Il certificato Covid Digitale

di Cristina Arata, avvocato in Castelfranco Veneto

Il 14 giugno scorso è stato approvato il Regolamento europeo n. 2021/953 che ha introdotto il c.d. green pass o meglio, secondo la definizione normativa, il “certificato COVID digitale dell’UE”.

Per l’art. 2 del Regolamento tale espressione indica l’insieme dei “certificati interoperabili contenenti informazioni sulla vaccinazione, sul risultato di un test o sulla guarigione del loro titolare, rilasciati nel contesto della pandemia di COVID-19”.

Il rilascio di tali certificati ha l’obiettivo di agevolare l’esercizio del diritto di libera circolazione per il periodo pandemico, superando le restrizioni adottate dai singoli Stati membri alla libertà di movimento. 

Al contempo fornisce anche la base giuridica per il trattamento dei dati personali (sensibili) necessari al rilascio del certificato in questione, e per il trattamento delle informazioni indispensabili alla verifica e alla conferma dell’autenticità e della validità dei certificati, nel rispetto del Regolamento (UE) 2016/679, meglio noto come GDPR.

Vista l’urgenza della misura, il Regolamento (UE) 2021/953 è entrato in vigore il 15 giugno, giorno della sua pubblicazione sulla Gazzetta ufficiale dell’Unione Europea; ed è direttamente applicabile in tutti gli Stati membri a partire dal 1°luglio 2021 e fino al 30 giugno 2022. 

Se il Regolamento (UE) 2021/953 è indirizzato agli Stati membri dell’Unione, il Regolamento (UE) 2021/954 si rivolge ai cittadini di paesi terzi che soggiornano o risiedono regolarmente nel territorio di uno Stato dell’Unione (al quale si applica il Reg. 2021/953) e che possono recarsi in altri Stati membri in conformità del diritto dell’Unione.

Il Regolamento 2021/953 richiama e ribadisce l’osservanza dei diritti fondamentali e dei principi riconosciuti dalla Carta dei diritti fondamentali dell’UE, tra cui il rispetto della vita privata e familiare, la protezione dei dati di carattere personale, l’uguaglianza davanti alla legge, la non discriminazione, la libertà di movimento. Questo per affermare che il certificato assume un valore straordinario e contingente, legato all’attuale situazione pandemica e non potrà essere utilizzato come una misura ordinaria condizionante il diritto di libera circolazione.

Ogni cittadino dell’Unione ha, infatti, il diritto fondamentale di circolare e soggiornare liberamente nel territorio degli Stati membri, fatte salve le limitazioni e le condizioni previste dai trattati e dalle disposizioni adottate in applicazione degli stessi (la direttiva 2004/38/CE del Parlamento europeo e del Consiglio stabilisce le modalità di esercizio del diritto).

Il legislatore europeo ha voluto evidenziare che questo diritto non dovrebbe essere soggetto a limitazioni. Tuttavia, in periodo pandemico, la libera circolazione rappresenta una fonte di rischio per la salute pubblica. Rischio che diminuisce se le persone sono immuni da Covid-19 per il fatto di essere vaccinate, di aver riportato un esito negativo a un test o perché guarite nell’arco dei sei mesi precedenti.

All’art. 3 viene chiarito che il certificato COVID digitale dell’UE non rappresenta, quindi, un documento di viaggio: i dati scientifici relativi alla vaccinazione, ai test e alla guarigione continuano ad evolvere e resta sempre la necessità di verificare, prima di mettersi in viaggio, le misure sanitarie applicabili ed eventuali restrizioni presenti nel luogo di destinazione. 

È poi indispensabile che gli Stati membri forniscano al cittadino informazioni chiare, complete e tempestive sul rilascio e sullo scopo dei certificati di vaccinazione, dei certificati di test piuttosto che di guarigione. 

Il Regolamento chiarisce che il possesso di questi certificati non rappresenta in ogni caso una condizione preliminare per l’esercizio del diritto di libera circolazione.

All’interno del Regolamento (art. 3) viene esplicitata la necessità di evitare discriminazioni dirette o indirette di persone che non sono vaccinate, per esempio per motivi di natura medica, poiché non rientrano nel gruppo di destinatari cui il vaccino è attualmente rivolto: ad es. i bambini o tutte quelle persone per le quali non si è ancora aperta la possibilità di essere vaccinate, o che non possono accedere alla vaccinazione per patologie pregresse o perché semplicemente non intendono vaccinarsi.

Si chiarisce, infatti, che il Regolamento non può essere interpretato nel senso di istituire un diritto o un obbligo ad essere vaccinati.

Il legislatore europeo ritiene opportuno un periodo di introduzione graduale della misura, in modo da offrire agli Stati membri, che alla data di applicazione del regolamento non siano ancora in grado di rilasciare certificati conformi, la possibilità di rilasciare certificati attinenti al virus non ancora pienamente corrispondenti a quanto previsto dal regolamento. 

È poi necessario tenere conto del costo dei test: si profila fondamentale nella lotta contro la pandemia garantire un accesso universale, tempestivo e a prezzi accessibili ai vaccini contro il virus e ai test indispensabili per il rilascio dei certificati che costituiscono il certificato Covid digitale dell’Unione.

Al fine di garantire l’interoperabilità e la parità di accesso ai certificati per tutti i cittadini dell’Unione, comprese le persone maggiormente vulnerabili, quali quelle con disabilità o limitate conoscenze informatiche, il Regolamento ribadisce la necessità che gli Stati membri rilascino i certificati in formato digitale o cartaceo, a scelta del titolare, o in entrambi i formati.

Quanto alla protezione dei dati personali, l’art. 10 rinvia al Regolamento (UE) 2016/679, e ribadisce che i dati personali che figureranno nei certificati verranno trattati unicamente al fine di accedere alle informazioni incluse nel certificato, per permettere la loro verifica e agevolare l’esercizio del diritto alla libera circolazione. Trascorso il periodo di applicazione del Regolamento, non si procederà ad ulteriori utilizzi dei dati in questione.

Gli stati membri possono trattare i dati personali per altri fini solo se la base giuridica per il trattamento di tali dati ad altri fini, inclusi i relativi periodi di conservazione, è stabilita dalle legislazioni nazionali, che devono a loro volta essere conformi alla normativa dell’Unione in materia di protezione dei dati, e ai principi di efficacia, necessità e proporzionalità. Tali legislazioni dovrebbero contenere disposizioni che definiscono chiaramente l’ambito e la portata del trattamento, la finalità specifica in questione, le categorie di soggetti che possono verificare il certificato, nonché le pertinenti garanzie per prevenire discriminazioni e abusi, tenendo conto dei rischi per i diritti e le libertà degli interessati.

A distanza di tre giorni dall’approvazione del Reg. 2021/953, il Presidente del Consiglio dei Ministri Mario Draghi ha firmato il d.P.C.M. finalizzato a definire le modalità di rilascio nell’ordinamento interno delle “certificazioni verdi COVID-19”, e quindi (art. 1) “le certificazioni comprovanti lo stato di avvenuta vaccinazione contro il SARS-CoV-2, lo stato di avvenuta guarigione dall’infezione da SARS-CoV-2, ovvero l’effettuazione di un test molecolare o antigenico rapido con risultato negativo al virus SARS-CoV-2”. Per l’emissione e la validazione di tali certificazioni è stata predisposta un’apposita piattaforma: la “piattaforma nazionale digital green certificate (Piattaforma nazionale-DGC)”. Il titolare del trattamento dei dati della Piattaforma è il Ministero della salute.

La certificazione verde COVID-19, che a partire dalla data del 1^ luglio sarà valida come EU digital COVID certificate, è anche volta a facilitare la partecipazione ad eventi pubblici, l’accesso alle strutture sanitarie assistenziali e gli spostamenti in entrata e in uscita da territori classificati come zona rossa o arancione.

Come disposto dall’art. 13 del d.P.C.M., la verifica delle certificazioni verdi COVID-19 è effettuata mediante la lettura del codice a barre bidimensionale, utilizzando esclusivamente l’applicazione mobile predisposta, che consente unicamente di controllare l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione.

Sono autorizzati a procede alla verifica i pubblici ufficiali nell’esercizio delle relative funzioni; il personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o in pubblici esercizi (personale iscritto in appositi elenchi); i soggetti titolari delle strutture ricettive e dei pubblici esercizi per l’accesso ai quali è prescritto il possesso della certificazione (nonché i loro delegati); i vettori aerei, marittimi e terrestri, nonché i loro delegati; infine, i gestori delle strutture (e loro delegati) che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali per l’accesso alle quali, in qualità di visitatori, sia prescritto il possesso della certificazione. A richiesta dei verificatori, l’intestatario della certificazione dovrà dimostrare la propria identità personale mediante l’esibizione di un documento di identità. In ogni caso, l’attività di verifica delle certificazioni non comporta la raccolta dei dati dell’intestatario, in nessuna forma.

L’art. 11 del d.P.C.M. chiarisce che le certificazioni verdi COVID-19 sono messe a disposizione degli interessati attraverso il portale della Piattaforma nazionale-DGC (cui si accede sia attraverso identità digitale che tramite autenticazione a più fattori); il Fascicolo Sanitario Elettronico; l’app Immuni; l’app IO e infine il sistema TS per il tramite dei medici di medicina generale, pediatri di libera scelta, farmacisti e altri medici delle aziende sanitarie, USMAF, SASN autorizzati alle funzionalità del Sistema Tessera Sanitaria. Le modalità di accesso prevedono l’impiego di meccanismi di sicurezza volti a minimizzare il rischio di accessi non autorizzati ai dati personali. In conformità a quanto previsto dal reg. 2021/953, tutti questi strumenti digitali permettono all’interessato di consultare, visualizzare e scaricare le certificazioni anche in formato stampabile.

L’art. 16 ribadisce che le certificazioni verdi COVID-19 e i dati di contatto forniti dagli interessati saranno conservati fino al termine di validità delle certificazioni stesse, termine in corrispondenza del quale cesseranno pure i loro effetti. I dati che hanno generato la certificazione verranno cancellati alla scadenza, salvo che siano utilizzati per altri trattamenti, disciplinati da apposite disposizioni normative, che prevedano un tempo di conservazione più ampio. Per il resto, l’art. 16 rinvia al Regolamento (UE) 2016/679.

Ad oggi tuttavia non c’è una legge che stabilisca in maniera chiara, precisa e determinata quali siano i casi in cui possa essere richiesta l’esibizione del green pass e quali, d’altro canto, le limitazioni.

Come rilevato dal Garante per la privacy, l’indeterminatezza sulle finalità rischia di eludere la riserva di legge operante in tema di diritto di libera circolazione, con la conseguenza che le Regioni potrebbero spingersi ad un utilizzo massiccio e sproporzionato del c.d. green pass, infliggendo così un grave danno alle libertà dei cittadini e il relativo aumento del rischio di una moltiplicazione degli episodi di discriminazione.

È lo stesso art. 5.1 del GDPR  ad esigere che i dati personali vengano raccolti per finalità determinate, esplicite e legittime e dunque trattati compatibilmente a queste finalità.

Se in data 9 giugno 2021 il Garante per la privacy aveva autorizzato la Piattaforma nazionale-DGC, nello stesso provvedimento aveva anche disposto un blocco momentaneo all’utilizzo dell’app IO (uno dei possibili sistemi per scaricare la certificazione).

Tale app (creata dalla società pubblica PagoPA e pensata per permettere ai cittadini di accedere ai servizi messi a disposizione dalla Pubblica Amministrazione mediante un unico punto di accesso telematico) consentirebbe il rilascio del c.d. green pass in forma pressoché immediata, visto che al loro interno sono già presenti tutte le credenziali personali del soggetto richiedente.

Le criticità evidenziate dal Garante col provvedimento del 9 giugno concernono proprio il trattamento dei dati personali degli utenti: l’app IO farebbe uso di alcuni servizi resi da fornitori esterni, la cui presenza rischia di comportare un trasferimento di dati particolarmente delicati verso paesi terzi (ad esempio Stati Uniti, India e Australia); ulteriore problema riguarda l’attivazione di default di tutti i servizi offerti dall’app senza che vi sia stato il previo consenso da parte dell’utente. Infine, un’ulteriore criticità è legata alle notifiche push, che non rappresentano altro che un trattamento dei dati personali, senza però la previsione di una possibilità per l’utente di scegliere esplicitamente quali notifiche attivare e per quali servizi.

Sebbene PagoPA avesse già smentito una possibile compromissione della privacy degli utenti da parte dell’app IO, il Garante ha ordinato comunque di bloccare provvisoriamente alcuni trattamenti di dati effettuati tramite l’app.

Il blocco provvisorio predisposto dal Garante è tuttavia già stato rimosso in seguito all’avvenuto adeguamento da parte di PagoPa alle osservazioni sollevate dall’Autorità.

Poiché le forti problematiche rilevate dall’Autorità in relazione all’applicativo trascendono gli aspetti legati strettamente al c.d. green pass, hanno posto in dubbio la legittimità del trattamento effettuato sinora dalla PA con riferimento anche a tutti gli altri dati trattati dall’app.

Resta quindi, come peraltro già evidenziato dal Consiglio Nazionale di Bioetica, la necessità di specificare gli ambiti di applicazione del documento che, in quanto deroga a diritti fondamentali dell’ordinamento comunitario e nazionale, devono rispettare il principio di legalità, necessità, proporzionalità ed adeguatezza.

Infatti, i diritti non possono subire limitazioni immotivate per ragioni di opportunità contingente, anche organizzativa, condizionandone l’esercizio al possesso di certificazioni sanitarie da utilizzare per finalità non sanitarie.

Allegati

Ok
Questo website usa cookies. Maggiori dettagli