Appena varata la norma sulla “certificazione verde”, già arriva l’avvertimento del Garante per protezione dei dati personali nei confronti di “tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale e dell’economia e delle finanze, degli affari regionali e la Conferenza delle Regioni o delle Province autonome”, rendendo evidente il mancato coinvolgimento preventivo dell’Authority nell’ambito di questo importante passaggio della strategia del c.d. “decreto riaperture”
L’avvertimento rientra fra i poteri correttivi dell’autorità di controllo, ed è previsto dall’art. 58.2 lett. a) GDPR, in forza del quale il Garante può “rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento”.
Sostanzialmente, è un segnale di alert che i più critici già vedono come un cartellino giallo. Le criticità rilevate sono riconducibili all’approccio progettuale richiesto dal principio di privacy by design di cui all’art. 25 GDPR per cui, già al momento in cui sono determinati mezzi e finalità del trattamento, il titolare deve predisporre misure per attuare efficacemente i principi della protezione dei dati personali e le garanzie per adempiere agli obblighi normativi e tutelare i diritti degli interessati.
Il primo rilievo mosso dal Garante è stato il mancato coinvolgimento dell’autorità di controllo in un procedimento di consultazione preventiva ai sensi dell’art. 36.4 GDPR, obbligatorio qualora vi sia una proposta di atto legislativo o una misura regolamentare relativa al trattamento di dati personali, e il mancato svolgimento di una valutazione d’impatto.
Ulteriori problemi riguardano in primo luogo l’inidoneità della base giuridica, in quanto non sono state precisate le misure proporzionate e specifiche a tutela dei diritti dell’interessato, e soprattutto non sono state definite in modo tassativo e specifico le finalità di impiego delle certificazioni. La carenza di finalità definite, così come la mancata individuazione dei soggetti coinvolti nel trattamento, comportano una conseguente violazione del principio di trasparenza.
Con riguardo al principio di minimizzazione, invece, è stata individuata una violazione nella parte in cui la certificazione dovrebbe essere distinta in base alla condizione (completamento ciclo di vaccinazione, guarigione, test negativo) per cui è emessa, in quanto esporrebbe informazioni eccessive rispetto alla finalità di identificazione dell’interessato e verifica di validità del documento.
La mancata indicazione di misure per garantire l’attualità delle condizioni attestate, nonché per definire una limitazione della conservazione e garantire la sicurezza dei trattamenti, sono le ulteriori non conformità evidenti che comportano non solo le violazioni dei corrispondenti principi del GDPR ma, considerati i rischi elevati per gli interessati coinvolti, rafforzano quell’assoluta necessità di adottare un approccio progettuale e risk-based anche e soprattutto in quelle misure urgenti richieste dal contesto emergenziale.
