Privacy Green Pass? 100% illegale
Trattiamo in questo articolo della cosiddetta Certificazione verde per Covid 19 e lo facciamo in maniera fondata, attraverso la pubblicazione di stralci che riteniamo significativi della delibera del 23 aprile 2021 rilasciata dal Garante per la protezione dei dati personali e pubblicata sulla Gazzetta Ufficiale della Repubblica Italiana; il green pass istituito con il decreto legge 52 del 22 aprile 2021 non rappresenta una valida base giuridica; dal punto di vista della privacy è illegale, secondo noi, frutto di dittatura.
La delibera che citiamo dello scorso 23 aprile, è un documento ufficiale emesso e pubblicato in Gazzetta Ufficiale dal Garante per la Protezione dei Dati Personali ed è denominato per esteso “Avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per COVID-19, prevista dal decreto-legge 22 aprile 2021, n. 52. (Provvedimento n. 156). (21A02576) (GU Serie Generale n.104 del 03-05-2021)”.
Intendiamo qui proporre in maniera divulgativa e rigorosa il contenuto dell’atto al fine di fare conoscere la sua esistenza e il suo contenuto, trattasi infatti di un pronunciamento statale ufficiale che a nostro avviso tutti dovrebbero conoscere e a cui rimandiamo in ogni caso previa la lettura diretta sul sito web gazzettaufficiale.it
Il garante per la protezione dei dati personali con le dovute premesse traccia il quadro della situazione che deriva dall’attuazione del certificato verde e suo utilizzo, poi in merito osserva :
“Per i profili di competenza dell'Autorita' si osserva che il decreto-legge del 22 aprile 2021, n. 52, non rappresenta una valida base giuridica per l'introduzione e l'utilizzo dei certificati verdi a livello nazionale. Nel progettare l'introduzione della certificazione verde, quale misura volta a contenere e contrastare l'emergenza epidemiologica da Covid-19, si ritiene che non si sia tenuto adeguatamente conto dei rischi, di seguito illustrati, che l'implementazione della misura determina per i diritti e le liberta' degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal regolamento (UE) 2016/679 e a tutelare i diritti degli interessati (art. 25, par. 1, del regolamento)."
In particolare, si ritiene che le disposizioni di cui al decreto-legge del 22 aprile 2021, n. 52, presentino le seguenti criticita':
1. Mancata consultazione del Garante
[...] Il carattere di urgenza della norma non costituisce condizione
ostativa al preventivo coinvolgimento dell'Autorita', atteso che il
Garante, nell'ultimo anno, consapevole della necessita' che le
disposizioni sottoposte alla sua attenzione fossero adottate
tempestivamente, ha sempre reso i pareri di propria competenza sugli
atti normativi predisposti in merito all'emergenza sanitaria in tempi
molto ristretti, fornendo, laddove necessario, il proprio parere
anche d'urgenza a firma del Presidente
[...] Nell'imminenza dell'adozione del predetto decreto legge, il
Presidente ha inoltre inviato una nota al Presidente del Consiglio
dei ministri e al Ministro della salute proprio in merito al
necessario coinvolgimento dell'Autorita' in fase di adozione
dell'atto normativo in materia di passaporti vaccinali (note del 21
aprile 2021).
]...] Si segnala inoltre che l'introduzione della certificazione verde,
quale misura volta a contenere e contrastare l'emergenza
epidemiologica da Covid-19, determinando un trattamento sistematico
di dati personali, anche relativi alla salute, su larga scala, che
presenta un rischio elevato per i diritti e le liberta' degli
interessati in relazione alle conseguenze che possono derivare alle
persone con riferimento alla limitazione delle liberta' personali,
avrebbe reso sicuramente opportuno effettuare una preventiva
valutazione di impatto ai sensi dell'art. 35, par. 10 del
regolamento. Cio', in particolare, in quanto la misura, prevista dal
decreto legge, entra in vigore sin dal giorno successivo alla sua
pubblicazione.
2. Inidoneita' della base giuridica
Come anzidetto il predetto decreto-legge non rappresenta una valida
base giuridica per l'introduzione e l'utilizzo dei certificati verdi
a livello nazionale in quanto risulta privo di alcuni degli elementi
essenziali richiesti dal regolamento (articoli 6, par. 2 e 9) e dal
codice in materia di protezione dei dati personali (articoli 2-ter e
2-sexies).[...] L'assenza di una puntuale indicazione delle finalita' non consente
neanche una valutazione in ordine alla compatibilita' delle predette
certificazioni con quanto previsto a livello europeo, tenuto peraltro
anche conto che il loro utilizzo sembrerebbe essere temporaneo in
attesa dell'adozione delle analoghe certificazioni individuate
dall'Unione europea.
Al riguardo, si rileva che la norma risulta anche priva
dell'indicazione delle motivazioni in forza delle quali si rende
necessario introdurre, in via provvisoria, le predette certificazioni
verdi, stante la prossima adozione della proposta di regolamento del
Parlamento europeo e del Consiglio sul certificato verde digitale
(2021/0068 (COD) del 17 marzo 2021), con riferimento alla quale sono
state fornite indicazioni dal Comitato europeo per la protezione dei
dati (EDPB) e dall'European Data Protection Supervisor (EDPS)
nel parere congiunto reso il 31 marzo 2021
[...] La mancata indicazione delle motivazioni che hanno indotto il
Governo all'adozione provvisoria delle predette certificazioni, in
attesa degli analoghi documenti previsti a livello unionale, non
permette infine di valutare se lo stesso abbia tenuto in debita
considerazione i rischi di eventuali disallineamenti in merito alle
caratteristiche e alle funzionalita' dei due documenti.
3. Principio di minimizzazione dei dati
Il decreto-legge viola il principio di minimizzazione dei dati
secondo cui gli stessi devono essere adeguati, pertinenti e limitati
a quanto necessario rispetto alle finalita' per le quali sono
trattati (art. 5, par. 1 lettera c) del regolamento ).
In particolare, atteso che, in virtu' di quanto disposto dagli
articoli 2, 5 e 7 del decreto, gli spostamenti in entrata e in uscita
dai territori delle regioni e delle province autonome collocati in
zona arancione o rossa sono consentiti anche ai soggetti muniti delle
certificazioni verdi e che la partecipazione a determinati eventi e
manifestazioni aperte al pubblico puo' essere condizionata
all'esibizione di tali certificazioni, si ritiene che le stesse
debbano riportare esclusivamente i seguenti dati: dati anagrafici
necessari a identificare l'interessato; identificativo univoco della
certificazione; data di fine validita' della stessa.
Tali dati si configurano infatti quali necessari a consentire ai
soggetti preposti ai controlli di verificare che la persona che
esibisce la certificazione si trovi in una delle condizioni indicate
dal decreto (vaccinazione, guarigione o test negativo) per usufruire
della certificazione verde (in tal senso cfr. anche la posizione
espressa dal Comitato europeo per la protezione dei dati (EDPB) e
dall'European Data Protection Supervisor (EDPS) nel parere congiunto
reso il 31 marzo 2021).
Alla luce del predetto principio di minimizzazione, si ritiene
infatti che non sia pertinente indicare sulla certificazione
ulteriori informazioni e che non sia necessario l'utilizzo di modelli
di certificazioni verdi diversi a seconda della condizione
(vaccinazione, guarigione, test negativo) in forza della quale le
stesse sono rilasciate, atteso che il decreto non prevede ipotesi
diverse per il relativo utilizzo.
4. Principio di esattezza
Il decreto-legge del 22 aprile 2021, 52, si ritiene violi anche il
principio di esatezza dei dati secondo cui gli stessi devono essere
esatti e, se necessario, aggiornati e devono essere adottate tutte le
misure ragionevoli per cancellare o rettificare tempestivamente i
dati inesatti rispetto alle finalita' per le quali sono trattati
(art. 5, par. 1, lettera d) del regolamento).
Considerato che, secondo quanto indicato nel decreto, l'utilizzo
delle predette certificazioni costituirebbe una delle condizioni per
consentire gli spostamenti dalle regioni e province autonome
collocati in zona arancione o rossa, ovvero per limitare la liberta'
di spostamento individuale, nonche' per poter partecipare ad eventi e
manifestazioni aperte al pubblico, e' necessario che le stesse siano
redatte sulla base di informazioni esatte e aggiornate. Il requisito
di esattezza dei dati si pone infatti come essenziale nella
valutazione della proporzionalita' della limitazione e della
idoneita' della misura di contenimento e contrasto dell'emergenza
epidemiologica da Covid-19. [...]
5. Principio di trasparenza
Il decreto-legge viola il principio di trasparenza non indicando in
modo chiaro le puntuali finalita' perseguite, le caratteristiche del
trattamento e i soggetti che possono trattare i dati raccolti in
relazione all'emissione e al controllo delle certificazioni verdi
(articoli 5, par. 1, lettera e) e 6, par. 3, lettera b) del
regolamento). Il decreto infatti, oltre a non individuare in modo
puntuale le finalita', non indica i soggetti che trattano le predette
informazioni e che possono accedervi, nonche' quelli deputati a
controllare la validita' e l'autenticita' delle certificazioni verdi.
Al riguardo, si rappresenta che il decreto-legge non specifica la
titolarita' dei trattamenti effettuati ai fini dell'emissione e del
controllo delle predette certificazioni verdi e in particolare di
quelli posti in essere attraverso la «Piattaforma Nazionale DGC» per
l'emissione e validazione delle certificazioni verdi digitali
Covid-19. Tale piattaforma, secondo quanto indicato nell'art. 9 del
decreto, costituirebbe il sistema informativo nazionale per il
rilascio e la verifica e l'accettazione di certificazioni Covid-19
interoperabili a livello nazionale ed europeo. In particolare, si
rileva che il decreto-legge non individua l'Ente presso il quale
sara' istituita la predetta piattaforma e non specifica la connessa
titolarita' dei trattamenti dei dati personali effettuati attraverso
tale sistema informativo. L'assenza di indicazioni in ordine alla titolarita' del trattamento
non consente pertanto agli interessati di esercitare i diritti in
materia di protezione dei dati personali previsti dal regolamento
(articoli 15 e ss. del regolamento).
6. Principi di limitazione della conservazione e di integrita' e
riservatezza
Le disposizioni del decreto violano anche il principio di
limitazione della conservazione, secondo cui i dati devono essere
conservati in una forma che consenta l'identificazione degli
interessati per un arco di tempo non superiore al conseguimento delle
finalita' per le quali sono trattati (articoli 5, par. 1, lettera e)
e 6, par. 3, lettera b) del regolamento).
Cio' assume particolare rilievo tenuto conto che le disposizioni
sembrerebbero introdurre misure temporanee, destinate a essere
sostituite da quelle individuate in sede europea.
Si rileva inoltre che le disposizioni del decreto non forniscono
adeguata garanzia rispetto al principio di integrita' e riservatezza,
atteso che non sono indicate le misure che si intende adottare per
garantire un'adeguata sicurezza dei dati personali, compresa la
protezione, mediante misure tecniche e organizzative adeguate, da
trattamenti non autorizzati o illeciti e dalla perdita, dalla
distruzione o dal danno accidentali (articoli 5, par. 1, lettera f) e
32 del regolamento).
Ritenuto
[...]
Considerato che l'utilizzo della certificazione verde e' operativo
a partire dal giorno successivo alla pubblicazione del decreto-legge
e', quindi, urgente l'esigenza di intervenire al fine di tutelare i
diritti e le liberta' degli interessati.
[...] a) ai sensi dell'art. 58, par 2, lettera a), del regolamento
avverte tutti i soggetti coinvolti nel trattamento e, in particolare,
i Ministeri della salute, dell'interno, dell'innovazione tecnologica
e della transizione digitale e dell'economia e delle finanze, degli
affari regionali e la Conferenza delle regioni e delle province
autonome del fatto che i trattamenti di dati personali effettuati in
attuazione delle disposizioni di cui al decreto-legge del 22 aprile
2021, n. 52, sulla base delle motivazioni espresse in premessa,
possono violare le disposizioni del regolamento di cui agli articoli
5, 6, par. 3, lettera b), 9, 13, 14, 25 e 32;
[...]”
Da partito Unione Nazionale Italiana notiamo con stupita incredulità in secundis la completa omertà in merito alla delibera sopracitata da parte di tutti i media.
E' un piacere conoscere anche la tua opinione scrivici a info@partitounionenazionaleitaliana.it