Il seguente documento è stato pubblicato in data 3 giugno 2021 sulla rivista About Pharma and Medical Devices.
L’attuale emergenza sanitaria derivante dalla diffusione del coronavirus (“Covid‑19”) ha indotto le autorità governative, nazionali e sovranazionali, ad adottare misure limitative di alcuni diritti e libertà fondamentali delle persone. In particolare, alcune delle restrizioni adottate dagli Stati membri dell’Unione europea (“UE”) per contenere la pandemia da Covid-19, hanno avuto ripercussioni sul diritto dei cittadini alla libera circolazione.
Tuttavia, la progressiva conoscenza del Covid-19, delle sue modalità di trasmissione, dell’efficacia delle misure terapeutiche per contrastare la malattia e, soprattutto, l’introduzione delle tante possibilità di profilassi vaccinale hanno reso possibile una riflessione sulle strategie di uscita da attuare per riportare, gradualmente, i cittadini ad una condizione di normalità.
In questo contesto, la Commissione Europea è intervenuta con una proposta di Regolamento “su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione durante la pandemia di Covid-19 (certificato verde digitale)”, ad oggi già adottata dal Parlamento Europeo (la “Proposta”) [1].
La Commissione evidenzia che, ai sensi dell'articolo 21 del trattato sul funzionamento dell'Unione europea, ogni cittadino dell'Unione ha il diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri dell'UE, fatte salve le limitazioni e le condizioni previste dai trattati e dalle disposizioni adottate in applicazione degli stessi.
Tuttavia, le misure adottate dagli Stati membri dell’UE per contenere la pandemia da Covid-19 spesso sono consistite in restrizioni all'ingresso o in altri requisiti specifici applicabili ai viaggiatori transfrontalieri, come l'obbligo di quarantena o di autoisolamento o di sottoporsi a un test per l'infezione da SARS-CoV-2 prima e/o dopo l'arrivo.
In tale contesto si inserisce la Proposta, con il fine di facilitare l'esercizio del diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri e stabilire un quadro comune per il rilascio, la verifica e l'accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione dalla COVID-19, chiamato “certificato verde digitale”.
Come anticipato, il certificato verde digitale consente il rilascio, la verifica e l'accettazione transfrontaliere di uno qualunque dei seguenti certificati:
a) un certificato comprovante che al titolare è stato somministrato un vaccino anti COVID-19 nello Stato membro di rilascio del certificato (“certificato di vaccinazione”);
b) un certificato indicante il risultato per il titolare e la data di un test molecolare o di un test antigenico rapido, figurante nell'elenco comune e aggiornato dei test antigenici rapidi per la COVID-19 stabilito sulla base della raccomandazione 2021/C 24/01 del Consiglio[2] ("certificato di test");
c) un certificato comprovante che il titolare risulta guarito da un'infezione da SARS-CoV-2 successivamente a un test molecolare positivo o un test antigenico rapido positivo, figurante nell'elenco comune e aggiornato dei test antigenici rapidi per la COVID-19 stabilito sulla base della raccomandazione 2021/C 24/01 (“certificato di guarigione”).
In particolare, la Proposta specifica che il certificato di vaccinazione dovrà contenere i seguenti dati personali:
(a) nome: cognome(-i) e nome(-i), in quest'ordine;
(b) data di nascita;
(c) malattia o agente in questione;
(d) vaccino/profilassi;
(e) medicinale vaccinale;
(f) titolare dell'autorizzazione all'immissione in commercio del vaccino o fabbricante del vaccino;
(g) numero in una serie di vaccinazioni/dosi;
(h) data di vaccinazione, indicante la data dell'ultima dose ricevuta;
(i) Stato membro di vaccinazione;
(j) soggetto che ha rilasciato il certificato;
(k) identificativo univoco del certificato.
Il tentativo intrapreso dall’UE con la Proposta è quello di rendere il certificato vaccinale e, più in generale, il certificato verde digitale uno strumento di promozione delle libertà, rispetto al quale occorre valutare l’impatto sulla protezione dei dati personali, assicurando sin da subito il rispetto dei principi di proporzionalità e non discriminazione, tanto più cogenti in quanto si è in presenza di dati – quelli sanitari – che esigono, per la loro sensibilità, un più ampio grado di tutela.
Pare opportuno rammentare, infatti, che il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (il “GDPR”) si applica al trattamento dei dati personali effettuato nel quadro della Proposta.
Ebbene, con riferimento al trattamento dei dati personali effettuato al fine del rilascio dei certificati in questione, la Proposta fornisce la base giuridica per il trattamento dei dati personali necessari per rilasciare tali certificati e per il trattamento delle informazioni necessarie per comprovare e verificare l'autenticità e la validità di tali certificati.
A tale riguardo, il Considerando 37 della Proposta individua la base giuridica per il trattamento dei dati personali ai sensi dell'articolo 6, paragrafo 1, lettera c) del GDPR (i.e., trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento), e dell'articolo 9, paragrafo 2, lettera g) del GDPR (i.e., il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato), in quanto necessario per il rilascio e la verifica dei certificati interoperabili previsti dalla Proposta. [3]
La Commissione specifica, inoltre, che secondo il principio della minimizzazione, è opportuno che i certificati contengano soltanto i dati personali necessari per agevolare l'esercizio del diritto di libera circolazione all'interno dell'Unione durante la pandemia di Covid-19, evidenziando la necessità di stabilire le specifiche categorie di dati personali e i campi di dati da inserire nei certificati, con un sistema di verifica decentrato, che non importi la conservazione delle risultanze dell’accertamento, e limitato al permanere della condizione di emergenza come dichiarata dall’Oms. La Commissione, infatti, chiarisce che la Proposta non crea una base giuridica che autorizzi lo Stato membro di destinazione, o gli operatori di servizi di trasporto passeggeri transfrontalieri tenuti, a norma del diritto nazionale, ad attuare determinate misure di sanità pubblica durante la pandemia di COVID-19, a conservare i dati personali ottenuti dal certificato.
In particolare, al fine di consentire il rilascio e la verifica sicuri dei certificati, ai sensi dell’art. 4 della Proposta, la Commissione e gli Stati membri dovranno istituire e mantenere un'infrastruttura digitale del quadro di fiducia (c.d. “trust framework”). Tale quadro di fiducia garantirà, ove possibile, l'interoperabilità con i sistemi tecnologici istituiti a livello internazionale.
I dati personali, inoltre, potranno essere trasmessi o scambiati a livello transfrontaliero con il solo scopo di ottenere le informazioni necessarie per comprovare e verificare lo stato di vaccinazione, test o guarigione del titolare.
Infine, la Proposta prevede che le autorità competenti per il rilascio dei certificati in questione sono considerate titolari del trattamento ai sensi dell'articolo 4, punto 7, del GDPR.
Con un parere congiunto (04/2021 del 31 marzo)[4], l’European Data Protection Board (l’“EDPB”) e l’European Data Protection Supervisor (l’“EDPS”) hanno suggerito alcuni significativi interventi che di seguito si illustreranno:
Si tratta di osservazioni volte a un complessivo, ulteriore perfezionamento di proposte che, tuttavia, sottendono già un adeguamento bilanciamento tra protezione dei dati personali, esigenze di sanità pubblica e libertà di circolazione dimostrando, ancora una volta, come la disciplina di protezione dati rappresenti un presupposto, sempre più rilevante, per un governo sostenibile dell’innovazione tanto quanto dell’emergenza.
Sul tema dei certificati vaccinali e delle relative implicazioni privacy si è espressa anche l’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”). Il Garante Privacy evidenzia come i dati relativi allo stato vaccinale siano dati particolarmente delicati e un loro trattamento non corretto possa determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone. Tali conseguenze, nel caso dell’implementazione di soluzioni, anche digitali (es. app), per rispondere all’esigenza di rendere l’informazione sull’essersi o meno vaccinati come condizione per l’accesso a determinati locali o per la fruizione di taluni servizi (es. aeroporti, hotel, stazioni, palestre ecc.) possono tradursi in discriminazioni, violazioni e compressioni illegittime di libertà costituzionali.
A tale proposito, nel caso si intenda far ricorso alle predette soluzioni, il Garante per la privacy richiama l’attenzione dei decisori pubblici e degli operatori privati italiani sull’obbligo di rispettare la disciplina in materia di protezione dei dati personali.
Il Garante Privacy ritiene, pertanto, che il trattamento dei dati relativi allo stato vaccinale dei cittadini a fini di accesso a determinati locali o di fruizione di determinati servizi, debba essere oggetto di una norma di legge nazionale, conforme ai principi in materia di protezione dei dati personali (in particolare, quelli di proporzionalità, limitazione delle finalità e di minimizzazione dei dati).
In assenza di tale eventuale base giuridica normativa l’utilizzo in qualsiasi forma, da parte di soggetti pubblici e di soggetti privati fornitori di servizi destinati al pubblico, di app e pass destinati a distinguere i cittadini vaccinati dai cittadini non vaccinati, a parere del Garante Privacy, sarebbe da considerarsi illegittimo.
In questo contesto si inserisce il Decreto Legge del 22 aprile 2021, n. 52 (c.d. Decreto Riaperture), il quale prevede l’introduzione, sul territorio nazionale, delle cosiddette “certificazioni verdi Covid-19”, comprovanti lo stato di avvenuta vaccinazione contro il SARS-CoV-2 o la guarigione dall’infezione o l’effettuazione di un test molecolare o antigenico rapido con risultato negativo.
In particolare, si prevede che le certificazioni di vaccinazione e quelle di avvenuta guarigione avranno una validità di sei mesi, quella relativa al test risultato negativo sarà valida per 48 ore. Le certificazioni rilasciate negli Stati membri dell’Unione europea saranno riconosciute come equivalenti, così come quelle rilasciate in uno Stato terzo a seguito di una vaccinazione riconosciuta nell’Unione europea.
Tuttavia, come anche ribadito dal Garante Privacy, dal testo del Decreto Riaperture si deduce che la questione privacy verrà trattata in un DPCM successivo, dal momento che il decreto si limita a stabilire la necessità del pass e a definirne gli spazi applicativi, ma non l’impostazione sotto il profilo della privacy.
A detta del Garante Privacy, tuttavia, “è difficile discutere di proporzionalità dei dati trattati, di misure di sicurezza, o di tempi di conservazione rispetto a un decreto-legge che, al momento, manca di qualsiasi esercizio di disciplina in relazione a questi aspetti" [7]. In altri termini, vi sono una serie di nodi cruciali dal punto di vista privacy che andrebbero discussi e valutati prima di cominciare ad utilizzare il certificato.
In conclusione, pare evidente come la protezione dei dati non costituisca un ostacolo per combattere la pandemia da Covid-19, né tantomeno per implementare soluzioni come il certificato vaccinale e, più in generale, il certificato verde digitale.
Si rende necessario, tuttavia, prevedere soluzioni pienamente in linea con la legislazione europea sulla protezione dei dati personali non solo per la certezza del diritto, ma anche per evitare che la proposta abbia l'effetto di compromettere direttamente o indirettamente il diritto fondamentale alla protezione dei dati personali.
In questo senso, sarebbe auspicabile che la normativa europea garantisca un giusto equilibrio tra gli obiettivi di interesse generale perseguiti dal certificato verde digitale e l'interesse individuale all'autodeterminazione, così come il rispetto dei diritti fondamentali alla privacy, alla protezione dei dati e alla non discriminazione, e di altre libertà fondamentali come la libertà di movimento e di residenza.
Allo stesso tempo, l’esigenza di garantire il rispetto dei principi fondamentali di accuratezza, necessità e proporzionalità nel trattamento dei dati, e di attenuare i rischi per i diritti fondamentali degli interessati, compresi i rischi di ulteriori (non normati) utilizzi del certificato verde digitale, nonché di discriminazione diretta e/o indiretta, richiede che il trattamento dei dati contenuti nei certificati vaccinali per fini ulteriori rispetto a quello di garantire la libera circolazione delle persone sia oggetto di una specifica norma di legge nazionale, conforme ai principi in materia di protezione dei dati personali, al fine di realizzare un equo bilanciamento tra l’interesse pubblico che si intende perseguire e l’interesse individuale alla riservatezza.
Per dirla con il Garante Privacy, “tutti quanti vogliamo e speriamo di poterci tornare a muovere presto, però non vogliamo neanche che il prezzo da pagare per tornare a muoverci sia una sostanziale espropriazione della privacy”. [8]
l contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Ilaria Todaro e Claudia Colamonaco.
[1] La proposta di Regolamento del Parlamento Europeo e del Consiglio è disponibile al seguente link: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0130
[2] Raccomandazione del Consiglio relativa a un quadro comune per l'uso e la convalida dei test antigenici rapidi e il riconoscimento reciproco dei risultati dei test per la COVID-19 nell'UE 2021/C 24/01 (GU C 24 del 22.1.2021, pag. 1).
[3] La Proposta non disciplina, infatti, il trattamento dei dati personali relativi alla documentazione di una vaccinazione, di un test o di una guarigione per altri fini, ad esempio a fini di farmacovigilanza o per la conservazione di cartelle cliniche individuali. La base giuridica del trattamento ad altri fini dovrà, pertanto, essere stabilita dalle legislazioni nazionali, che devono essere conformi alla normativa dell'Unione in materia di protezione di dati.
[4] Il testo del parere congiunto è disponibile al seguente link: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_edps_joint_opinion_dgc_en.pdf
[5] A parere dei due board, in effetti, l'estensione dell'applicazione del certificato verde digitale ad altre situazioni per allentare le restrizioni attualmente in vigore è già stata suggerita e gli Stati membri potrebbero prevedere di introdurlo come requisito de facto, ad esempio per entrare in negozi, ristoranti, club, luoghi di culto o palestre o per utilizzarlo in qualsiasi altro contesto come quello lavorativo. Qualsiasi ulteriore uso del certificato verde digitale e del suo quadro, determinato in base ad una legge nazionale non dovrebbe provocare una discriminazione basata sull'essere stati (o non essere stati) vaccinati o guariti dal Covid-19. Per questo motivo, i due organi sottolineano che ogni eventuale ulteriore utilizzo del certificato verde digitale e dei dati personali ad esso correlati a livello di Stati membri deve essere conforme al GDPR. Ciò implicherebbe la necessità di una base giuridica adeguata nel diritto degli Stati membri, che rispetti i principi di efficacia, necessità, proporzionalità e che includa garanzie forti e specifiche attuate a seguito di un'adeguata valutazione d'impatto, in particolare per evitare qualsiasi rischio di discriminazione e per vietare qualsiasi conservazione dei dati nel contesto del processo di verifica.
[6] I dati appartenenti a categorie particolari sono quelli di cui all’art. 9, comma 1, del GDPR, vale a dire, i “dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”.
[7] Così si è espresso Guido Scorza, Componente del Garante per la protezione dei dati personali in un’intervista per Open online, 22 aprile 2021.
[8] Ibidem.