g-docweb-display Portlet

Green pass: no a iniziative locali che violano la normativa privacy. Il Garante invia un avvertimento formale alla Regione Campania

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

English version

 

Green pass: no a iniziative locali che violano la normativa privacy
Il Garante invia un avvertimento formale alla Regione Campania

Il Garante per la protezione dei dati personali ha adottato un provvedimento con il quale ha "avvertito" formalmente la Regione Campania che il sistema di certificazione di avvenuta vaccinazione, guarigione o negatività - promosso dalla Regione come condizione necessaria per la fruizione di innumerevoli servizi come quelli turistici, alberghieri, di wedding, trasporti e spettacoli - viola la normativa sulla privacy. Il sistema è previsto da un'ordinanza del Presidente della Campania che demanda all'Unità di crisi regionale la definizione delle modalità operative e la distribuzione di smart card su cui saranno registrati i pass Covid regionali.

In base all'istruttoria avviata dal Garante è emerso che l'iniziativa è priva di una idonea base giuridica. Disposizioni di questa natura, che condizionano diritti e libertà personali sono ammissibili, infatti, solo se previsti da una idonea normativa nazionale e non da un'ordinanza regionale. Tale ordinanza, peraltro, travalica le stesse indicazioni del cosiddetto "Decreto riaperture" - che già presentava specifiche criticità già segnalate dall'Autorità al Governo - introducendo l'esibizione del green pass come ulteriore condizione alla mobilità e all'accesso a servizi di base.

L'ordinanza introduce, inoltre, l'utilizzo di smart card come "sistema di rilascio di certificazione di avvenuta vaccinazione" senza specificare la titolarità del trattamento, chi può accedere e usare le informazioni, chi può controllare la validità e l'autenticità delle certificazioni. Il progetto si pone così in violazione di principi base del Regolamento Ue in materia di protezione dei dati personali come quelli di liceità, correttezza, trasparenza, privacy by design e by default. Il sistema adottato dalla Regione, avrebbe richiesto, in ogni caso, che venisse effettuata una preventiva valutazione di impatto volta a implementare misure adeguate a garantire la protezione dei dati, anche particolarmente delicati come quelli sulla salute delle persone.

L'Autorità rimarca che progetti come quello campano introducono sistemi di rilascio e di verifica della vaccinazione difformi da quelli individuati a livello nazionale e, soprattutto, che mettono a rischio la stessa interoperabilità delle certificazioni a livello nazionale ed europeo, in contrasto proprio con la finalità di agevolare la libera circolazione all'interno dell'Unione Europea durante la pandemia di Covid-19.

L'"avvertimento" formale adottato nei confronti della Regione Campania è stato comunicato anche al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome, per le valutazioni di competenza.

Roma, 26 maggio 2021

 

 

__________

 

Green Pass: The Italian SA issues a warning to the Campania Region

The Italian SA (Garante per la protezione dei dati personali) officially warned the Campania Region that the system the Region planned to implement in order to certify COVID-19 vaccination, recovery or negativity was in breach of privacy laws. The certification was intended to be a precondition to access several services including tourism, hotelling, wedding, transportation and entertainment-related ones. The system was envisaged in an order by the President of the Campania Region, entrusting the Regional Crisis Management Unit to lay down operational arrangements and distribute smart cards where the regional COVID-passes would be stored.

The investigation by the Garante showed that this initiative had no appropriate legal basis. Any measure limiting the rights and freedoms of individuals is only admissible if it is grounded in suitable national legislation, not in a regional order. The order in question required producing the green pass as an additional precondition to enable free movement and to access basic services; accordingly, the order also fell short of the criteria set forth in the so-called ‘Italy Reopens’ decree, which was fraught per se by criticalities which the Italian SA had already highlighted.

The order envisaged use of a smart card as a ‘system to issue vaccination certificates’, however it did not specify who was the controller of this processing, who was authorised to access and use the data, or who was tasked with checking that the certificates were valid and genuine. From this standpoint, the system was in breach of basic principles of the EU GDPR such as lawfulness, fairness, transparency, and privacy by design and by default. At all events, the Region should have performed a data protection impact assessment beforehand in order to implement adequate data protection safeguards – partly considering the sensitive nature of health-related information.

The Garante emphasized that initiatives like the one by the Campania Region would implement mechanisms for the release and verification of vaccination status departing from those set out at national level; more importantly, they would jeopardise the interoperability of certificates at both national and European level and would thus stand in the way of the ultimate objective of such certificates – i.e., facilitating the free movement of individuals in the EU during the COVID-19 pandemic.

The Prime Minister and the Conference of Regions and Autonomous Provinces were also informed of the formal warning issued to the Campania Region with a view to the appropriate follow-up.

Rome, 26 May 2021