Certificato verde digitale, come funziona e quali sono gli impatti privacy

Search by...
Search
Questo articolo è stato pubblicato il 25 Marzo 2021 su Cybersecurity360.it.

Si chiama certificato verde digitale e sarà una prova del fatto che una persona è stata vaccinata contro il coronavirus, è risultata negativa al test o è guarita dalla Covid-19. È quanto indicato nella proposta di regolamento presentata lo scorso 17 marzo dalla Commissione europea: quando verrà introdotto, il certificato verde digitale consentirà di agevolare la libera circolazione dei cittadini tra gli Stati Membri durante la pandemia di Covid-19, pur nel rispetto della sicurezza della salute pubblica.

Il certificato nelle intenzioni consentirà di spostarsi tra gli Stati Membri in modo sicuro, limitando il rischio di diffusione del virus all’interno del territorio comunitario.

Tale certificato non sarà discriminatorio verso i soggetti che non si sono ancora vaccinati. Infatti, il certificato non rappresenterà un presupposto per viaggiare bensì consentirà di spostarsi più agevolmente, evitando possibili restrizioni imposte da singoli Stati come la quarantena o la sottoposizione a test in grado di diagnosticare la Covid-19.

Uno dei profili maggiormente discussi con riguardo al certificato verde digitale o ai c.d. Pass vaccinali riguarda la tutela garantita ai dati personali, che si avrà modo di approfondire nel prosieguo dell’articolo.

Certificato verde digitale: i dati richiesti

Il certificato verde digitale sarà rilasciato in formato digitale da ciascuno Stato Membro e potrà comprendere tre diverse tipologie di certificati:

  • di vaccinazione,
  • di test (non autodiagnostici)
  • di guarigione dalla Covid-19.

Le informazioni contenute nel certificato sono strettamente funzionali alla verifica dell’identità del soggetto e dell’autenticità del certificato (i.e. nome, Stato Membro di rilascio e identificativo univoco del certificato) così come all’accertamento delle caratteristiche tecniche relative al vaccino (e.g. fabbricante), al test (e.g. tipo di test e data in cui è stato effettuato) o alla guarigione (e.g. data di emissione) a seconda della tipologia di certificato che viene mostrato.

Il certificato verde digitale nei singoli Stati Membri

Ciascun certificato dovrà contenere un codice QR con una firma digitale, che verrà scansionato e controllato al momento degli accertamenti così da verificare l’autenticità del certificato.

A tal fine, ciascun ente di rilascio del Certificato (e.g. ospedali, autorità sanitarie) avrà a disposizione una propria chiave di firma digitale. Tali chiavi saranno conservate in una banca dati protetta all’interno di ciascuno Stato.

Inoltre, la Commissione europea costituirà un gateway attraverso il quale sarà possibile verificare la firma digitale apposta nel certificato verde digitale, indipendentemente dallo Stato Membro di rilascio.

In tale contesto, diventa essenziale la scelta fatta dalla Commissione europea del Regolamento come strumento normativo per introdurre il certificato verde digitale. Ciò, infatti, garantisce un’immediata e uniforme attuazione della disciplina del certificato, evitando così problemi di riconoscimento della veridicità dei certificati stessi.

Il trattamento dei dati personali nel certificato verde digitale

L’articolo 9 della proposta di Regolamento fornisce determinate garanzie a tutela della protezione dei dati personali trattati per la realizzazione del certificato verde digitale.

Come anticipato, nel certificato sono riportati solo i dati strettamente necessari alla verifica dell’identità del soggetto e i dati connessi alla vaccinazione, all’esito negativo di un test o all’avvenuta guarigione del paziente.

La quantità e la tipologia di informazioni raccolte nel certificato sembrano quindi essere in linea con il principio di minimizzazione.

È chiaro che verranno trattati non solo dati personali ma in particolare anche dati relativi alla salute, il cui trattamento può essere legittimato, come in questo caso, da motivi di interesse pubblico rilevante (i.e. favorire la libera circolazione delle persone all’interno del territorio UE in sicurezza) sulla base del diritto dell’Unione[1].

Inoltre, tali dati potranno essere consultati dalle autorità competenti dello Stato di destinazione ma non potranno essere conservati dai Paesi visitati. I dati saranno quindi conservati solo dagli Stati Membri che hanno rilasciato il certificato, mentre non è prevista la creazione di una banca dati a livello europeo.

In ogni caso, la conservazione dei dati necessari per il certificato potrà avvenire esclusivamente per il periodo di utilizzo dei certificati durante la pandemia al fine di consentire l’effettivo esercizio della libera circolazione tra gli Stati Membri.

Ai sensi della proposta di Regolamento, le autorità responsabili del rilascio del certificato verde digitale sono considerate titolari del trattamento. Alla luce di quanto detto, è evidente che il legislatore europeo abbia ritenuto tale soluzione praticabile all’esito di un bilanciamento tra il principio della libera circolazione delle persone tra gli Stati Membri, la tutela della salute pubblica e il diritto alla tutela dei dati personali riconosciuto dal Regolamento (UE) 2016/679 (GDPR).

Per l’effettiva attuazione del progetto sarà comunque necessaria una unità di vedute tra gli Stati Membri (anche, ad esempio, sul rispetto dei principi a protezione dei dati personali da parte della proposta) e una capacità operativa ed informatica tale da garantire l’emissione dei certificati con i requisiti minimi richiesti a livello europeo da parte di ogni Paese.

Il Garante privacy sui possibili pass vaccinali locali

Prima della pubblicazione della proposta di Regolamento sul certificato verde digitale, il Garante Privacy italiano aveva espresso la propria opinione sui c.d. pass vaccinali, ossia soluzioni anche in formato digitale indicate da soggetti pubblici o privati fornitori di servizi come condizione necessaria per accedere a determinati locali o per fruire di un servizio.

Innanzitutto, tali soluzioni rischiano di essere discriminatorie nei confronti di coloro che non hanno ancora avuto accesso alla campagna vaccinale e nei confronti di coloro che optano per la non vaccinazione.

Pertanto, tali strumenti – se implementati in maniera inappropriata – potrebbero ledere le libertà fondamentali riconosciute agli individui e, ad esempio, far percepire la vaccinazione contro la Covid-19 come un trattamento sanitario obbligatorio.

Anche dal punto di vista della riservatezza dei dati personali potrebbero sorgere delle criticità. Infatti, simili misure – adottate in modo disomogeneo e incontrollato sul territorio – potrebbero portare alla violazione del diritto alla privacy, se implementate nel mancato rispetto dei principi dettati dal GDPR (e.g. principio di proporzionalità, limitazione delle finalità e minimizzazione dei dati).

In quest’ottica, il Garante ha ricordato – con comunicato stampa del primo marzo 2021 – che eventuali provvedimenti idonei ad introdurre i c.d. passaporti vaccinali sul territorio nazionale devono essere adottati necessariamente dal legislatore statale, nel rispetto della normativa vigente e nel corretto bilanciamento tra interesse pubblico, tutela della salute e protezione dei dati personali.

Tale dichiarazione del Garante è in linea con i principi richiamati nel testo del Regolamento UE e non si contrappone all’adozione di simili soluzioni ma esclusivamente all’adozione schizofrenica e disomogenea di strumenti potenzialmente idonei a ledere diritti costituzionalmente garantiti.

Ricordiamo, inoltre, che il Regolamento – se adottato a livello europeo – andrà a disciplinare unicamente la circolazione tra gli Stati Membri. Spetterà poi ad ogni singolo Stato, eventualmente, introdurre con legge nazionale strumenti simili al certificato verde digitale all’interno del proprio territorio.

NOTE

[1] Tale base giuridica, prevista dall’art. 9(2)(g) è richiamata dal Considerando 37 della proposta di Regolamento.

Back
Follow us on