g-docweb-display Portlet

Provvedimento del 7 aprile 2022 [9773687]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9773687]

Provvedimento del 7 aprile 2022

Registro dei provvedimenti
n. 170 del 7 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

Viste la segnalazione di cui al prot. 0010457/22 del 16 febbraio 2022 e quelle, di analogo contenuto, abbinatevi (fasc.178364);

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”).

Visto il  Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo 30 giugno 2003, n. 196 e s.m.i., di seguito: “Codice”) e, in particolare, l’articolo 144;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

Sono state rivolte al Garante, ai sensi dell’articolo 144 del Codice, numerose segnalazioni d’analogo contenuto, volte a richiedere la declaratoria di illiceità del “trattamento di dati personali “certificazione verde” introdotto con d.l. 52 del 2021 e successivi atti normativi” e la conseguente adozione di un provvedimento che “ne disponga la limitazione definitiva e il divieto in applicazione dell’art. 58, par. 2, lett. f) GDPR”.

Le segnalazioni contengono numerose censure, essenzialmente rivolte alle scelte di politica sanitaria sottese alla disciplina delle certificazioni verdi cui, ad avviso dei segnalanti, conseguirebbe (in via più o meno mediata) l’illiceità del trattamento dei dati personali dalla  stessa previsto.

In particolare, con un primo argomento si contesta la legittimità, in sé, delle certificazioni verdi quale strumento di politica sanitaria, privo di “rapporto con l’andamento del contagio” cui sarebbe connesso, in tesi, un trattamento di dati personali volto a perseguire “obiettivi di castigo, oppressione economica e mentale, umiliazione”, “usato strumentalmente per aggirare la Costituzione, dunque, alla lettera, eversivo”. Ad avviso dei segnalanti, infatti, il green pass configurerebbe una sorta di obbligo vaccinale surrettizio, pur in assenza della previsione generalizzata di tale obbligo. In tal senso si adduce, peraltro, il rilievo della non equivalenza economica dei presupposti di rilascio del green pass, in ragione dell’onerosità del tampone a fronte della gratuità della vaccinazione.

Inoltre, anche richiamandosi i provvedimenti del 23 aprile 2021 [9578184] e del 9 giugno 2021 [9668064], si censura l’asserita indeterminatezza delle finalità perseguite e, laddove esse siano indicate, la mancata “esplicitazione del nesso causale tra green pass e finalità”; nonché l’assenza del “requisito di necessità imposto ex art. 9.2 Gdpr” e del “requisito di proporzionalità tra trattamento e finalità”, come da artt.5, 6.3, 6.4”. Tali carenze sono ravvisate, essenzialmente, in scelte di politica sanitaria non condivise nel merito e, in particolare, nella ritenuta assenza di fondatezza scientifica della presunzione di minore capacità virale dei soggetti vaccinati (“l’assunto che il vaccinato non contagi è semplicemente falso”).

Con un secondo argomento si contesta, poi, la legittimità, in sé, del “green pass rafforzato” quale requisito per l’accesso a determinati beni o servizi (d.l 172 del 2021), ritenendo che la conseguente preclusione, a soggetti risultati negativi al tampone, dell’accesso a determinati luoghi o servizi contrasti con le esigenze sanitarie, in difformità dalle previsioni del Regolamento (UE) 2021/1953 (tale dovendosi intendere il riferimento al “regolamento padre, ossia il 2021/953”), con conseguente violazione del principio di liceità di cui all’art. 5, p.1, lett.a) del Regolamento (UE) 2016/679.

Con un terzo argomento, infine, si contesta, sul piano del metodo, la liceità del trattamento dei dati personali connesso alla verifica di validità del green pass, per asserita omessa consultazione del Garante sulle relative previsioni normative.

RILEVATO

Le suesposte censure riferite, dai segnalanti, al trattamento dei dati personali funzionale al sistema del green pass non sono fondate, per le ragioni di seguito esposte.

In relazione alle censure avanzate con il primo argomento, va anzitutto osservato come al Garante non spetti la valutazione di opportunità delle scelte di politica sanitaria in quanto tali, dovendo l’Autorità limitarsi a verificare la legittimità del trattamento connesso e funzionale a quelle scelte.

Il limite esterno del sindacato di questa Autorità è tracciato dalla sfera di discrezionalità politica rimessa al legislatore e di discrezionalità tecnica, che vincola la prima, soprattutto in scelte quali quelle di politica sanitaria, come precisato dalla sentenza della Corte costituzionale n. 282 del 2002.

All’interno di quella sfera, andrà, certamente garantito quell’equilibrio non statico, ma dinamico tra diritti individuali e principio di solidarietà, tale da realizzare la tutela sistemica e non frazionata di cui ragiona la sentenza n. 85 del 2013 della Corte costituzionale.

Fermo questo presupposto, l’oggetto della valutazione del Garante è, tuttavia, circoscritto al limitato profilo del trattamento dei dati personali normativamente previsto e non, invece, all’asserito eccesso di potere legislativo per erronea valutazione dei presupposti scientifici della misura.

Sotto questo aspetto, dunque, le eccezioni avanzate dai segnalanti non sono fondate, non ravvisandosi – come già affermato più volte, in sede di audizione sui vari decreti-legge che hanno disciplinato la materia - profili d’illiceità del trattamento dei dati personali connesso al funzionamento (peraltro temporaneo) del sistema delle certificazioni verdi, sia nella loro versione base, sia in quella rafforzata introdotta con il d.l. 172 del 2021, convertito, con modificazioni, dalla l. n. 3 del 2022, per le ragioni di seguito descritte.

Va peraltro considerato come, rispetto al momento di presentazione delle segnalazioni, l’ambito applicativo delle certificazioni verdi (tanto nella versione “base” quanto in quella “rafforzata”) sia stato notevolmente circoscritto, per effetto del disposto di cui agli articoli 6 e 7 d.l. n. 24 del 2022 (al momento di adozione di questo provvedimento in fase di conversione in legge).

Ne consegue una notevole limitazione, già attuata a partire dal 1^ aprile scorso, del perimetro del relativo trattamento di dati personali, che andrà progressivamente a restringersi a partire dal mese di maggio prossimo, come dispongono appunto i citati articoli del d.l. n. 24.

Tale progressiva riduzione dell’ambito applicativo dell’istituto delle certificazioni verdi ne dimostra l’effettiva natura di misura transitoria, volta a contenere i contagi e gli effetti più gravi della pandemia nella sua fase più acuta. Si tratta di un profilo di particolare rilievo, avendo lo stesso parere congiunto n. 4 del 2021, del Comitato europeo per la protezione dei dati e del Garante europeo della protezione dei dati, sulle proposte di Regolamenti europei sulle certificazioni verdi digitali, sottolineato l’importanza di configurare tale istituto come transitorio, ad efficacia strettamente limitata alla fase pandemica emergenziale.

RITENUTO

In relazione al primo argomento addotto dai segnalanti, va in primo luogo considerato (anche ai fini del richiamo, contenuto nelle segnalazioni, ai provvedimenti del 23 aprile 2021 [9578184] e del 9 giugno 2021 [9668064]) come, lungo il corso dell’evoluzione che l’ha caratterizzata, la disciplina delle certificazioni verdi abbia progressivamente e sensibilmente affinato le garanzie in termini di protezione dei dati personali.

Se, infatti, come osservato nei citati provvedimenti, le previsioni originarie presentavano un certo margine d’indeterminatezza nella descrizione delle finalità sottese al trattamento dei dati funzionale al sistema del green pass, questa carenza è stata progressivamente colmata con le modifiche normative succedute al d.l. n. 52 del 2021. In particolare, le certificazioni verdi sono state prima concepite per gli spostamenti tra regioni di “colore” diverso (d.l. 52/21), poi per la fruizione di servizi o lo svolgimento di attività ritenute a rischio epidemico particolare (d.l. 105/21), quindi per la scuola, i trasporti, il personale esterno anche delle rsa (dd.ll. 111 e 122/21) e, infine, per il lavoro in ambito pubblico e privato (d.l. 127/21).

L’ambito oggettivo di applicazione della misura è stato progressivamente circoscritto anche considerandone l’incidenza su materie coperte da riserva di legge statale: profilassi internazionale, autodeterminazione terapeutica- relativamente all’esigenza di evitare discriminazioni nei confronti di quanti non possano o non vogliano vaccinarsi e, quindi, di evitare obblighi vaccinali surrettizi- e, appunto, protezione dati (cfr. Corte cost., sent. 5/2018 sulle condizioni di legittimità dell’obbligo vaccinale, nonché, sulla riserva di legge statale in materia di vaccinazione, cfr. ordinanza Giudice del lavoro di Messina del 12 dicembre 2020; Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/2021 in ordine alla profilassi internazionale).

E’ significativa in tal senso, la previsione, aggiunta in sede di conversione del d.l. 105 del 2021, secondo cui “Ogni diverso o nuovo utilizzo delle certificazioni verdi COVID-19 e' disposto esclusivamente con legge dello Stato” (art. 9, c.10-bis, secondo periodo, d.l. 52 del 2021). Si tratta di previsione quantomai opportuna in ragione dell’esigenza di evitare iniziative di singole Regioni che, proprio in ragione della riserva di legge statale che caratterizza le materie incise da queste misure, risulterebbero illegittime e non certo soltanto sotto il profilo privacy.

Nel corso dell’esame parlamentare del d.l. 52 e, poi, dei decreti-legge successivi che hanno esteso l’ambito di applicazione delle certificazioni verdi, in particolare, si è conferita maggiore determinatezza alla disciplina anche sotto il profilo dell’“architettura” del trattamento. Si sono, in particolare, individuati i soggetti istituzionali cui compete la responsabilità della gestione della “Piattaforma Nazionale DGC”, in ottemperanza al principio di trasparenza che impone un’adeguata informazione degli interessati circa le caratteristiche essenziali del trattamento, agevolando così anche l’esercizio dei diritti loro riconosciuti. 

Inoltre, in virtù delle misure introdotte con il d.P.C.M. 17 giugno 2021, attuativo dell’articolo 9, c.10 (su cui il Garante ha peraltro reso parere con il citato provvedimento del 9 giugno 2021), si è potuto garantire che oggetto della verifica – mediante l’app ufficiale Covid-19 - sia (oltre al nome, al cognome e alla data di nascita) il solo qr code attestante il possesso di una certificazione in corso di validità, senza alcun riferimento al presupposto del certificato, ovvero vaccinazione, guarigione, tampone (cfr. anche Cons. St., Sez. III, ord. 17 settembre 2021, n. 5130 che in ragione di tali considerazioni esclude la sussistenza di “lesioni della riservatezza sanitaria”).

Le previsioni attuative mirano ad evitare, in particolare, un’indebita conoscenza, da parte di terzi, della condizione sanitaria o, comunque, delle scelte vaccinali del soggetto. Al fine di minimizzare l’impatto del trattamento, si è poi espressamente esclusa la raccolta, da parte dei soggetti verificatori, dei dati dell'intestatario della certificazione (art. 13, c.5, d.P.C.M. 17 giugno 2021). Ai sensi dell’articolo 17 dello stesso decreto, le misure per la sicurezza del trattamento sono periodicamente riesaminate e aggiornate sulla base della valutazione d’impatto di cui all’articolo 35 del Regolamento.

Complessivamente, dunque, il trattamento dei dati personali funzionale al sistema del green pass può ritenersi correttamente circoscritto alle finalità normativamente previste ed assistito da misure idonee a minimizzarne l’impatto sugli interessati.

Il parametro da considerare a tali fini è, in primo luogo, quel principio di proporzionalità sancito in via generale dall’art. 52 CDFUE per le limitazioni dei diritti fondamentali e declinato in termini di minimizzazione dall’art. 5, p.1, lett.c), Reg. Ue 2016/679, secondo cui “le deroghe e le restrizioni alla tutela dei dati personali” devono intervenire “entro i limiti dello stretto necessario” (CGUE sent. Tele 2 Watson, 21.12.2016, cause riunite C 203/15 e C 698/15; sentenze del 16 dicembre 2008, Satakunnan Markkinapörssi e Satamedia, C 73/07, EU:C:2008:727, punto 56; del 9 novembre 2010, Volker und Markus Schecke e Eifert, C 92/09 e C 93/09, EU:C:2010:662, punto 77; Digital Rights, punto 52, nonché del 6 ottobre 2015, Schrems, C 362/14, EU:C:2015:650, punto 92).   In senso analogo, del resto, la Corte costituzionale ha ricordato come il principio di proporzionalità imponga di prevedere «oneri non sproporzionati rispetto ai fini perseguiti» e scegliere la «misura meno restrittiva dei diritti che si fronteggiano», «senza che la compressione della tutela dei dati personali risulti priva di adeguata giustificazione, in contrasto con il principio di proporzionalità» (sent. n. 20 del 2019, punti nn. 5 e 6).

Sotto questo profilo, l’esigenza di funzionalità del sistema del green pass (cui sono sottese scelte di politica sanitaria che non spetta al Garante sindacare) ben può rappresentare quella giustificazione per il trattamento dei dati sulla condizione vaccinale, di negatività al test o di guarigione, richiesta dalla Consulta ai fini della valutazione della ragionevolezza e proporzionalità della limitazione di diritti fondamentali, quale è il diritto alla protezione dei dati.

Analoghe considerazioni possono essere riferite, in riscontro al secondo argomento avanzato dai segnalanti, in ordine al “green pass rafforzato”, introdotto dall’articolo 5 del d.l. 172 del 2021, convertito, con modificazioni, dalla legge n. 3 del 2022. Come osservato in sede di audizione parlamentare sul disegno di legge di conversione del decreto-legge, infatti, pur in un contesto di differenziazione degli effetti delle certificazioni verdi- secondo che conseguano ad avvenuta vaccinazione o guarigione da un lato o a test dall’altro- dal punto di vista della protezione dei dati è essenziale evitare l’indebita rivelazione dei presupposti delle stesse.

Tale risultato è stato poi garantito dalle novelle apportate al dPCM 17 giugno 2021 (su cui cfr. il parere di cui al provvedimento n. 430 del 13 dicembre 2021), minimizzando dunque anche l’impatto del “green pass rafforzato” sulla sfera individuale.

La differenziazione negli effetti delle certificazioni in ragione del loro presupposto non pare, dunque, contrastare con il canone di proporzionalità, pur sulla base di una valutazione condotta “in relazione agli effetti pratici prodotti o producibili nei concreti rapporti della vita” (Corte cost., sent. 163/1993).

In ordine al paventato contrasto della disciplina interna con quella di cui al Regolamento (UE) 2021/1953, basti qui richiamare la risposta della Commissione UE alla interrogazione P-005291/2021 sul green pass rafforzato, secondo cui “L'uso nazionale dei certificati COVID-19 per scopi diversi dall'agevolazione della libera circolazione all'interno dell'UE non rientra nell'ambito di applicazione di tale regolamento. Gli Stati membri possono utilizzare il certificato COVID digitale dell'UE a fini nazionali, ma sono tenuti a prevedere in tal senso una base giuridica nel diritto nazionale che rispetti, tra l'altro, i requisiti in materia di protezione dei dati.  Spetta agli Stati membri stabilire quali misure di protezione della salute ritengano più appropriate per accedere, ad esempio, a determinati luoghi. Le condizioni di accettazione per fini nazionali non rientrano nell'ambito di applicazione del regolamento relativo al certificato COVID digitale dell'UE, ma sono di competenza degli Stati membri nel settore della sanità pubblica.”.

Le disposizioni interne sul “green pass rafforzato” si muovono, pertanto, nel margine di discrezionalità rimesso agli Stati membri dal Regolamento (UE) 2021/1953, dovendosi escludere, anche sotto questo profilo, possibili violazioni- sia pur mediate da incompatibilità della fonte primaria interna con quella europea- del principio di liceità del trattamento ex art. 5, par.1, lett.a), del Regolamento.

Parimenti non fondate sono, infine, le eccezioni avanzate dai segnalanti, sul piano del metodo, con il terzo argomento. il Garante è stato, infatti, sistematicamente audito, dalle Camere, sui disegni di legge di conversione dei principali decreti-legge in materia e, finanche, sullo stesso istituto del green pass. Di seguito si elencano le principali audizioni in materia, rilevanti ai fini di cui all’articolo 36, paragrafo 4 del Regolamento:

1) audizione dinanzi alla 1^ Commissione del Senato sui profili costituzionali dell’eventuale introduzione di un “passaporto vaccinale” per i cittadini cui è stato somministrato il vaccino anti SARS-COV2 (8 aprile 2021, doc. web 9574242);

2) audizione dinanzi alle Commissioni riunite I, II e XII della Camera dei Deputati, sulle tematiche relative alla certificazione verde Covid-19 – 6 maggio 2021 (doc. web 9583365);

3) contributo sul decreto-legge 21 settembre 2021, n. 127, recante misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l'estensione dell'ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening (1^ Commissione Senato, 5 ottobre 2021, doc. web 9707961);

4) audizione dinanzi alla 1^ Commissione del Senato sul decreto-legge 26 novembre 2021, n. 172 recante "Misure urgenti per il contenimento dell'epidemia da COVID-19 e per lo svolgimento in sicurezza delle attività economiche e sociali (7 dicembre 2021, in www.gpdp.it – doc web. 9725434).;

5) audizione dinanzi alla XII Commissione della Camera dei deputati sul decreto-legge n. 1 del 2022: Misure urgenti per fronteggiare l'emergenza COVID-19, in particolare nei luoghi di lavoro, nelle scuole e negli istituti della formazione superiore (10 febbraio 2022, doc web 9744445).

L’Autorità è stata, inoltre, sistematicamente consultata sugli schemi di provvedimenti attuativi in materia (corredati delle relative valutazioni d’impatto), ovvero il dPCM 17 giugno 2021 e i successivi che lo hanno novellato (cfr. pareri di cui ai provv. nn. 229 del 9 giugno 2021, doc. web n. 9668064;  306 del 31 agosto 2021, doc. web n. 9694010; 363 dell’ 11 ottobre 2021, doc. web n. 9707431 ; 430 del 13 dicembre 2021, doc. web n. 9727220 n. 18 del 27 gennaio 2022, doc. web n. 9742129;  n. 57 del 18 febbraio 2022, doc. web n. 9746905).

Il Garante è stato, quindi, consultato in ordine agli aspetti rilevanti, in termini di protezione dei dati, della disciplina delle certificazioni verdi, sia di rango primario sia di carattere attuativo non regolamentare, fornendo indicazioni che sono state progressivamente recepite (ad eccezione di quella sulla consegna del green pass al datore di lavoro di cui agli ultimi due periodi del comma 5 dell'art. 9-quinquies e del comma 5 dell'articolo 9-septies d.l. 52 del 2021).

Per tali ragioni e, in linea più generale, per l’identità delle questioni oggetto di segnalazione con quelle già esaminate dal Garante in sede di consultazione preventiva sui provvedimenti, anche di carattere normativo, in materia, il procedimento relativo alle segnalazioni in esame dev’essere archiviato, non ravvisandosi i presupposti per l’adozione delle misure invocate (cfr., peraltro, art. 11, c.1, lett.d), Regolamento Garante n. 1 del 2019).

IL GARANTE

ai sensi degli articoli 57, par. 1, lett.a) e v) del Regolamento e 144 del Codice, delibera a maggioranza l’archiviazione del procedimento relativo alle segnalazioni di cui in premessa.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 aprile 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei