Il Green Pass e i problemi sul trattamento dati: quali sono gli ostacoli da superare per il suo utilizzo?
Il tema delle riaperture “in sicurezza” sta diventando un campo di discussione e confronto che passa anche attraverso a decisioni dell’Unione Europea e del Governo Italiano, che richiedono un po’ di ordine.
L’Unione Europea nel mese di marzo ha iniziato l’iter di approvazione di un Regolamento Europeo per il rilascio, la verifica e l'accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione durante la pandemia di COVID-19, il così detto “Green Pass”.
Il Green Pass, è un certificato pensato dall’UE per introdurre misure che consentano di agevolare la mobilità delle persone per favorire la ripresa delle attività economiche – con particolare riguardo a quelle connesse al settore turistico ricettivo – e, nello stesso tempo, di non sacrificare le esigenze di tracciabilità, limitando la circolazione dei soggetti che potrebbero veicolare ulteriormente la propagazione del virus.
Il certificato, quindi dovrebbe attestare:
che l’individuo è stato sottoposto a trattamento vaccinale contro il Sars-Cov-2,
oppure che si è sottoposto a test molecolare o antigenico rapido (i c.d. tamponi), ottenendo un risultato negativo,
o che è guarito dall’infezione da Sars-Cov-2.
La sua esibizione consentirebbe di superare le difficoltà incontrate nell’individuazione di strumenti di tracciamento alternativi basati su software, tra cui la “nostra” app Immuni.
La durata non è stata ancora stabilita, ma il certificato verrà rilasciato gratuitamente in formato cartaceo o digitale, consentendo in quest’ultimo caso di essere salvata su un dispositivo mobile (agevolandone così l’esibizione) e corredata da un codice qr con firma digitale per impedirne la falsificazione.
Naturalmente, un certificato di questo tipo comporta un trattamento di dati rischioso che deve rispettare i principi del Regolamento Generale sulla Protezione dei dati (GDPR).
Il rilascio del Green Pass, infatti, presuppone una attività di “schedatura” di dati classificati come “particolari” in quanto inerenti alla salute il che, oltre alla legittimità del trattamento, presuppone la creazione di banche dati interoperabili a livello europeo di non facile realizzazione.
La stessa proposta ne è consapevole e sottolinea l’importanza - ad esempio - del rispetto del principio di minimizzazione.
Inoltre, la proposta di regolamento sancisce espressamente che il trattamento dei dati fatto nel contesto della creazione e gestione del Green Pass trova il proprio presupposto giuridico nella necessità di adempiere a un obbligo di legge (art. 6 lett. c Gdpr e 9 lett. g Gdpr). Il rispetto del GDPR della proposta di Green Pass Europeo è stato oggetto di parere congiunto dell’European Data Protection Board (EDPB) e dell’European Data Protection Supervisory Authority (EDPS) in cui sottolineano che qualsiasi utilizzo dei dati al di fuori delle strette finalità connesse alla creazione e gestione del sistema Green Pass dovrebbe essere considerato illegittimo.
Il Green Pass Europeo è attualmente in fase di test anche in Italia, ma tecnicamente, e secondo il progetto, sarà pronto e operativo dal mese di giugno.
Il progetto europeo, però, secondo la proposta, non è nato di per sé per consentire l’accesso a Manifestazioni Sportive o ai grandi eventi. Non è detto che l’evoluzione normativa non cambi, ma al momento il Governo Italiano ha preferito optare per la creazione di un Green Pass nazionale.
In particolare il c.d. Decreto riaperture ha introdotto un Green Pass italiano che sarebbe, teoricamente, pensato proprio per l’accesso in sicurezza, tra le altre, alle Manifestazioni sportive.
Infatti, l’art. 5 comma 4 D.l. 52/2021 prevede la possibilità di richiedere il pass vaccinale come condizione di accesso ad eventi sportivi, qualora ciò sia previsto dalle linee guida della Conferenza stato regioni o dal sottosegretario allo sport.
Sul piano operativo, tuttavia, l’attuale progetto del decreto si complica un po’.
Si prevedono, infatti, tre certificazioni diverse a seconda che attestino: il completamento del ciclo vaccinale oppure l’avvenuta guarigione da Covid o ancora l’esito negativo del test rapido o molecolare.
I tre certificati avranno una diversa durata di validità: mentre quelle da ciclo vaccinale e guarigione Covid dureranno 6 mesi, la certificazione del tampone negativo avrà una durata di 48 ore.
Ovviamente, il tutto dovrà essere rivisto con l’entrata in vigore della normativa europea sul Digital Green Certificate.
Il decreto Riaperture, poi, rinvia ad un successivo Decreto del Presidente del Consiglio per stabilire gli aspetti tecnici delle piattaforme, quali, ad esempio, i dati e le informazioni da riportare nel certificato; la struttura dell’identificativo che consente di verificare l’autenticità, la validità e l’integrità delle informazioni, i tempi di conservazione dei dati e le misure per assicurare la protezione dei dati.
Tuttavia, diversamente dal Green Pass europeo, gli aspetti legati al GDPR non sembrano essere stati presi adeguatamente in considerazione, tanto che lo stesso Garante Privacy ha elencato le “criticità” del provvedimento sul pass vaccinale e i pericoli che comportano (Provvedimento 23 aprile 2021, n. 156). In particolare, questi i principali aspetti criticati:
la mancata preventiva consultazione del Garante in merito al provvedimento
la scarsa attenzione del principio di minimizzazione: troppe informazioni contenute nei certificati verdi, indeterminatezza delle finalità del trattamento e carenti le misure sulla tutela dei dati raccolti;
manca la valutazione preliminare dei rischi che il certificato digitale potrà causare ai diritti e alle libertà dei cittadini: per la digitalizzazione del pass italiano (che inizialmente è disponibile solo in formato cartaceo), si stanno verificando e ottimizzando due strumenti alternativi: una app per smartphone e una tessera con i dati forniti dalle autorità sanitarie;
la base giuridica difetta di elementi essenziali richiesti dal GDPR e dal codice privacy;
manca completamente l’indicazione di chi sia il titolare del trattamento dei dati e che non è ancora stabilito presso quale ente avrà sede la piattaforma nazionale di raccolta dei dati.
Infine, il Garante suggerisce di predisporre un certificato unico e uguale per tutte e tre le situazioni previste in ossequio al principio di minimizzazione, indicando solo la durata della validità (che è giusto che rimanga diversa).
Tuttavia, senza la definizione degli aspetti sul trattamento dati difficilmente si potrà pensare ad utilizzare il certificato per l’accesso alle manifestazioni sportive.
L’analisi fatta porta alcune considerazioni.
Sicuramente è apprezzabile l’iniziativa sia Europea che Italiana di cercare delle soluzioni per consentire la ripartenza economica e la riapertura di grandi eventi anche sportivi, a rischio “assembramenti”, ma c’è ancora molto da fare e la strada non sembra facile.
Si ritiene fondamentale trovare un modo per lavorare in sinergia e su soluzioni semplici o si corre il rischio operativo di usare sistemi costosi, ma troppo complessi per l’utente che deve capire in modo immediato, semplice ed efficace cosa deve fare se vuole accedere ad una manifestazione sportiva.
Infine, a tre anni dall’entrata in vigore del GDPR sembra che, purtroppo, ci sia ancora molta resistenza a progettare iniziative tenendo conto della privacy, applicando il concetto di privacy by design. Dovrebbero applicarlo per prime le Istituzioni e la Pubblica Amministrazione perché non si può parlare di digitalizzazione senza perseguire l’obiettivo di salvaguardare la sicurezza dei dati dei cittadini e il rispetto delle norme.