L’Autorità garante per la protezione dei dati personali ha rivolto un avvertimento alla Regione Campania riguardante l’utilizzo delle certificazioni verdi definito all’interno dell’ordinanza presidenziale del 6 maggio 2021, n. 17 la quale prevede un “sistema di rilascio di avvenuta certificazione” attraverso una smart card. Tale potere, già esercitato in precedenza nell’ambito del digital green pass nazionale nei confronti di soggetti coinvolti nel trattamento così definito, avverte preliminarmente circa le non conformità rilevate rispetto al GDPR consentendo così ai titolari del trattamento di intervenire nel riprogettare le attività in modo tale da non esporre i diritti e le libertà fondamentali degli interessati a rischi insostenibili. In questo caso, l’urgenza è rafforzata dalle indicazioni dell’ordinanza, per cui risultano come realizzate ed in consegna circa 250 mila smart card.
La mancanza di una valutazione d’impatto sulla protezione dei dati, peraltro obbligatoria ai sensi dell’art. 35.10 GDPR, rivela innanzitutto che il re è nudo: se tale adempimento non è stato svolto, significa che questo fondamentale aspetto non è stato neanche contemplato nel progetto di sviluppo, e dunque la progettualità di sviluppo dell’app ha mancato di considerare in modo corretto la protezione dei dati personali. Mancando tale adempimento, si è andato a produrre non solo un rischio insostenibile per gli interessati, ma anche dei costi ulteriori di progettazione e di avvio delle attività di trattamento.
Possiamo ben ritenere che se fosse stata correttamente svolta una valutazione d’impatto, molti dei rilievi del provvedimento del Garante sarebbero già stati superati in sede di progettazione.
Infatti, individuare base giuridica e finalità per le attività di trattamento svolte è il primo fondamentale passaggio di ogni valutazione d’impatto. Nella valutazione si sarebbe dovuto necessariamente tenere conto della riserva di legge di rango primario e della previa acquisizione del parere dell’autorità di controllo per l’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali, escludendo così sin da principio che un’ordinanza regionale o l’Unità di crisi di una regione possano avere competenza a tale riguardo. Allo stesso modo, la corretta definizione dei tempi di trattamento riferita alle finalità individuate, avrebbe evitato l’ammonimento nella parte in cui contesta la violazione del principio di limitazione della conservazione.
Individuare ruoli e responsabilità dei soggetti che intervengono o accedono ai dati personali, avrebbe allo stesso modo evitato i rilievi circa la mancata trasparenza per non aver indicato i “soggetti che trattano le predette informazioni e che possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni verdi, disponendo un sistema di rilascio e di verifica, difforme da quello individuato a livello nazionale”, né la titolarità dei trattamenti. Infine, lo svolgimento in sede di valutazione d’impatto di un’analisi dei rischi e delle misure di sicurezza (previste dall’art. 35.7 lett. c) e d) GDPR) avrebbe consentito di comprovare le garanzie di integrità e riservatezza delle quali però non è stato possibile rilevare alcuna evidenza in sede istruttoria.
In precedenza, avevamo già parlato delle criticità correlate ad iniziative autonome locali e come queste rappresentino scenari poco confortanti relativamente allo sviluppo di app o soluzioni tecnologiche. Ora, nel provvedimento del Garante, quei timori trovano una dimensione concreta. Conforta, però, il fatto che ci sia un’autorità di controllo che vigila ed interviene tempestivamente. Soprattutto in tempi di emergenza.
