Il Garante Privacy fornisce chiarimenti su alcuni quesiti interpretativi della disciplina vigente in materia di certificazioni verdi presentate sotto forma di accesso civico generalizzato (c.d. “FOIA”). 

Il Garante Privacy si è espresso sull’uso delle certificazioni verdi (c.d. Green Pass) da parte dei soggetti interessati ai sensi del Decreto Legge n. 105 del 2021 (che estende il green pass all’accesso a fiere, congressi, eventi sportivi, spettacoli, palestre, piscine, ristoranti al chiuso, mezzi di trasporto come navi, arei e treni, nonché al personale scolastico e sanitario) nel tentativo di chiarire il corretto bilanciamento tra l’utilizzo delle stesse ed il rispetto delle norme in materia di tutela dei dati personali.  

Preliminarmente, la disciplina delle certificazioni verdi, è delineata dal combinato disposto degli artt. 9 del D.L. n. 52 del 2021 (convertito, con modificazioni, dalla legge n. 87/2021), 9-bis, (introdotto dall’art. 3 del D.L. n. 105 del 2021) e13 del DPCM 17 giugno 2021 relativamente alle misure attuative.

La normativa appena richiamata prevede, con riferimento agli aspetti che più rilevano sul piano della protezione dei dati personali:

• La regolamentazione dell’unico canale digitale funzionale alla lettura della certificazione verde, vale a dire l’app sviluppata dal Ministero della salute e denominata “VerificaC19”;
• Il potere di verifica dell’identità del titolare della stessa, con le modalità e alle condizioni di cui all’art. 13, c. 4, del citato DPCM, da leggersi anche alla luce della recente circolare del Ministero dell’interno del 10 agosto u.s.. 

Nello specifico la verifica è effettuata tramite la “lettura del codice a barre  bidimensionale,  utilizzando esclusivamente l’applicazione  mobile  descritta  nell’allegato   B, paragrafo 4, che consente unicamente di  controllare  l’autenticita’, la validita’ e l’integrita’ della certificazione, e di  conoscere  le generalita’ dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione.” I soggetti specificamente individuati all’art.13 (pubblici ufficiali, personale addetto ai servizi di controllo  delle  attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o  in pubblici esercizi, i soggetti titolari delle strutture ricettive e  dei  pubblici esercizi ecc.) del citato DPCM potranno legittimamente verificare le generalità dell’intestatario tramite il documento d’identità. 

• L’esclusione della raccolta e conservazione, da parte dei soggetti verificatori, dei dati dell’intestatario della certificazione, in qualunque forma. 

Con riferimento alle istanze sulle quali il Garante si è espresso, esse erano finalizzate ad ottenere una pronuncia dell’Autorità in ordine agli obblighi connessi al Green Pass ed alle conseguenze derivanti dalla loro inosservanza da parte di soggetti destinatari. 

Sul punto l’Autorità ha rimarcato quanto segue:

1. “Le questioni sollevate dai quesiti sono di indubbio interesse generale, coinvolgendo il rapporto […] tra le esigenze di sanità pubblica sottese al contrasto della pandemiae i vari diritti fondamentali incisi dalle misure di prevenzione dei contagi, tra i quali appunto il diritto alla protezione dei dati personali, l’autodeterminazione in ordine alle scelte vaccinali, le libertà di circolazione e di iniziativa economica”;
2. La disciplina del Green Pass non oltrepassa i presupposti di legittimità dei trattamenti dei dati personali che essa implica, nella misura in cui sia comunque rispettata la normativa vigente in materia;
3. Al di là delle valutazioni di opportunità circa le scelte compiute dal legislatore in ordine all’estensione dell’ambito applicativo delle certificazioni verdi, il trattamento connesso all’attuazione delle relative disposizioni è legittimo fin quando sia circoscritto “ai soli dati effettivamente indispensabili alla verifica della sussistenza del requisito soggettivo in esame (titolarità della certificazione da vaccino, tampone o guarigione), alle operazioni a tal fine necessarie”;

Un rilievo viene, invece, dal Garante sollevato con riguardo alla “disciplina transitoria della certificazione, in forma cartacea, da rilasciare ai soggetti esenti dall’obbligo di ostensione del pass, che nel rispetto del principio di minimizzazione non deve comportare la rilevazione di dati eccedenti le finalità perseguite e, in particolare, di dati inerenti la condizione sanitaria dell’interessato”.

In conclusione l’Autorità sottolinea come, ad oggi, la normativa contenuta nel combinato disposto dei DD.LL. nn. 52 e 105 del 2021, nonché del DPCM 17 giugno 2021, sia di per sé sufficientemente determinata, in quanto in essa risultano facilmente rintracciabili e chiaramente delineati i limiti e le modalità di funzionamento dei meccanismi di ostensione del Green Pass ai soggetti legittimati.

Ne deriva che il trattamento dei dati personali  funzionale alla ratio della disciplina  di cui innanzi e condotto nel rispetto della normativa sulla protezione dei dati personali può dirsi senz’altro legittimo.

Avv. Adamo Brunetti

Leggi qui il documento del Garante Privacy