini di esattezza del dato e di correlazione statistica tra le informazioni trattate e le decisioni prese.

A riprova della gravità dei rischi connessi alla gestione del green pass, la reazione del Garante per la protezione dei dati personali al decreto legge emanato dal Governo il 22 aprile scorso (c.d. Decreto Riaperture) con il quale è stato adottato un sistema green pass italiano. Il Garante ha rivolto un avvertimento formale al Governo sottolineando la contrarietà delle previsioni normative al Gdpr e alla normativa in materia di protezione dei dati personali, in quanto la base giuridica dell’interesse pubblico non è corredata dalle garanzie richieste dalla legge e il trattamento descritto non rispetta i principi di trasparenza, minimizzazione ed esattezza dei dati.

Ciò che alimenta maggiori preoccupazione nei confronti dell’iniziativa adottata dalla Commissione e recepita dagli Stati membri che, come l’Italia, hanno già inaugurato un proprio sistema di green pass, sono le ancora scarse conoscenze di cui dispone la comunità scientifica in merito alla protezione di cui godono i soggetti vaccinati per quanto attiene alla capacità di diffusione del contagio, soprattutto a distanza di tempo rispetto al momento dell’inoculazione del vaccino. Il certificato vaccinale rischia pertanto di diventare velocemente obsoleto nonché di non fornire alcuna garanzia sulla attuale non trasmissibilità del virus da parte del suo titolare. Comunque bisognerà assicurare strumenti alternativi che assicurino la mobilità a quanti non abbiano potuto ancora ricevere il vaccino, soprattutto laddove ciò sia dipeso dai tempi delle campagne vaccinali destinate in molti Stati a protrarsi ben oltre l’inizio della stagione estiva.

The post Il pass verde solleva una serie di dubbi su privacy e uso dei dati appeared first on Wired.



Leggi l’articolo su wired.it