Il Parlamento Europeo ha approvato la proposta di Regolamento presentata dalla Commissione europea sui c.d. certificati verdi digitali, che si chiameranno certificati EU COVID-19 (Eu Digital Covid Certificate) e avranno la funzione di agevolare la libera e sicura circolazione dei cittadini nell’Unione Europea durante la pandemia di COVID-19.
Il certificato EU COVID-19 potrà essere rilasciato solo in determinati casi:
1) dopo avere completato il ciclo vaccinale. Certificato vaccinale, con durata di 9 mesi a decorrere dalla seconda somministrazione del vaccino,
2) contestualmente al ricevimento della prima dose. Certificato di somministrazione di prima dose del vaccino, che sarà valido dal quindicesimo giorno successivo alla prima dose, fino alla data prevista per la seconda somministrazione. Pertanto, ai 9 mesi di copertura garantiti dal completamento della vaccinazione, si dovranno aggiungere parte dei giorni intercorsi tra la prima e la seconda somministrazione.
Più precisamente, chi si vaccinerà con AstraZeneca, riceverà la seconda dose dopo 12 settimane, di conseguenza la validità del Covid pass si allunga dei giorni che intercorrono tra la prima e la seconda inoculazione, per un totale di 11 mesi e 10 giorni. Chi si vaccinerà con Pfizer o Moderna, farà il richiamo dopo 42 giorni dalla prima iniezione. La durata totale del green pass in questi due casi sarà di 9 mesi e 28 giorni. Mentre, chi si vaccinerà con il monodose Johnson&Johnson avrà un green pass con validità di 9 mesi, a decorrere dal 15° giorno dall’avvenuta somministrazione.
3) per coloro che sono guariti dal covid. Certificato di guarigione con durata di sei mesi a far data dall’avvenuta guarigione,
4) per chi si è sottoposto a un tampone molecolare o antigenico rapido, fatto nelle 48 ore precedenti e risultato negativo. Certificato di test con validità per le sole 48 ore successive al test.
La Commissione ha comunque ricordato che il pass avrà una durata limitata al perdurare della pandemia. Sarà quindi una misura temporanea e sarà sospeso una volta che il direttore generale dell’OMS avrà dichiarato, conformemente al regolamento sanitario internazionale, che l’emergenza di sanità pubblica di portata internazionale causata dal SARS-Co-V-2 sarà cessata.
Il certificato sarà:
– interoperabile, cioè i sistemi di verifica di uno Stato membro saranno in grado di utilizzare i dati codificati da un altro Stato membro,
– in formato digitale o cartaceo, o in entrambi i formati,
– redatto in due lingue, quella ufficiale dello Stato che lo rilascia e in inglese.
– gratuito,
– avrà una validità non superiore a 12 mesi,
– si applicherà anche ai cittadini Ue, che risiedono fuori dall’Ue e che sono stati vaccinati con vaccini riconosciuti dall’Ema. (European Medicines Agency, Agenzia europea per i medicinali).
I certificati verranno rilasciati dagli ospedali, dalle strutture sanitarie che effettuano i test diagnostici o dalle autorità sanitarie e potranno essere sia in forma digitale, da mostrare tramite il proprio dispositivo mobile, sia in forma cartacea.
Ogni certificato conterrà tutte le informazioni essenziali del viaggiatore (nome, data di nascita, data di rilascio e informazioni sanitarie sul vaccino e sui test) e sarà sottoscritto con apposita firma digitale.
Alle singole autorità, che riceveranno il viaggiatore, spetterà controllare la validità e l’autenticità del certificato (vaccinale, di guarigione o di test negativo) tramite la funzione di scansione del codice QR.
La Commissione europea adotterà un apposito dispositivo di rete (gateway), mediante il quale tutte le firme dei certificati potranno essere verificate in tutta l’Unione Europea e coadiuverà gli Stati membri affinché sviluppino, nel breve periodo, un software, che potrà essere utilizzato dalle autorità per scansionare i codici QR. Non solo un passaporto vaccinale quindi, ma una certificazione che attesti, che chi sta viaggiando non è in pericolo o non ha contratto il virus.
Gli Stati membri hanno comunque facoltà di applicare misure più restrittive. Sebbene il certificato EU COVID-19 dovrà essere accettato in tutti gli Stati membri dell’UE, il singolo Stato avrà la facoltà di imporre ai titolari del certificato verde digitale l’obbligo di quarantena o di effettuare un test, previa comunicazione motivata alla Commissione e a tutti gli altri Stati membri.
Il Certificato sarà rilasciato ai cittadini vaccinati con qualsiasi vaccino contro il Covid-19. Gli Stati membri, tuttavia, sono obbligati ad accettare i certificati per i soli vaccini che hanno ottenuto l’autorizzazione all’immissione in commercio nell’Unione Europea. Resta invece lasciata alla discrezionalità dei singoli Stati la scelta se ritenere validi anche i certificati di vaccinazione rilasciati in altri Stati europei per i vaccini che l’OMS definisce adatti all’uso di emergenza.
Dopo l’intesa ottenuta il 20 maggio, si dovrà attendere il 7 giugno per la votazione in Parlamento Europeo, mentre dal 1° luglio la misura dovrebbe essere valida sul territorio di tutti gli Stati membri, con un periodo di introduzione graduale di 6 settimane, per gli Stati membri che non saranno riusciti ad adeguarsi per quella data.
L’Italia con il Decreto Rilanci, in vigore dal 26 aprile scorso, ha adottato le norme sul certificato verde Covid-19, che riprende diversi aspetti dei green pass/certificati COVID-19 UE.
Il Green Pass nazionale sarà principalmente richiesto per spostarsi nelle regioni arancioni e rosse e per far visita agli anziani nelle case di riposo (Rsa). Inoltre, dal 15 giugno servirà per partecipare alle feste di nozze. Si sta valutando il ricorso al green pass anche per partecipare ai concerti con capienza maggiore di quella attualmente consentita (fino a un massimo di mille spettatori in impianti all’aperto e fino a 500 al chiuso) e per entrare in discoteca.
Dal 1° luglio, il green pass dovrebbe essere disponibile in formato digitale su “Io”, l’applicazione della Pubblica Amministrazione.
Come tutti i provvedimenti che riguardano i dati sensibili dei cittadini, anche il green pass italiano e quello europeo sono stati messi sotto la lente degli organi garanti della privacy.
A livello europeo, non sono state rilevate criticità nel sistema di rete adottato (gateway), in quanto i dati personali codificati nel certificato non passeranno attraverso il gateway.
Diversamente, il green pass italiano è stato bocciato dal garante della privacy. L’Authority ha evidenziato che i pass vaccinali, così regolati, presentano criticità tali da inficiare la validità e il funzionamento del sistema previsto per il tanto atteso “via libera” agli spostamenti.
Il governo italiano, nella stesura del decreto-legge che introduce il green pass non ha coinvolto il Garante della Privacy in violazione dell’art. 36, par. 4 del Reg. UE 2016/679. Di conseguenza il decreto risulta privo di alcuni dei requisiti essenziali richiesti dal Regolamento (articoli 6, par. 2 e 9) e dal codice in materia di protezione dei dati personali (Decreto legislativo 30 giugno 2003, n. 196 articoli 2-ter e 2-sexies).
Le carenze sono numerose.
– Non sono state indicate le specifiche finalità per il trattamento dei dati personali, perseguite attraverso l’introduzione del green pass, elemento essenziale al fine di valutare la proporzionalità della norma, richiesta dall’art. 6 del regolamento, anche alla luce di quanto affermato dalla Corte Costituzionale nella Sentenza n. 20 del 21 febbraio 2019, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita.
– Non sono state precisate le motivazioni in forza delle quali si rende necessario introdurre, in via provvisoria, le predette certificazioni verdi, stante la prossima adozione della proposta di regolamento del Parlamento europeo e del Consiglio sul certificato verde digitale (2021/0068 (COD) del 17 marzo 2021).
– Non è stato rispettato il principio di minimizzazione dei dati, secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario, rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. c del Reg.).
La previsione di tre differenti modelli di green pass, in funzione della condizione in cui versa l’interessato e l’indicazione sulle stesse di numerosi dati personali, anche relativi alla salute, si pongono in contrasto con il citato principio di minimizzazione dei dati.
– Non è stato rispettato nemmeno il principio di esattezza dei dati, secondo cui gli stessi devono essere esatti e, se necessario, aggiornati o rettificati tempestivamente (art. 5, par. 1, lettera d) del regolamento). La previsione transitoria secondo cui, nelle more dell’adozione del decreto attuativo che istituisce la piattaforma nazionale del Digital Green Certificate (DGC), sia consentito l’utilizzo delle certificazioni di guarigione rilasciate prima dell’entrata in vigore del decreto-legge, non consente di verificare l’attualità delle condizioni attestate nella certificazione. In mancanza di idonea piattaforma, diventa difficile accertare le eventuali modificazioni delle condizioni relative all’interessato (ad esempio, sopraggiunta positività) successive al momento del rilascio della stessa (art. 9, comma 4).
– Il decreto-legge viola il principio di trasparenza, in quanto non indica in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti, in relazione all’emissione e al controllo delle certificazioni verdi (articoli 5, par. 1, lettera e) e 6, par. 3, lettera b) del regolamento).
– Anche i principi di limitazione della conservazione e di integrità e riservatezza non sono stati osservati. Il Decreto viola il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (articoli 5, par. 1, lettera e) e 6, par. 3, lettera b) del regolamento) e omette di indicare le misure che si intende adottare per garantire un’adeguata sicurezza e protezione dei dati personali. (2)
– Non da ultimo, il mancato coinvolgimento del Garante ha eliminato per i cittadini un presidio forte di garanzia su un diritto costituzionale fondamentale.
Certamente sarà auspicabile in un intervento urgente e a breve, che possa colmare lacune ed anomalie, onde evitare conflitti istituzionali e cause giudiziarie, per questioni legate alla privacy.
La protezione dati è parte essenziale del rilancio del Paese, a partire dal Decreto-legge sul green pass.
Secondo Ginevra Cerrina Feroni, vice Presidente del Garante per la protezione dei dati personali ‘Tutto passa dalla regolazione dei dati, non solo di quelli personali. I dati sono il fulcro del nuovo mondo e della nuova civiltà. Ad esempio – e lo abbiamo segnalato al Governo – il successo o l’insuccesso delle politiche pubbliche e private basate sull’intelligenza artificiale dipenderà in larghissima misura dalle regole che governeranno la progettazione, lo sviluppo e l’uso degli algoritmi e dall’attività di regolamentazione, vigilanza e promozione della circolazione dei dati pubblici e privati, personali e non personali’. (3)
Per poter tornare a muoversi e a spostarsi liberamente in tutto il Continente sarà necessario avere un sistema unificato e sicuro, a prova di contraffazioni e non discriminatorio, che garantisca l’interoperabilità tra i diversi paesi e, non da ultimo, tuteli il rispetto della privacy.
Elena Bosani
1) Dal 1° luglio arriva il green pass digitale sull’App Io – Il Sole 24 ORE https://www.ilsole24ore.com/art/dal-1-luglio-arriva-green-pass-digitale-sull-app-io-AEVxrdL?refresh_ce=1
2) V. Gazzetta Ufficiale https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2021-05-03&atto.codiceRedazionale=21A02576&elenco30giorni=true&fbclid=IwAR2IYWcwP2vvUqtSP9K7BOu7CD4nb9c4I1ilMyzhPev6NhmdrWhPqezeyX0
3) V. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9580828
Avvocata in Milano e Francoforte sul Meno. Esperta in diritto di famiglia, minorile e penale, è ora iscritta a un master universitario in diritto alimentare