g-docweb-display Portlet

Parere sul DPCM di attuazione della piattaforma nazionale DGC per l'emissione, il rilascio e la verifica del Green Pass - 9 giugno 2021 [9668064]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE COMUNICATO STAMPA DEL 10 GIUGNO 2021

[doc. web n. 9668064]

Parere sul DPCM di attuazione della piattaforma nazionale DGC per l'emissione, il rilascio e la verifica del Green Pass - 9 giugno 2021

Registro dei provvedimenti
n. 229 del 9 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTO il decreto-legge 22 aprile 2021, n. 52, recante “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da Covid-19”;

VISTO il decreto-legge 18 maggio 2021, n. 65, recante “Misure urgenti relative all'emergenza epidemiologica da Covid-19”;

VISTO il decreto-legge 31 maggio 2021, n. 77, recante “Governance del Piano nazionale di ripresa e resilienza e prime misure di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure”;

VISTA la nota del Ministro della salute al Presidente della Conferenza delle Regioni e delle Province autonome del 6 maggio 2021 (prot. n. 7754);

VISTA l’ordinanza del Ministro della salute dell’8 maggio 2021, relativa alle “Modalità di accesso/uscita di ospiti e visitatori presso le strutture residenziali della rete territoriale”;

CONSIDERATO quanto indicato dal Comitato nazionale per la bioetica nel documento “Passaporto, patentino, green pass nell’ambito della pandemia covid-19: aspetti bioetici” del 30 aprile 2021;

VISTO il provvedimento di avvertimento adottato dal Garante il 23 aprile 2021 ai sensi dell’art. 58, par 2, lett. a), del Regolamento in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19 prevista dal d.l. 22 aprile 2021, n. 52;

VISTO il provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 - App Immuni del 1° giugno 2020, n. 95;

VISTO il decreto del Ministero dell’economia e delle finanze del 3 giugno 2020 concernente le modalità tecniche per il coinvolgimento del Sistema Tessera Sanitaria ai fini dell’attuazione delle misure di prevenzione nell'ambito delle misure di sanità pubblica legate all'emergenza Covid-19, su cui l’Autorità ha reso il parere il 1° giugno 2020, n. 94;

VISTO il provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 - App Immuni a seguito dell’aggiornamento della valutazione di impatto effettuata dal Ministero della salute del 25 febbraio 2021, n. 65;

VISTO il decreto del Ministero dell’economia e delle finanze del 18 marzo 2021 che modifica il decreto 3 giugno 2020 concernente le modalità tecniche per il coinvolgimento del Sistema Tessera Sanitaria ai fini dell'attuazione delle misure di prevenzione nell'ambito delle misure di sanità pubblica legate all'emergenza Covid-19, su cui l’Autorità ha reso il parere il 25 febbraio 2021, n. 66;

VISTO l’art. 64-bis, recante “Accesso telematico ai servizi della Pubblica Amministrazione”, del d.lgs. 7 marzo 2005, n. 82;

VISTA la proposta di Regolamento del Parlamento europeo e del Consiglio su “Un quadro per il rilascio, la verifica e l'accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione durante la pandemia di Covid-19 (EU digital COVID certificate)”, COM(2021) 130, presentata dalla Commissione europea in data 17 marzo 2021 e approvata nella sua formulazione finale il 21 maggio 2021;

VISTO il provvedimento di avvertimento alla Regione Campania adottato dal Garante il 25 maggio 2021 ai sensi dell’art. 58, par 2, lett. a), del Regolamento, in merito ai trattamenti di dati personali connessi all’uso delle certificazioni verdi Covid-19 effettuati in attuazione dell’ordinanza n. 17 del 6 maggio 2021;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

Il Ministero della salute, con la nota del 7 giugno 2021 (prot. n. 7112), ha trasmesso al Garante, per il prescritto parere, lo schema di decreto del Presidente del Consiglio dei Ministri, da adottare ai sensi dell’art. 9, comma 10, del d.l. n. 52/2021, di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze, unitamente alla valutazione d’impatto sulla protezione dei dati trattati attraverso la Piattaforma nazionale digital green certificate (d’ora in poi “Piattaforma nazionale-DGC” o anche “PN-DGC”) per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19 (EU Digital COVID Certificate, già Digital Green Certificate, di seguito certificazioni verdi) effettuata ai sensi dell’art. 35 del Regolamento e all’informativa da rendere agli interessati ai sensi degli artt. 13 e 14 del Regolamento.

La documentazione trasmessa comprende anche un’integrazione della valutazione di impatto sulla protezione dei dati relativa alle nuove funzionalità del Sistema di allerta Covid-19 e dell’App Immuni connesse al recupero, da parte degli interessati, delle certificazioni verdi Covid-19, con riferimento alle quali il Ministero della salute ha chiesto di essere autorizzato, ai sensi dell’art. 6, comma 2, del d.l. n. 28/2020.

Nella nota di trasmissione il Ministero ha segnalato l’urgenza di acquisire il prescritto parere del Garante a cui è condizionato l’avvio della predetta Piattaforma nazionale-DGC.

Lo schema di decreto trasmesso all’Autorità è stato formulato anche sulla base delle interlocuzioni dell’Ufficio con il Ministero della salute, che, in considerazione dell’esigenza di abilitare nell’immediato la Piattaforma nazionale-DGC, hanno avuto carattere d’urgenza.

Lo schema di decreto trasmesso si compone di 19 articoli e di 6 allegati (all. A-F) di seguito sinteticamente descritti.

L’allegato A (Dati trattati dai sistemi informativi per la generazione delle certificazioni verdi COVID-19 dalla PN-DGC e dati riportati nelle certificazioni verdi COVID-19 generate dalla PN-DGC) descrive i dati trattati dai sistemi informativi per la generazione delle certificazioni, specificando l’origine e la destinazione dei dati, le operazioni di trattamento, nonché le informazioni riportate nelle diverse tipologie di certificazione verde, evidenziando le informazioni direttamente visibili sulle stesse.

L’allegato B (Funzioni e servizi della Piattaforma Nazionale-DGC (PN-DGC)) illustra le regole sulla cui base sono generate e revocate le certificazioni verdi Covid-19, nonché quelle relative alla validità delle stesse e descrive il processo di verifica delle certificazioni ad opera dei soggetti a ciò deputati tramite l’apposita app per dispositivi mobili (di seguito “App VerificaC19”). L’allegato illustra infine le modalità con cui è assicurata l’interoperabilità europea delle certificazioni con particolare riferimento alla funzionalità del gateway e all’interazione dello stesso con i sistemi informativi nazionali.

L’allegato C (Documento tecnico - Sistema TS: funzionalità di acquisizione dati per le Certificazioni verdi COVID-19. Dati e relativo trattamento) descrive i servizi per la trasmissione dei dati relativi all’esecuzione dei tamponi e dei certificati di guarigione da Covid-19 da parte dei diversi soggetti autorizzati, specificandone le modalità di fruizione e di accesso, i tracciati (invio, annullamento, elenco dati comunicati), la registrazione degli accessi e degli esiti delle predette operazioni. In tale allegato è anche descritto il servizio, utilizzato dalle regioni e dalle province autonome, per la trasmissione dei dati di contatto delle persone vaccinate prima dell’entrata in vigore dello schema di decreto in esame che sono stati forniti dall’interessato all’atto della prenotazione o della somministrazione della vaccinazione.

L’allegato D (Struttura dell’identificativo univoco e caratteristiche e modalità di generazione del codice a barre interoperabile) indica la struttura dell’identificativo univoco delle certificazioni verdi secondo le specifiche tecniche “Guidelines on verifiable vaccination certificates, Release 2, 2021-03-12” di eHealth Network, approvate dalla Commissione europea, e le modalità di generazione del codice a barre bidimensionale (QR code).

L’allegato E (Modalità di fruizione delle certificazioni verdi COVID-19) descrive, per ciascuno strumento digitale messo a disposizione dell’interessato per recuperare la certificazione verde Covid-19, le modalità di autenticazione e di interazione con la Piattaforma nazionale-DGC e indica i relativi soggetti coinvolti nelle suddette operazioni.

L’allegato F (Misure di sicurezza) illustra le caratteristiche dell’infrastruttura e le misure adottate per garantire la riservatezza, l’integrità e la disponibilità dei dati trattati, specificando le modalità di accesso e di fruizione dei servizi, i componenti dell’infrastruttura di sicurezza, il processo di registrazione degli operatori sanitari, la registrazione degli accessi e delle operazioni compiute, i tempi di conservazione, le misure per la sicurezza dell’infrastruttura fisica e dei canali di comunicazione, il sistema di monitoraggio dei servizi, il sistema di log analysis, le misure a protezione da attacchi informatici, il disaster recovery e il backup.

1. Finalità delle certificazioni verdi Covid-19.

Il decreto legge n. 52/2021 ha introdotto, quale misura urgente per contenere e contrastare l’emergenza epidemiologica da Covid-19, l’utilizzo delle certificazioni verdi ai fini degli spostamenti in entrata e in uscita dai territori collocati in zona arancione o rossa e dell’accesso a spettacoli aperti al pubblico, a eventi sportivi, a fiere, a convegni e a congressi (artt. 2, 5, 7 e 9).

Il successivo decreto legge n. 65/2021 ha esteso l’ambito di utilizzo delle predette certificazioni verdi, prevedendo che, dal 15 giugno 2021, in zona gialla, siano consentite le feste conseguenti alle cerimonie civili o religiose, anche al chiuso, nel rispetto di protocolli e linee guida adottati ai sensi dell’art. 1, comma 14, del d.l. n. 33 del 2020 e con la “prescrizione che i partecipanti siano muniti di una delle certificazioni verdi COVID-19 di cui all'articolo 9 del decreto-legge n. 52 del 2021” (art. 9).

Il Ministro della salute, con l’ordinanza dell’8 maggio 2021, ha inoltre previsto che le certificazioni verdi di cui all'art. 9 del d.l. n. 52/2021 siano “esibite dai familiari e dai visitatori, al momento dell'accesso (…) alle strutture di ospitalità e lungodegenza, residenze sanitarie assistite (RSA), hospice, strutture riabilitative e strutture residenziali per anziani, autosufficienti e comunque in tutte le strutture residenziali di cui al (…) decreto del Presidente del Consiglio dei ministri 12 gennaio 2017 (…) e le strutture residenziali socio-assistenziali, (…)”. Tale ordinanza dispone inoltre che le suddette certificazioni debbano essere esibite esclusivamente ai soggetti incaricati delle verifiche, escludendo la possibilità di raccolta, conservazione e successivo trattamento dei dati relativi alla salute contenuti nelle stesse.

Dal combinato disposto del d.l. n. 52/2021 e del d.l. n. 65/2021 emerge inoltre che le certificazioni verdi sono rilasciate in relazione a tre distinte fattispecie, ovvero al fine di attestare l’avvenuta vaccinazione (anche a seguito della somministrazione della prima dose), l’avvenuta guarigione da Covid-19 e l’effettuazione di test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2 (art. 9, d.l. n. 52/2021 e art. 14 d.l. n. 65/2021).

In materia, il 23 aprile 2021 il Garante ha adottato un provvedimento ai sensi dell’art. 58, par 2, lett. a), del Regolamento con cui ha avvertito tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale, e dell’economia e delle finanze, degli affari regionali nonché la Conferenza delle Regioni e delle Province autonome del fatto che i trattamenti di dati personali effettuati in attuazione delle disposizioni di cui al d.l. n. 52/2021 possono violare le disposizioni di cui agli artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32 del Regolamento.

Con il predetto provvedimento di avvertimento, il Garante ha ritenuto che il decreto legge n. 52/2021 non rappresenti, allo stato, una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale, in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2, e 9) e dal Codice in materia di protezione dei dati personali (artt. 2-ter e 2-sexies).

Una delle criticità sollevate dal Garante, nel predetto provvedimento, ha riguardato la mancata individuazione delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalità della norma, richiesta dall’art. 6 del Regolamento, anche alla luce di quanto affermato dalla Corte Costituzionale nella sentenza n. 20 del 21 febbraio 2019, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita, nonché la mancata previsione dell’esclusione dell’utilizzo di tali certificazioni nei casi non espressamente previsti dalla legge.

Al riguardo, il Garante ha rappresentato che tale carenza assume ancor più rilievo con riferimento alla possibilità che tali documenti possano essere ritenuti una condizione valida anche per l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici, allo stato non espressamente indicati nel decreto legge (es. in ambito lavorativo o scolastico). Tale preoccupazione è stata rinnovata dal Presidente del Garante il 6 maggio 2021, nel corso dell’audizione informale presso le Commissioni riunite I, II e XII della Camera dei Deputati. In tale occasione, il Presidente ha rappresentato che il predetto decreto legge “presenta varie carenze tra le quali rileva, in primo luogo, l’indeterminatezza delle finalità (incompatibile con il principio di cui all’art. 5.1.b. del Regolamento) che legittimano la subordinazione di determinate attività all’ostensione del pass”. È stato ribadito come il fatto che “la norma, in questi termini redatta, si presti a interpretazioni discrezionali è dimostrato anche dall’attuazione propostane a livello regionale, con ordinanze che ne hanno esteso l’ambito applicativo e rispetto alle quali, sinora in un caso, il Garante è dovuto intervenire. La riserva di legge statale sulle materie incise da queste misure rischia così di essere elusa, per effetto di norme carenti della necessaria determinatezza”. Il Presidente ha rappresentato quindi l’opportunità che sia introdotta “una precisazione che escluda l’utilizzo dei pass per finalità diverse da quelle espressamente previste dal decreto-legge, auspicabilmente circoscrivendo maggiormente ex-ante l’ambito rimesso alle determinazioni delle linee-guida (sempre che non si ritenga preferibile rinviare, anziché ad atti di soft law, ad atti, almeno, amministrativi generali)”.

Sul punto, si evidenzia che, il 30 aprile 2021, il Comitato nazionale per la bioetica ha adottato un documento su “Passaporto, patentino, green pass nell’ambito della pandemia covid-19: aspetti bioetici”, nel quale si evidenzia che “un altro problema legato al ‘Pass Covid-19’ riguarda la possibilità che le Regioni o i singoli comuni possano richiedere certificazioni aggiuntive, non coincidenti, aggravando il quadro discriminatorio in base alla provenienza geografica”. Secondo quanto indicato dal predetto Comitato, “al fine di evitare discriminazioni fra i cittadini residenti nei diversi territori del Paese, l’adozione del ‘Pass Covid-19’ deve essere prevista a livello centrale e applicata in termini omogenei su tutto il territorio nazionale”.

Proprio l’indeterminatezza delle finalità per le quali è richiesta all’interessato l’esibizione della certificazione verde ha favorito l’adozione, in alcune regioni e province autonome, di ordinanze volte a prevederne l’uso quali condizione per l’accesso a luoghi o a servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici, allo stato, non indicati nel decreto legge, rendendo necessario un intervento specifico da parte dell’Autorità.

Con il provvedimento del 25 maggio 2021, il Garante ha infatti avvertito la Regione Campania e tutti i soggetti coinvolti che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 17 del 6 maggio 2021 del Presidente della Regione possono violare le disposizioni di cui agli artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32 del Regolamento. In particolare, nel predetto provvedimento l’Autorità ha ribadito che la competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade, come evidenziato dal Presidente del Garante nella predetta audizione informale alla Camera del 6 maggio u.s., nelle materie assoggettate alla riserva di legge statale (Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/21).

Con specifico riferimento all’immediato uso delle certificazioni verdi di cui all’art. 9 del d.l. n. 52/2021, il Ministro della salute ha poi fornito chiarimenti al Presidente della Conferenza delle Regioni e delle Province autonome (nota del 6 maggio 2021, prot. n. 7754). In tale occasione, è stato specificato che le cc.dd. certificazioni verdi sono state “concepite per favorire gli spostamenti tra le regioni italiane in condizioni di sicurezza e nel rispetto delle garanzie a protezione dei dati personali” e che le stesse “sono esibite soltanto su iniziativa degli interessati che intendano spostarsi nelle regioni “arancioni” e “rosse” per motivi diversi da quelli di necessità, lavoro, salute”. Il Ministro ha poi rappresentato che si tratta di “un’opportunità aggiuntiva su cui, su base volontaria, tutti gli italiani potranno fare affidamento in queste settimane, per il tempo strettamente necessario all’implementazione del progetto per il rilascio, la verifica e l’accettazione di certificazioni interoperabili a livello europeo”. Nella medesima nota il Ministro ha ulteriormente precisato che le predette certificazioni “saranno esclusivamente esibite alle Forze di Polizia, al personale dei Corpi di Polizia municipale munito della qualifica di agente di pubblica sicurezza e al personale delle Forze Armate di cui si avvalga eventualmente il Prefetto per le verifiche sugli spostamenti tra regioni, senza la possibilità di raccolta, conservazione e successivo trattamento”.

La proposta di Regolamento del Parlamento europeo e del Consiglio su “Un quadro per il rilascio, la verifica e l'accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione durante la pandemia di Covid-19 (EU digital COVID certificate)”, COM (2021) 130, presentata dalla Commissione europea in data 17 marzo 2021 e approvata, nella sua formulazione finale, il 21 maggio 2021 prevede che l’EU Digital COVID Certificate possa essere utilizzato dagli Stati membri anche per finalità diverse da quelle previste nel predetto Regolamento (agevolazione degli spostamenti all’interno dell’Unione) (c.d. uso domestico delle certificazioni), purché ciò sia espressamente previsto da una norma di legge nazionale che individui, in modo chiaro, le finalità, i tempi di conservazione dei dati trattati, le modalità per rispettare i principi di necessità e proporzionalità e i soggetti deputati al controllo delle certificazioni (considerando n. 37 della proposta di Regolamento).

2. Soggetti coinvolti nel trattamento.

Il d.l. n. 77/2021 ha attribuito la titolarità dei trattamenti effettuati attraverso la Piattaforma nazionale-DGC al Ministero della salute (art. 42, comma 1), superando una delle criticità sollevate dall’Autorità nel citato provvedimento del 23 aprile 2021.

Lo schema di decreto in esame ribadisce quindi in capo al Ministero della salute la titolarità del trattamento dei dati effettuato attraverso la Piattaforma nazionale-DGC realizzata, mediante l’infrastruttura del Sistema Tessera Sanitaria (di seguito Sistema TS), dalla società Sogei S.p.a., nell’ambito della vigente convenzione fra il Ministero dell’economia e delle finanze e la predetta società per la medesima infrastruttura (art. 15 dello schema di decreto in esame).
Lo schema di decreto prevede inoltre che il Ministero della salute, in qualità di titolare del trattamento dei dati, ai sensi dell’art. 28 del Regolamento, designi responsabili del trattamento il Ministero dell’economia e delle finanze e le società Sogei S.p.a. e PagoPA S.p.a. in relazione ai trattamenti effettuati ai sensi delle disposizioni in tema di certificazioni verdi (art. 15, commi 3 e 4 dello schema di decreto).

3. Piattaforma nazionale-DGC e periodo di conservazione dei dati.

La Piattaforma nazionale-DGC, istituita dall’art. 9 del d.l. n. 52/2021, è il sistema informativo nazionale per il rilascio, la verifica e l’accettazione delle certificazioni verdi interoperabili a livello nazionale ed europeo realizzato attraverso l’infrastruttura del Sistema TS.

Attraverso la Piattaforma nazionale-DGC sono effettuate le seguenti operazioni di trattamento: raccolta e gestione delle informazioni necessarie per la generazione e la revoca della validità delle certificazioni verdi di avvenuta vaccinazione, guarigione e di test antigenico rapido o molecolare con esito negativo (artt. 5, 6 e 7 dello schema di decreto); generazione e revoca della validità delle certificazioni verdi (art. 8 dello schema di decreto); gestione delle codifiche europee e nazionali per assicurare la corretta generazione delle certificazioni verdi ai fini dell’interoperabilità semantica con i sistemi informativi degli altri Stati Membri dell’Unione Europea (art. 9 dello schema di decreto); messa a disposizione delle certificazioni verdi ai soggetti intestatari delle stesse (artt. 10 e 11 dello schema di decreto); verifica delle certificazioni verdi (art. 13 dello schema di decreto); interoperabilità con i sistemi informativi degli altri Stati membri dell’Unione Europea ai fini della verifica delle certificazioni verdi emesse (art. 14 dello schema di decreto).

L’architettura della Piattaforma nazionale-DGC è costituita, in particolare, dalle seguenti componenti:

1) il sistema di raccolta e gestione delle informazioni necessarie alla generazione delle predette tre tipologie di certificazioni verdi; tale sistema raccoglie i dati indicati nell’Allegato A allo schema in esame, relativi, in particolare, a:

a. vaccinazioni, ricevendo dall’Anagrafe Nazionale Vaccini (AVN), previa verifica del codice fiscale, i dati relativi alle somministrazioni dei vaccini anti-SARS-CoV-2 effettuate nel territorio nazionale; sono inoltre acquisti, tramite apposito modulo online reso disponibile sul sito web della Piattaforma nazionale-DGC, i dati, validati dal personale sanitario degli Uffici di sanità marittima, aerea e di frontiera (USMAF) o delle rappresentanze diplomatiche in Italia, relativi alle vaccinazioni effettuate all’estero da persone che richiedono l’emissione della certificazione verde;

b. guarigioni, acquisendo attraverso il Sistema TS i dati relativi ai certificati di guarigione emessi dalle strutture sanitarie, dai medici dei servizi sanitari regionali, dai medici di medicina generale e pediatri di libera scelta, nonché dai medici USMAF e dai medici dei servizi territoriali per l’assistenza sanitaria al personale navigante, marittimo e dell’aviazione civile (SASN);

c. test antigenici rapidi o molecolari, acquisendo attraverso il Sistema TS i dati relativi agli esiti negativi di tali test effettuati dalle strutture sanitarie pubbliche dei servizi sanitari regionali, dalle strutture private accreditate e autorizzate, dalle strutture militari, dai medici di medicina generale e dai pediatri di libera scelta, dalle farmacie convenzionate, nonché dagli USMAF o dai SASN;

2) il backend della Piattaforma nazionale-DGC che elabora le informazioni necessarie a generare le certificazioni verdi sulla base di precise regole sanitarie, riportate nell’Allegato B allo schema in esame, e provvede a firmare digitalmente le stesse;

3) i diversi strumenti digitali per la messa a disposizione agli interessati delle certificazioni verdi (cfr. par. 4 del presente provvedimento);

4) l’app per dispositivi mobili che consente di controllare l’autenticità, la validità e l’integrità di una certificazione verde.

Lo schema di decreto prevede, inoltre, che, nell’eventualità in cui una struttura pubblica del Servizio Sanitario Regionale, un medico di medicina generale, un pediatra di libera scelta o un medico USMAF o SASN comunichi alla Piattaforma nazionale-DGC, attraverso il Sistema TS, la positività al SARS-CoV-2 di una persona vaccinata o guarita dal predetto virus, la predetta Piattaforma nazionale provveda a revocare le certificazioni verdi eventualmente già generate e ancora in corso di validità relative a quell’interessato, inserendo gli identificativi univoci di dette certificazioni nella lista delle certificazioni verdi revocate e comunicandoli al gateway europeo che garantisce l’interoperabilità con i sistemi di verifica di altri Stati membri (art. 8, comma 5, dello schema di decreto).

Lo schema di decreto in esame prevede che le certificazioni verdi siano conservate fino alla loro validità. I dati su cui è basata la certificazione, provenienti dal Sistema TS, sono cancellati alla scadenza della validità della stessa dal predetto Sistema TS, salvo che siano utilizzati per altri trattamenti, disciplinati da apposite disposizioni normative, che prevedono un tempo di conservazione più ampio (art. 16 dello schema di decreto in esame).

Lo schema di decreto in esame definisce, inoltre, le specifiche tecniche per l’interoperabilità della Piattaforma nazionale-DGC e le analoghe piattaforme istituite negli altri Stati membri dell’Unione europea, che sono abilitate e attivate in base alle disposizioni di cui alla citata proposta di Regolamento del Parlamento europeo e del Consiglio su un quadro per il rilascio, la verifica e l’accettazione di certificazioni interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione all’interno dell’Unione europea durante la pandemia di Covid-19 (art. 14 dello schema di decreto).

4. Modalità attraverso le quali le certificazioni verdi Covid-19 sono rese disponibili all’interessato.

Ai sensi dell’art. 42, comma 2, del d.l. n. 77/2021, lo schema di decreto in esame prevede che le certificazioni verdi siano messe a disposizione degli interessati, attraverso i seguenti strumenti digitali: sito web dedicato della Piattaforma nazionale-DGC; Fascicolo Sanitario Elettronico; App Immuni; App IO; Sistema TS, per il tramite di operatori sanitari autorizzati (art. 11 dello schema di decreto in esame). I suddetti strumenti digitali permettono all’interessato di consultare, visualizzare e scaricare le certificazioni verdi anche in formato stampabile.

Dall’esame della documentazione in atti si evince che, nel momento in cui la certificazione verde viene generata, l’interessato riceve dalla Piattaforma nazionale-DGC attraverso un messaggio di posta elettronica o un sms, inviato utilizzando i dati di contatto forniti in occasione della prenotazione o della somministrazione del vaccino, un codice univoco autorizzativo per il recupero della certificazione verde, denominato AUTHCODE.

L’interessato può accedere al sito web dedicato della Piattaforma nazionale-DGC e consultare le proprie certificazioni verdi in corso di validità, utilizzando una sua identità digitale (SPID, CIE) ovvero inserendo uno dei codici identificativi delle certificazioni verdi (AUTHCODE) del certificato di guarigione (NUCG), del test molecolare (CUN) o del test antigenico (NRFE), unitamente alle ultime 8 cifre del numero della tessera sanitaria e alla relativa data di scadenza. Il sito web della Piattaforma nazionale-DGC consente all’interessato di ottenere una copia della certificazione in formato PDF.

Tra le misure di sicurezza indicate nella valutazione di impatto, allegata allo schema di decreto, è previsto che la Piattaforma nazionale-DGC, in caso di accesso tramite AUTHCODE, controlli il numero di tentativi di recupero della certificazione verde effettuati con le stesse ultime otto cifre della Tessera Sanitaria in un periodo temporale limitato e disabiliti temporaneamente la predetta Tessera in presenza di ripetuti tentativi di accesso errati.

In ogni caso, la certificazione verde viene resa disponibile all’interno del Fascicolo Sanitario Elettronico dell’interessato, a cui lo stesso può accedere con le modalità attualmente previste. Nel Fascicolo la certificazione verde è messa a disposizione in formato PDF e visibile solo all’interessato.

Lo schema di decreto in esame prevede, poi, che l’interessato possa recuperare la propria certificazione verde anche tramite una nuova funzionalità dell’App Immuni che prevede l’inserimento di uno dei predetti codici univoci (AUTHCODE, NUCG, CUN o NRFE), unitamente alle ultime 8 cifre del numero della propria Tessera Sanitaria e alla relativa data di scadenza. A tal fine, nel backend del Sistema di allerta Covid-19 è presente un nuovo servizio per il recupero delle certificazioni verdi che, dopo aver effettuato una verifica formale dei parametri forniti dall’utente dell’App Immuni, interagisce con il backend della Piattaforma nazionale-DGC per acquisire la certificazione verde dell’interessato. La certificazione verde così ottenuta è salvata sul dispositivo dell’utente in uno spazio di memoria gestito dall’App Immuni e può essere successivamente rimossa attraverso un’apposita funzionalità. È inoltre previsto che l’utente possa salvare il QR code associato alla certificazione verde nella galleria delle immagini del proprio dispositivo.

Nello schema di decreto in esame è inoltre previsto che, nel momento in cui viene generata una certificazione verde, la Piattaforma nazionale-DGC trasmetta, al backend dell’App IO, il codice fiscale dell’interessato a cui la certificazione si riferisce e uno specifico codice che consente il recupero della stessa. Nel caso in cui il codice fiscale corrisponda a quello di un utente dell’App IO che abbia il servizio relativo alle certificazioni verdi attivo e abbia accettato i termini e le condizioni dell’App, nonché preso visione della relativa informativa resa ai sensi degli artt. 13 e 14 del Regolamento, l’App IO invia all’interessato un messaggio che consente allo stesso di visualizzare la propria certificazione verde. Oltre a visualizzare la certificazione verde, tramite l’App IO, l’interessato ha la possibilità di salvare il QR Code in uno spazio di memoria gestito dall’App o nella galleria delle immagini del proprio dispositivo. È inoltre previsto che il backend dell’App IO comunichi alla Piattaforma nazionale-DGC l’iscrizione di nuovi utenti, al fine di consentire l’attivazione del processo di recupero delle certificazioni verdi degli stessi.

Lo schema di decreto prevede infine che l’interessato possa ottenere la propria certificazione verde recandosi presso un medico di medicina generale, un pediatra di libera scelta, un farmacista, un medico operante presso un’azienda sanitaria, l’USMAF o il SASN che, accedendo al Sistema TS con le proprie credenziali di autenticazione (art. 11 dello schema di decreto in esame), procedono al recupero della certificazione dell’interessato, inserendo il suo codice fiscale, unitamente alle ultime 8 cifre del numero della Tessera Sanitaria dello stesso e alla relativa data di scadenza. Una volta recuperata la certificazione tali soggetti procedono alla stampa e alla consegna della stessa all’interessato.

5. Dati riportati nelle certificazioni verdi Covid-19 emesse dalla Piattaforma nazionale-DGC.

Le certificazioni verdi di avvenuta guarigione, vaccinazione o di esito negativo di un test antigenico rapido o molecolare rilasciate dalla Piattaforma nazionale-DGC riportano i seguenti dati personali: cognome e nome; data di nascita; malattia o agente bersaglio (Covid-19); struttura che ha rilasciato il certificato (Ministero della salute - PN-DGC); identificativo univoco del certificato (art. 3 dello schema di decreto).

Oltre ai predetti dati, la certificazione verde di avvenuta vaccinazione riporta anche l’indicazione relativa al tipo, alla denominazione, al produttore o titolare dell’autorizzazione all’immissione in commercio del vaccino somministrato, al numero della dose effettuata e al numero totale di dosi previste, alla data dell’ultima somministrazione vaccinale e allo Stato membro in cui è stata effettuata.

La certificazione verde di avvenuta guarigione, oltre ai dati sopra indicati, riporta anche la data del primo test molecolare positivo, l’indicazione dello Stato membro che ha effettuato il primo test molecolare positivo e la data emissione e di scadenza della certificazione.

La certificazione verde di test antigenico rapido o molecolare con esito negativo riporta altresì l’indicazione della tipologia di test effettuato, della denominazione e del produttore del test, della data e ora del prelievo del campione e del risultato, nonché lo Stato membro in cui è stato effettuato il test.

Lo schema di decreto in esame prevede che sulle predette certificazioni siano riportati i medesimi dati personali indicati nella proposta di Regolamento del Parlamento europeo e del Consiglio su “Un quadro per il rilascio, la verifica e l'accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione durante la pandemia di Covid-19 (EU digital COVID certificate)”, COM (2021) 130, presentata dalla Commissione europea in data 17 marzo 2021 e approvata nella sua formulazione finale il 21 maggio 2021.

6. Modalità di verifica delle certificazioni verdi Covid-19 emesse dalla Piattaforma nazionale-DGC.

Lo schema di decreto in esame prevede che la verifica delle certificazioni verdi sia effettuata mediante la lettura del codice a barre bidimensionale da parte del verificatore esclusivamente attraverso l’App VerificaC19 (art. 13 dello schema di decreto in esame).

Tale app consente al verificatore di controllare l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’interessato, senza rendere visibili al verificatore le informazioni che hanno determinato l’emissione della certificazione (guarigione, vaccinazione o esito negativo del test molecolare/antigenico rapido) e senza conservare i dati relativi alla medesima oggetto di verifica. Inoltre, è previsto che tale app effettui le predette operazioni, unicamente sul dispositivo del verificatore, anche senza una connessione dati (in modalità offline), procedendo contestualmente alla verifica dell’eventuale presenza dell’identificativo univoco della certificazione nelle liste delle certificazioni revocate (cc.dd. revocation list). Tali liste sono scaricate periodicamente dalla Piattaforma nazionale-DGC e includono anche quelle degli altri Stati membri acquisite tramite il gateway europeo.

Lo schema di decreto in esame prevede inoltre che siano deputati al controllo i pubblici ufficiali nell’esercizio delle relative funzioni e il personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o in pubblici esercizi iscritto nell’elenco di cui all’art. 3, comma 8, della l. n. 94/2009. A questi si aggiungono anche i soggetti titolari delle strutture recettive e dei pubblici esercizi per l’accesso ai quali è prescritto il possesso di certificazione verde Covid-19, il proprietario o il legittimo detentore di luoghi o locali presso i quali si svolgono eventi e attività per partecipare ai quali è prescritto il possesso della certificazione verde e i gestori delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali per l’accesso alle quali in qualità di visitatori sia prescritto il possesso della certificazione verde e i loro delegati.

È previsto inoltre che, a richiesta del verificatore, l’intestatario della certificazione verde dimostri la propria identità personale mediante l’esibizione di un documento di identità.

7. Informazioni da rendere agli interessati e modalità di esercizio dei diritti degli interessati.

Lo schema di decreto in esame prevede che l’interessato possa esercitare i diritti previsti dagli artt. 15, 16 e 18 del Regolamento secondo le modalità indicate nell’ambito delle informazioni rese all’interessato, ai sensi degli artt. 13 e 14 del Regolamento (art. 16 dello schema di decreto in esame).

In ragione della necessità di assicurare l’esattezza e l’aggiornamento dei dati trattati attraverso la Piattaforma nazionale-DGC, l’interessato può esercitare il diritto di rettifica di cui all’art. 16 del Regolamento rivolgendosi al servizio offerto dal Ministero della salute tramite il numero di pubblica utilità (1500). A fronte dell’esercizio del diritto di rettifica è previsto che sia fornito un riscontro all’interessato entro un termine congruo rispetto alla validità della certificazione rilasciata allo stesso.

Con la predetta nota del 7 giugno 2021 il Ministero ha inviato anche il modello di “Informativa privacy” che intende rendere agli interessati ai sensi degli artt. 13 e 14 del Regolamento, nonché l’informativa aggiornata resa attraverso l’App Immuni.

8. Identificativo univoco e codice a barre interoperabile della certificazione verde Covid-19.

Lo schema di decreto in esame prevede che alle certificazioni verdi sia associato un identificativo univoco e, ai fini della verifica di autenticità, integrità e validità delle stesse, un codice a barre bidimensionale (QR code), entrambi generati con le caratteristiche e le modalità descritte nell’Allegato D allo schema (art. 9 dello schema di decreto in esame).
L’identificativo univoco è generato sulla base delle specifiche tecniche definite dall’eHealth

Network, organismo istituito ai sensi dell’art. 14 della Direttiva 2011/24/UE, e approvate dalla Commissione europea (“Guidelines on verifiable vaccination certificates, Release 2, 2021-03-12”. Al fine di garantirne l’interoperabilità unionale della certificazione verde è previsto che il predetto identificativo abbia una struttura comune a tutti gli Stati membri. Il suddetto identificativo si compone di 37 caratteri alfanumerici che comprendono la versione del codice, il Paese emittente, una stringa casuale e un codice di controllo per garantire l’integrità dello stesso.

Il QR code contiene, invece, i dati della certificazione verde (definiti nell’allegato A allo schema del decreto, cfr. par. 5 del presente provvedimento) elaborati, firmati digitalmente e codificati attraverso l’uso di diversi formati e protocolli.

OSSERVA

9. Considerazioni introduttive.

Con il provvedimento del 23 aprile 2021, il Garante ai sensi dell’art. 58, par 2, lett. a), del Regolamento ha avvertito tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale e dell’economia e delle finanze, degli affari regionali e la Conferenza delle Regioni o delle Province autonome del fatto che i trattamenti di dati personali effettuati in attuazione delle disposizioni di cui al d.l. del 22 aprile 2021, n. 52, possono violare le disposizioni di cui agli artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32 del Regolamento.

Le disposizioni legislative adottate successivamente al predetto provvedimento hanno solo parzialmente superato le criticità sollevate dall’Autorità. In particolare, si rileva con favore che l’art. 42 del d.l. n. 77/2021 ha definito la titolarità del trattamento effettuato attraverso la Piattaforma nazionale-DGC in capo al Ministero della salute.

Lo schema di decreto in esame è stato elaborato dal Ministero della salute all'esito di riunioni con l'Ufficio aventi carattere d’urgenza, modificando e integrando l'originaria formulazione di alcuni articoli in coerenza con i rilievi e le osservazioni formulati durante le interlocuzioni.

In particolare il predetto Dicastero ha accolto l’invito dell’Ufficio di definire, nello schema di decreto in esame, i rapporti con il Ministero dell’economia e delle finanze e le società coinvolte nel trattamento ai sensi dell’art. 28 del Regolamento (art. 15 dello schema di decreto).

Attraverso l’istituzione della Piattaforma nazionale-DGC, lo schema di decreto in esame consente poi di superare le criticità rilevate dal Garante, nel predetto provvedimento di avvertimento, in ordine al rispetto del principio di esattezza dei dati trattati. Analogamente, la puntuale individuazione dei soggetti che trattano le informazioni nell’ambito dell’emissione delle certificazioni verdi, di quelli che possono accedervi, nonché di quelli deputati a controllare la validità e l’autenticità delle stesse, effettuata nello schema di decreto in esame, consente di superare, almeno in parte, le criticità, in merito al mancato rispetto del principio di trasparenza.

Inoltre, sempre con riferimento a quanto rilevato dall’Autorità nel citato provvedimento del 23 aprile 2021, si rileva favorevolmente che lo schema di decreto in esame individua anche i tempi di conservazione dei dati trattati attraverso la Piattaforma nazionale-DGC e le misure di sicurezza adottate dal Ministero della salute sulla base della valutazione di impatto sulla protezione dei dati effettuata ai sensi dell’art. 35 del Regolamento.

Con specifico riferimento alla mancata indicazione delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde e alle osservazioni formulate nel predetto provvedimento di avvertimento con riferimento al rispetto del principio di minimizzazione dei dati si rinvia invece a quanto osservato nei paragrafi 10 e 12 del presente provvedimento.

10. Base giuridica del trattamento.

Lo schema di decreto in esame è stato elaborato sulla base di quanto indicato nell’art. 9, comma 9, d.l. n. 52/2021. Tale disposizione, secondo quanto già rilevato dal Garante nel richiamato provvedimento del 23 aprile 2021, non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2, e 9) e dal Codice in materia di protezione dei dati personali (artt. 2-ter e 2-sexies).

A ciò si aggiunga che la richiamata proposta di Regolamento del Parlamento europeo e del Consiglio sull’EU digital COVID certificate, approvata nella sua formulazione finale il 21 maggio 2021, prevede espressamente che gli Stati membri possono trattare i dati relativi alla predetta certificazione solo se previsto da una disposizione di legge nazionale adottata in conformità alla normativa dell'Unione in materia di protezione dei dati e nel rispetto dei principi di efficacia, necessità e proporzionalità (considerando n. 37). Secondo quanto indicato nella predetta proposta di Regolamento, la disposizione nazionale deve definire, in modo chiaro, l'ambito del trattamento consentito, la specifica finalità perseguita, le categorie di soggetti che possono verificare il certificato, nonché le relative garanzie per prevenire discriminazioni e abusi, tenendo conto dei rischi per i diritti e le libertà degli interessati.

Ciò stante, si rileva che, come evidenziato nel precedente paragrafo, le criticità sollevate dal Garante nel richiamato provvedimento del 23 aprile 2021 sono state solo parzialmente superate con i successivi interventi normativi in materia.

In particolare, alla luce di quanto rappresentato anche dal Presidente dell’Autorità il 6 maggio 2021 nel corso dell’audizione informale presso le Commissioni riunite I, II e XII della Camera dei Deputati e nel provvedimento di avvertimento adottato il 25 maggio 2021 nei confronti della Regione Campania, l’Autorità ritiene, in primo luogo, necessario che in sede di conversione in legge del d.l. n. 52/2021 sia introdotta una riserva di legge statale per l’individuazione puntuale delle finalità per le quali possono essere utilizzate le certificazioni attestanti l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare.

La limitazione delle libertà personali effettuata anche attraverso il trattamento di dati sulla salute degli interessati, realizzata attraverso la previsione di subordinare l’accesso a luoghi e a servizi al possesso di una certificazione attestante l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare, è ammissibile infatti solo se prevista da una norma di legge statale (artt. 6, par. 2, e 9 del Regolamento e artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali, considerando n. 37 della proposta di Regolamento del Parlamento europeo e del Consiglio sull’EU digital COVID certificate, approvata nella sua formulazione finale il 21 maggio 2021; cfr. anche Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/2021).
Si ritiene pertanto che le certificazioni attestanti l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell’ambito dell’adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2.

Sul punto, si rappresenta inoltre che l’uso di certificazioni, che attestino l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico/molecolare, diverse da quelle indicate nello schema di decreto in esame, ovvero l’uso di strumenti di verifica (quali ad esempio app per dispositivi mobili) ulteriori rispetto a quelli ivi indicati non possono ritenersi ammissibili perché non garantirebbero in ogni caso il rispetto del principio di esattezza dei dati trattati (art. 5, par. 1, lett. d), del Regolamento). Ciò, in quanto il collegamento con la Piattaforma nazionale-DGC risulta indispensabile per verificare l’attualità delle condizioni attestate nella certificazione, tenendo conto dell’eventuale variazione delle stesse (es. sopraggiunta positività), con significativi rischi anche in ordine alla reale efficacia della misura di contenimento.

Solo la Piattaforma nazionale-DGC, attuata nel pieno rispetto delle garanzie previste dalla disciplina di protezione dati e conformemente al parere dell’Autorità, ha infatti le caratteristiche per realizzare, superate le criticità in ordine alla specificazione delle finalità del trattamento di seguito riportate, il rilevante obiettivo di interesse pubblico sottostante e può considerarsi proporzionata all’obiettivo legittimo perseguito.

Al riguardo, si evidenzia che, come già indicato nel richiamato provvedimento di avvertimento, l’esatta specificazione delle finalità del trattamento è un elemento essenziale al fine di valutare la proporzionalità della norma, richiesta dall’art. 6 del Regolamento, anche alla luce di quanto affermato dalla Corte Costituzionale nella sentenza n. 20 del 21 febbraio 2019, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita.

Al fine di assicurare la proporzionalità della norma relativa all’introduzione delle certificazioni verdi, si invita il Governo a valutare anche, in sede di conversione del d.l. n. 52/2021, di prevedere che le predette certificazioni verdi possano essere considerate, come misura di sanità pubblica, richiesta per accedere ad alcune tipologie di eventi/luoghi, solo qualora sia prevista la presenza di un numero di partecipanti superiore a una soglia determinata, da individuare anche in funzione della tipologia di attività svolta (al riguardo, cfr. anche Commission nationale informatique e libertes (CNIL), deliberazione n. 67 del 7 giugno 2021 su “Le projet de décret portant application du II de l’article 1er de la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire”).

Analogamente, si ritiene utile evidenziare l’opportunità che sia normativamente previsto che la presentazione della certificazione verde, come misura di sanità pubblica, non operi per quelle attività che comportano l’accesso a luoghi in cui si svolgono attività quotidiane (es. ristoranti, luoghi di lavoro, negozi, ecc.) o a quelli legati all’esercizio di diritti e libertà fondamentali (es. diritto di riunione, libertà di culto, ecc.) (sul punto cfr. anche la richiamata deliberazione della CNIL del 7 giugno 2021).

Sul punto si rappresenta inoltre che, come indicato anche nella richiamata proposta di Regolamento europeo, la norma nazionale deve prevedere idonee garanzie per prevenire discriminazioni nei confronti di coloro che, per motivi clinici, potrebbero essere nell’impossibilità di sottoporsi alla vaccinazione e che si troverebbero nella condizione di dover effettuare, anche in più occasioni, test antigenici o molecolari (sostenendone i relativi costi) al fine di poter partecipare ad attività per le quali è richiesto il possesso delle predette certificazioni (in tal senso, cfr. anche Comitato nazionale per la bioetica, “Passaporto, patentino, green pass nell’ambito della pandemia covid-19: aspetti bioetici” del 30 aprile 2021).

Per questi motivi il Garante ritiene pertanto indispensabile che, in sede di conversione in legge del d.l. n. 52/2021, sia superata l’indeterminatezza delle finalità della disposizione relativa alla introduzione delle certificazioni verdi già rilevata nel richiamato provvedimento del 23 aprile 2021 e siano introdotte adeguate garanzie nei termini sopra indicati.

Si rileva infine che nella valutazione di impatto allegata allo schema di decreto in esame, tra le categorie di destinatari dei dati oggetto del trattamento, sono indicate anche le regioni “limitatamente alle informazioni relative a test molecolari/antigenici e certificati di guarigione trasmessi al Sistema TS direttamente da strutture sanitarie e medici per finalità epidemiologiche” (tabella del par. 3.1).

Al riguardo, si ritiene che, dagli elementi presenti nella documentazione in atti, tale comunicazione di dati sulla salute non sia supportata da un’idonea base giuridica e potrà pertanto essere effettuata solo a seguito di valutazione, da parte dell’Autorità, dell’idoneità della base giuridica e dell’adeguatezza delle misure adottate per garantire l’integrità e la riservatezza dei dati trattati.

11. Natura transitoria delle disposizioni nazionali in tema di certificazioni verdi.

La normativa allo stato vigente prevede che le disposizioni in materia di certificazioni verdi di cui all’art. 9 del d.l. 52/2021 “sono applicabili in ambito nazionale fino alla data di entrata in vigore degli atti delegati per l'attuazione delle disposizioni di cui al regolamento del Parlamento europeo e del Consiglio su un quadro per il rilascio, la verifica e l'accettazione di certificazioni interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione all'interno dell'Unione Europea durante la pandemia di COVID-19 che abiliteranno l'attivazione della Piattaforma nazionale-DGC” (art. 9, comma 9, del d.l. n. 52/2021).

Come già rilevato dal Garante nel citato provvedimento di avvertimento del 23 aprile 2021, i richiamati decreti legge risultano privi dell’indicazione delle motivazioni in forza delle quali si è inteso introdurre, in via provvisoria, l’uso delle predette certificazioni verdi, stante la prossima adozione della proposta di Regolamento del Parlamento europeo e del Consiglio sulla certificazione verde.

Tali motivazioni non sono riportate neanche nello schema di decreto in esame. Lo stesso, infatti, introduce la disciplina relativa all’utilizzo delle certificazioni “in ambito nazionale” senza però evidenziare la predetta natura transitoria delle disposizioni (art. 2 dello schema di decreto).

Come già evidenziato al Ministero della salute nell’ambito delle richiamate interlocuzioni, si rileva, pertanto, la necessità che, in sede di conversione in legge del d.l. n. 52/2021, sia adeguatamente modificata la previsione concernente la natura transitoria delle disposizioni applicabili in ambito nazionale alle certificazioni verdi, per evitare che le stesse cessino di avere efficacia nel momento dell’entrata in vigore del predetto Regolamento europeo.

12. Principio di minimizzazione dei dati.

Nel citato provvedimento del 23 aprile 2021 il Garante ha ritenuto che il decreto legge n. 52/2021 possa violare il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. c), del Regolamento).

In particolare, l’Autorità nel suddetto provvedimento ha suggerito che le predette certificazioni verdi dovessero riportare esclusivamente i dati personali strettamente necessari a consentire ai soggetti preposti ai controlli di verificare il possesso di una certificazione valida (in tal senso cfr. anche la posizione espressa dal Comitato europeo per la protezione dei dati (CEPD) e dal Garante europeo della protezione dei dati (GEPD) nel parere congiunto reso il 31 marzo 2021).

Alla luce di quanto indicato nello schema di decreto in esame il predetto rilievo può considerarsi superato in quanto, sebbene le predette certificazioni riportino numerose informazioni personali inerenti allo stato di vaccinazione, guarigione o all’esito negativo di un test per il Covid-19, tali dati personali non sono rilevabili in fase di verifica da parte del soggetto deputato a effettuare il controllo.

L’App VerificaC19, individuata dal Ministero della salute quale unico strumento di controllo a disposizione del verificatore, consente infatti di rilevare esclusivamente l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’interessato a cui la stessa si riferisce, senza che siano visibili le informazioni che ne hanno determinato l’emissione. Il soggetto deputato al controllo non viene, quindi, a conoscenza della condizione (vaccinazione, guarigione, esito negativo di un test Covid-19) alla base della quale è stata emessa la certificazione, né può conoscere la data di cessazione della validità della stessa.

Al riguardo, si rileva favorevolmente anche che le caratteristiche tecniche della predetta applicazione non prevedono la registrazione dei dati relativi ai controlli effettuati. Sul punto, il Ministero della salute ha inoltre accolto l’osservazione dell’Ufficio di specificare, nello schema di decreto, nel rispetto del principio di trasparenza, che l'attività di verifica dei certificati non comporta, in nessun caso, la raccolta in qualunque forma dei dati del controllato (art. 13, comma 5, dello schema di decreto).

Si segnala infine che i dati riportati all’interno delle certificazioni verdi coincidono con quanto previsto nella proposta di Regolamento del Parlamento europeo e del Consiglio su “Un quadro per il rilascio, la verifica e l'accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione durante la pandemia di Covid-19 (EU digital COVID certificate)”, COM (2021) 130, presentata dalla Commissione europea in data 17 marzo 2021 e approvata nella sua formulazione finale il 21 maggio 2021.

13. Soggetti deputati al controllo delle certificazioni verdi Covid-19.

Il d.l. n. 52/2021 ha previsto che lo schema di decreto in esame debba individuare anche i soggetti deputati al controllo delle certificazioni verdi.

Nell’ambito delle interlocuzioni con il Ministero della salute, l’Ufficio ha richiesto che fossero specificamente individuati i soggetti che, in relazione alle singole finalità per le quali è richiesto il possesso delle predette certificazioni, possano chiederne l’esibizione all’interessato. Ciò, anche in considerazione del fatto che, al fine di garantire l’efficacia della misura di contenimento, può risultare necessario verificare, previa esibizione del documento di identità, che il soggetto in possesso della certificazione coincida con l’effettivo intestatario della stessa.

Al riguardo, il Ministero della salute ha formulato la disposizione relativa ai soggetti deputati al controllo delle certificazioni verdi (art. 13 dello schema di decreto), prevedendo, in primo luogo, che possano svolgere tale attività i pubblici ufficiali nell’esercizio delle relative funzioni, il personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o in pubblici esercizi iscritto in apposito elenco, tenuto – anche in forma telematica – dal prefetto competente per territorio (art. 3, comma 8, legge n. 94/2009, n. 94).

L’attività di controllo potrà essere svolta anche dai soggetti titolari, o dai loro delegati, delle strutture recettive e dei pubblici esercizi per l’accesso ai quali è prescritto il possesso di certificazione verde Covid-19, dal proprietario o il legittimo detentore, o dai loro delegati, di luoghi o locali presso i quali si svolgono eventi e attività per partecipare ai quali è prescritto il possesso della certificazione verde e dai gestori, o dai loro delegati, delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali per l’accesso alle quali in qualità di visitatori sia prescritto il possesso della certificazione verde.

Sul punto, il Ministero della salute ha accolto l’osservazione dell’Ufficio in merito alla necessità che, a esclusione dei pubblici ufficiali, tutti gli altri soggetti ai quali è affidata l'attività di controllo siano individuati formalmente e ricevano specifiche istruzioni relativamente alla funzione di verifica loro affidata (art. 13, comma 3, dello schema di decreto).

Come già indicato, si rileva con favore anche la previsione secondo cui le predette attività di controllo possono essere svolte unicamente attraverso l’App VerificaC19 prevista dallo schema di decreto, nonché che il controllo circa la corretta esecuzione delle predette verifiche sia rimesso alle forze di polizia (art. 13 commi 1 e 6, dello schema di decreto).

Al riguardo, al fine di evitare abusi e dare maggiore effettività alle attività di controllo di cui sopra, si rileva tuttavia la necessità che, in sede di conversione in legge del d.l. n. 52/2021, sia prevista l’applicabilità delle sanzioni di cui all’art. 4 del decreto-legge n. 19 del 2020 anche all’attività posta in essere dai soggetti preposti al controllo delle predette certificazioni, al cui accertamento possono procedere direttamente le forze di polizia tenute a verificare il rispetto delle misure (art. 13, comma 6 dello schema di decreto).

Si invita infine il Ministero della salute a mettere in atto iniziative volte a informare gli interessati affinché siano resi consapevoli della delicatezza dei dati contenuti all’interno delle certificazioni e che sono tenuti a esibire le stesse solo ai soggetti preposti ai controlli previsti dalla legge.

14. Diritti dell’interessato.

Nel corso delle interlocuzioni intervenute con il Ministero della salute l’Ufficio ha rilevato l’opportunità che, in ragione della necessità di assicurare l’esattezza e l’aggiornamento dei dati trattati in relazione alle certificazioni verdi, l’interessato possa esercitare il diritto di rettifica di cui all’art. 16 del Regolamento attraverso modalità semplificate rispetto a quelle ordinariamente previste per l’esercizio dei diritti, ricevendo un riscontro entro un termine congruo rispetto alla validità della certificazione rilasciata allo stesso.

Al riguardo, il Ministero della salute ha accolto l’invito dell’Ufficio prevedendo che tali richieste possano essere avanzate tramite un apposito servizio offerto dal numero di pubblica utilità dello stesso Dicastero (1500) (art. 16, comma 3, dello schema di decreto).

Analogamente, il Ministero ha accolto l’osservazione dell’Ufficio in ordine alla previsione di informare l’interessato, in caso di revoca di una certificazione verde, utilizzando i dati di contatto forniti dallo stesso. Tale misura è stata ritenuta necessaria per assicurare un costante controllo, da parte dell’interessato, circa l’esattezza dei dati trattati, utile quindi anche al fine di individuare precocemente eventuali revoche generate da dati non corretti (art. 8, comma 5, dello schema di decreto).

Contestualmente all’invio dello schema di parere in esame il Ministero ha inviato un modello di informativa da rendere all’interessato in merito ai trattamenti effettuati attraverso la Piattaforma nazionale-DGC. Al riguardo, il Ministero ha accolto le osservazioni in ordine all’individuazione di una pluralità di canali con cui informare l’interessato in merito alle caratteristiche del trattamento (art. 16, comma 2, dello schema di decreto).

15. Trattamento dei dati delle persone vaccinate prima dell’entrata in vigore dello schema di decreto.

In conformità a quanto stabilito dall’art. 42 del d.l. n. 77/2021, le regioni e le province autonome inviano al Sistema TS i dati di contatto forniti dall’interessato che sia stato vaccinato, anche con una sola dose, prima dell’entrata in vigore dello schema di decreto in esame. I predetti dati di contatto, forniti dall’interessato all’atto della prenotazione o della somministrazione del vaccino, in conformità al richiamato decreto, possono essere utilizzati esclusivamente ai fini dell’invio del codice univoco (AUTHCODE) necessario per acquisire le certificazioni verdi tramite gli strumenti digitali sopra descritti.

Lo schema di decreto in esame prevede inoltre che i dati relativi all’eventuale pregressa infezione da Covid-19 delle persone vaccinate prima dell’entrata in vigore dello stesso decreto siano acquisiti, nell’anagrafe nazionale vaccini (AVN), dalla piattaforma dell’Istituto Superiore di Sanità, di cui all’ordinanza del Capo del Dipartimento della protezione civile n. 640 del 27 febbraio 2020.

Dall’esame della documentazione trasmessa non è stato tuttavia possibile evincere le modalità attraverso le quali si intenda realizzare la raccolta dei dati relativi all’eventuale pregressa infezione da Covid-19 delle persone vaccinate, nonché le misure tecniche e organizzative adottate al fine di assicurare l’esattezza, l’integrità e la riservatezza dei dati raccolti, atteso che lo stesso Ministero, in occasione dell’implementazione delle modalità di caricamento delle TEK nel backend del Sistema di allerta Covid-19 (c.d. sblocco in-app dell’App Immuni), aveva rappresentato all’Ufficio che la predetta piattaforma dell’Istituto Superiore di Sanità non è alimentata in modo esaustivo da parte delle regioni e delle province autonome.

Al riguardo, il Garante ritiene che la raccolta di tali dati possa essere effettuata solo a seguito della valutazione da parte dell’Autorità delle misure che si intende adottate per assicurarne l’integrità, la riservatezza e l’esattezza.

16. Strumenti digitali per la messa a disposizione agli interessati delle certificazioni verdi Covid-19.

Lo schema di decreto in esame prevede che l’interessato possa consultare, visualizzare e scaricare (anche in formato stampabile) le certificazioni verdi Covid-19 attraverso i seguenti strumenti digitali: sito web dedicato della Piattaforma nazionale-DGC, Fascicolo Sanitario Elettronico, App Immuni, App IO e Sistema TS, per il tramite di operatori sanitari autorizzati (art. 11 dello schema di decreto in esame).

Ai fini del recupero della certificazione verde tramite il sito web dedicato o tramite l’App Immuni, è previsto che l’interessato inserisca, unitamente alle ultime 8 cifre del numero della propria Tessera Sanitaria e alla relativa data di scadenza, il codice univoco autorizzativo (AUTHCODE) generato dalla Piattaforma nazionale-DGC.

Sebbene dalla documentazione in atti si evinca che il suddetto codice è comunicato all’interessato utilizzando i dati di contatto forniti dallo stesso all’atto della prestazione sanitaria, lo schema di decreto in esame non esplicita che i predetti dati di contatto possano essere trattati esclusivamente per la richiamata finalità di invio del codice AUTHCODE e non individua neanche il periodo di conservazione degli stessi. La limitazione della finalità per la quale possono essere trattati si ritiene debba essere infatti coordinata con quanto disposto dal d.l. n. 77/2021, secondo cui il trattamento dei dati di contatto di coloro ai quali è stata somministrata almeno una dose di vaccino, prima della data di entrata in vigore del decreto in esame, è finalizzato a “consentire la comunicazione all'interessato di un codice univoco che gli consenta di acquisire le proprie certificazioni verdi” (art. 42, comma 3).

Pertanto, l’Autorità ritiene opportuno che lo schema di decreto in esame disciplini esplicitamente il trattamento dei dati di contatto degli interessati e il periodo di conservazione degli stessi, limitandone la finalità all’invio del predetto codice univoco (AUTHCODE), necessario per il recupero della certificazione verde, e alla comunicazione dell’eventuale revoca della certificazione.

Con specifico riferimento alla possibilità per l’interessato di accedere alla certificazione verde, attraverso il Fascicolo Sanitario Elettronico, è stato previsto, come auspicato dall’Ufficio, che tale certificazione sia oscurata per impostazione predefinita al fine di renderla consultabile da parte del solo interessato.

Con specifico riferimento al recupero della certificazione verde tramite l’App Immuni, si prende favorevolmente atto delle misure previste dallo schema di decreto e dalla specifica valutazione di impatto sulla protezione dei dati relativa al Sistema di allerta Covid-19, che riguardano, in particolare, l’utilizzo di canali di comunicazione sicuri e la minimizzazione dei dati trattati ai fini del recupero della certificazione verde, che viene memorizzata esclusivamente sul dispositivo dell’interessato.

Si rileva inoltre che l’introduzione della nuova funzionalità di recupero della certificazione verde non pregiudica l’efficacia delle misure, già adottate nell’ambito del Sistema di allerta Covid-19, per garantire che i dati personali ivi trattati non siano riferibili a una persona fisica identificata o identificabile. Ciò, anche in considerazione del fatto che i trattamenti connessi alle funzionalità di contact tracing che prevedono il caricamento delle TEK nel backend del Sistema di allerta Covid-19 riguardano soggetti risultati positivi al SARS-CoV-2, mentre il recupero della certificazione verde si riferisce a soggetti, allo stato, non affetti da tale virus.

Preme al riguardo rilevare che le modalità con le quali l’App Immuni è stata progettata e realizzata, nel rispetto dei principi di privacy by design e by default di cui all’art. 25 del Regolamento, hanno reso possibile l’implementazione della nuova funzionalità nel rispetto della disciplina sulla protezione dei dati personali (provvedimenti del 1° giugno 2020, doc. web n. 9356568, e del 25 febbraio 2021, doc. web n. 9555987).

Ad ogni buon conto, si ricorda che l'art. 6 del d.l. n. 28/2020 prevede espressamente che “l'utilizzo dell'applicazione e della piattaforma, nonché ogni trattamento di dati personali” effettuato attraverso il Sistema di allerta Covid-19 siano “interrotti alla data di cessazione delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione del Covid-19” “e comunque entro il 31 dicembre 2021”, data entro la quale “tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi”.

Con riferimento all’utilizzo dell’App IO, si rappresenta, in via preliminare, che l’Autorità, in passato, si è espressa in merito all’utilizzo della predetta app per l’erogazione del tax credit vacanze (c.d. bonus vacanze), di cui all’art. 176 del d.l. n. 34/2020, e per l’attuazione del programma cashback, di cui all’art. 1, commi da 288 a 290, della l. n. 160/2019, rilevando taluni profili di criticità in merito all’utilizzo di notifiche push, all’attivazione automatica di servizi non espressamente richiesti dall’utente, nonché alle garanzie in materia di trasferimento dei dati verso Paesi terzi, e riservandosi ogni ulteriore valutazione all’esito della complessiva istruttoria in merito al funzionamento dell’App IO quale punto di accesso telematico di cui all’art. 64-bis del d.lgs. n. 82/2005, le cui linee guida attuative, all’esame dell’Autorità, sono ancora in fase di definizione (cfr. provvedimenti del 12 giugno 2020, doc. web n. 9367375, e del 26 novembre 2020, doc. web n. 9492345).

Al riguardo, si rappresenta che l’Autorità ha ritenuto necessario assicurare che, nelle more dell’adozione delle citate linee guida attuative dell’art. 64-bis del d.lgs. n. 82/2005, i trattamenti di dati personali attualmente in essere, o che si intendono a breve avviare attraverso l’App IO, avvengano comunque nel rispetto del Regolamento e del Codice.

All’esito di recenti approfondimenti istruttori effettuati dall’Ufficio sul funzionamento dell’App IO che hanno fatto emergere gravi elementi di criticità, l’Autorità ha adottato d’urgenza, in data odierna, un provvedimento correttivo che dispone, in particolare, la limitazione provvisoria del trattamento ai sensi dell’art. 58, par. 2, lett. f), del Regolamento nei confronti della società PagoPA S.p.a. che gestisce l’App IO.

Pertanto, in considerazione degli elevati rischi connessi ai trattamenti che si intendono effettuare con lo schema di decreto in esame, del numero di interessati potenzialmente coinvolti, delle modalità con cui si intendono mettere a disposizione degli interessati le certificazioni verdi tramite l’App IO, nonché del fatto che l’App IO non si configura come l’unico strumento digitale per il recupero delle certificazioni verdi, l’Autorità si riserva di esprimersi sull’utilizzabilità dell’App IO, ai fini del recupero delle stesse, solo una volta che saranno superate le criticità rilevate nel predetto provvedimento correttivo e sulla base di ulteriori approfondimenti istruttori.

Infine, in merito alla possibilità per l’interessato di recuperare la certificazione verde per il tramite di operatori sanitari autorizzati, lo schema di decreto, anche a seguito delle interlocuzioni intercorse con l’Ufficio, individua in modo puntuale tali operatori (medico di medicina generale, pediatra di libera scelta, farmacista, medico operante presso un’azienda sanitaria, l’USMAF, il SASN) e prevede che la suddetta operazione possa essere effettuata, attraverso il Sistema TS, previo inserimento del codice fiscale dell’interessato unitamente alle ultime 8 cifre del numero della Tessera Sanitaria dello stesso e alla relativa data di scadenza.

17. Periodo di conservazione dei dati e sicurezza del trattamento.

Si prende favorevolmente atto della previsione, auspicata dall’Ufficio, secondo cui i dati trattati nell’ambito della Piattaforma nazionale-DGC sono conservati fino al termine della validità delle relative certificazioni verdi.

Tuttavia, si rileva che nell’allegato F allo schema di decreto in esame è previsto che la Piattaforma nazionale-DGC registri gli accessi alle certificazioni verdi effettuati dagli interessati, conservando, in un archivio dedicato, per dodici mesi, “codice fiscale, canale di accesso, modalità di autenticazione, data-ora dell’accesso, sito operazione, tipologia di certificato recuperato e tipologia di codice univoco nazionale associato al tipo di evento sanitario” (par. 6).

Al riguardo, si ritiene che la conservazione dei predetti dati, per un periodo di dodici mesi, seppur necessaria per garantire la sicurezza del trattamento, si ponga in contrasto con quanto previsto dallo stesso schema di decreto in merito ai tempi di conservazione dei dati trattati nell’ambito della Piattaforma nazionale-DGC, nonché con i principi di minimizzazione dei dati, limitazione della conservazione e della finalità del trattamento.

Pertanto, l’Autorità ritiene necessario che siano modificate le tipologie di dati oggetto di registrazione, i relativi tempi di conservazione e che sia espressamente previsto, nell’allegato F allo schema di decreto, che tali registrazioni siano usate ai soli fini della verifica della liceità del trattamento e per garantire l'integrità e la riservatezza dei dati personali.

Con riferimento alle misure tecniche e organizzative poste in essere con riferimento al trattamento dei dati disciplinato nello schema di decreto in esame, oltre a quanto sopra riportato, si rileva positivamente l’adozione di misure volte a ripristinare, in caso di incidente fisico o tecnico, la disponibilità e l’accesso dei dati trattati ai fini del rilascio e della verifica delle certificazioni verdi in tempi rapidi, congrui rispetto alle finalità del trattamento.

RITENUTO

In ragione della manifestata esigenza di attivare con urgenza la Piattaforma nazionale-DGC per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19, tenuto conto del complesso delle misure sopra descritte, volte a garantire il rispetto dei diritti e le libertà degli interessati, il trattamento può essere considerato proporzionato solo a condizione che, in sede di conversione in legge del d.l. n. 52/2021, ne siano specificamente definite le finalità e sia introdotta una riserva di legge statale per l’utilizzo di certificazioni per attestare l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare.

Si ribadisce inoltre che l’uso di certificazioni, che attestino l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico/molecolare, diverse da quelle indicate nello schema di decreto in esame, ovvero l’uso di strumenti di verifica (quali ad esempio app per dispositivi mobili) ulteriori rispetto a quelli ivi indicati non possono ritenersi ammissibili perché non garantirebbero in ogni caso il rispetto del principio di esattezza dei dati trattati (art. 5, par. 1, lett. d), del Regolamento). Ciò, in quanto il collegamento con la Piattaforma nazionale-DGC risulta indispensabile per verificare l’attualità delle condizioni attestate nella certificazione, tenendo conto dell’eventuale variazione delle stesse (es. sopraggiunta positività), con significativi rischi anche in ordine alla reale efficacia della misura di contenimento.

Solo la Piattaforma nazionale-DGC, attuata nel pieno rispetto delle garanzie previste dalla disciplina di protezione dati e conformemente al parere dell’Autorità, ha infatti le caratteristiche per realizzare, superate le criticità in ordine alla specificazione delle finalità del trattamento sopra riportate, il rilevante obiettivo di interesse pubblico sottostante e può considerarsi proporzionata all’obiettivo legittimo perseguito.

L’Autorità, tenuto conto dei ristretti tempi con cui è chiamata a fornire il previsto parere, determinati dalla manifestata urgenza di attivare immediatamente la Piattaforma nazionale-DGC, si riserva di effettuare ulteriori approfondimenti in merito alla raccolta dei dati relativi all’eventuale pregressa infezione da Covid-19 delle persone vaccinate prima dell’entrata in vigore del decreto in esame dall’Istituto Superiore di Sanità e all’utilizzo dell’App IO, come strumento a disposizione degli interessati per recuperare le certificazioni verdi Covid-19.

Contestualmente, l’Autorità individua nel presente provvedimento alcune prescrizioni volte a rafforzare le garanzie nei confronti dei soggetti i cui dati saranno trattati nell’ambito della Piattaforma nazionale-DGC.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri, da adottare di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze, a condizione che

1) in sede di conversione in legge del d.l. n. 52/2021:

i) siano specificamente definite le finalità del trattamento e sia introdotta una riserva di legge statale per l’utilizzo delle certificazioni per attestare l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare;

ii) sia previsto che, nei casi in cui possono essere utilizzate le predette certificazioni, le stesse possano essere emesse, rilasciate e verificate esclusivamente attraverso le modalità indicate nello schema di decreto in esame;

iii) sia adeguatamente modificata la previsione della natura transitoria delle disposizioni applicabili in ambito nazionale alle certificazioni verdi, per evitare che le stesse cessino di avere efficacia nel momento dell’entrata in vigore del predetto Regolamento europeo;

iv) sia prevista l’applicabilità delle sanzioni di cui all’art. 4 del decreto-legge n. 19 del 2020 anche all’attività posta in essere dai soggetti preposti al controllo delle predette certificazioni, al cui accertamento possono procedere direttamente le forze di polizia tenute a verificare il rispetto delle misure;

2) la comunicazione alle regioni delle “informazioni relative a test molecolari/antigenici e certificati di guarigione trasmessi al Sistema TS direttamente da strutture sanitarie e medici per finalità epidemiologiche”, descritta nella valutazione di impatto allegata allo schema di decreto, sia effettuata solo a seguito della valutazione da parte dell’Autorità dell’idoneità della base giuridica di tale trattamento e l’adeguatezza delle misure adottate per garantire l’integrità e la riservatezza dei dati trattati;

3) la raccolta dei dati relativi all’eventuale pregressa infezione da Covid-19 delle persone vaccinate prima dell’entrata in vigore del decreto in esame dalla piattaforma dell’Istituto Superiore di Sanità sia effettuata solo a seguito della valutazione favorevole da parte del Garante delle misure adottate per assicurare l’integrità, la riservatezza e l’esattezza dei dati trattati;

4) l’utilizzo dell’App IO, come strumento a disposizione degli interessati per recuperare le certificazioni verdi Covid-19, sia consentito solo al superamento delle criticità rilevate con il provvedimento correttivo adottato in data odierna nei confronti della società PagoPA S.p.a. e a seguito di una successiva valutazione favorevole da parte del Garante sulla base di ulteriori approfondimenti istruttori;

5) con riferimento al trattamento dei dati di contatto degli interessati, lo schema di decreto sia integrato con la specificazione della finalità perseguita (invio del codice univoco per il recupero della certificazione verde e comunicazione dell’eventuale revoca della stessa) e l’individuazione del relativo periodo di conservazione;

6) il Ministero della salute metta in atto iniziative volte a informare gli interessati della delicatezza dei dati riportati nelle certificazioni e che sono tenuti a esibire le stesse solo ai soggetti preposti ai controlli previsti dalla legge;

7) l’allegato F allo schema di decreto sia modificato nella parte in cui individua le tipologie di dati oggetto di registrazione e i relativi tempi di conservazione e integrato prevedendo che tali registrazioni siano usate ai soli fini della verifica della liceità del trattamento e per garantire l'integrità e la riservatezza dei dati personali;

b) ai sensi e per gli effetti degli artt. 36, par. 5, e 58, par. 3, lett. c), del Regolamento e dell'art. 2-quinquiesdecies del Codice, autorizza il Ministero della salute a effettuare il trattamento dei dati personali connesso al recupero, da parte degli interessati, delle certificazioni verdi Covid-19 tramite il Sistema di allerta Covid-19 - App Immuni, così come rappresentato nella relativa valutazione d’impatto sulla protezione dei dati.

Roma, 9 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei



Vedi anche (10)