Il 25 maggio 2021, il Garante per la protezione dei dati personali ha avvertito formalmente la Regione Campania che il sistema di certificazione di avvenuta vaccinazione, guarigione o negatività, ossia il “green pass” – promosso dalla Regione quale condizione necessaria per la fruizione di numerosi servizi – non ha idonea base giuridica ed il trattamento dei dati, svolto nel contesto dell’uso della smart card, violerebbe il GDPR.
L’ordinanza con la quale la Regione ha precondizionato l’accesso a servizi di base
Con l’ordinanza n.17 del 6 maggio 2021 il Presidente della Regione ha introdotto sul territorio regionale “ulteriori misure per la prevenzione e gestione dell’emergenza epidemiologica da COVID-19”, finalizzate “alla ripresa in sicurezza delle attività economiche, culturali e sociali” anche attraverso facilitazioni all’accesso di servizi – turistici, alberghieri, trasporti, spettacoli, etc. – per i cittadini in possesso di certificazione di avvenuta vaccinazione nonché di guarigione.
Il contrasto del green pass con la gerarchia delle fonti
Il necessario possesso del green pass riportante dati personali dei cittadini ed il suo utilizzo quale condizione necessaria per fruire di servizi di base crea uno stato di precondizione - come emerso dall’istruttoria del Garante - essendo l’iniziativa priva di adeguato fondamento giuridico, poiché non può essere istituita da un’ordinanza regionale idonea base giuridica, in quanto, disposizioni di tale natura, che condizionano diritti e libertà personali, sono ammissibili soltanto se previste da normativa nazionale.
La violazione dei principi del GDPR per il trattamento di dati personali
Il Garante ha sottolineato che la succitata ordinanza introducendo l’uso di smart card come “sistema di rilascio di certificazione di avvenuta vaccinazione” senza, però specificare chi sia il titolare del trattamento dei dati, chi possa accedere ed usare le informazioni, né chi sia adibito a controllarne la validità e l’autenticità, viola i principi basilari del GDPR relativi alla liceità, alla correttezza, alla trasparenza e alla privacy by design e by default.
In aggiunta, con la creazione di un sistema regionale, sarebbe stata necessaria una DPIA, ossia la valutazione preventiva di impatto per rilevare eventuali rischi nel trattamento dei dati.
La comunicazione del Garante al Presidente del Consiglio dei Ministri e alla Conferenza delle Regioni e delle Province autonome
L’Autorità ha, infine, evidenziato che progetti come quello della Regione possono mettere a rischio l’interoperabilità del sistema di certificazione nazionale ed europeo, perché introducono sistemi di rilascio e verifica diversi da quelli già autorizzati, comunicando, pertanto, l’avvertimento formale - adottato nei confronti della Regione - al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome, per le valutazioni di competenza.
Conclusioni
La proliferazione di green pass regionali, indicatore di una volontà di tornare (forse) al mondo pre-covid, oltre ad esser giuridicamente discutibile e generatore di confusione nei cittadini, non può esser affrontato senza rispettare i vincoli del GDPR, essendo potenzialmente fonte anche di discriminazione. Non bisogna dimenticare che dietro una mera informazione (vaccinato/tamponato, etc.) c’è sempre una persona da tutelare nella sua dignità, garantendogli la tutela di ugual diritto previsto dalla nostra carta costituzionale.
Avv. Vincenzo Colarocco e Dott. Lorenzo Pinci