Articoli
03/06/2021
IT and Data

Certificazione vaccinale, le importanti implicazioni privacy da non sottovalutare

Il seguente documento è stato pubblicato in data 3 giugno 2021 sulla rivista About Pharma and Medical Devices

 

L’attuale emergenza sanitaria derivante dalla diffusione del coronavirus (“Covid19”) ha indotto le autorità governative, nazionali e sovranazionali, ad adottare misure limitative di alcuni diritti e libertà fondamentali delle persone. In particolare, alcune delle restrizioni adottate dagli Stati membri dell’Unione europea (“UE”) per contenere la pandemia da Covid-19, hanno avuto ripercussioni sul diritto dei cittadini alla libera circolazione.

Tuttavia, la progressiva conoscenza del Covid-19, delle sue modalità di trasmissione, dell’efficacia delle misure terapeutiche per contrastare la malattia e, soprattutto, l’introduzione delle tante possibilità di profilassi vaccinale hanno reso possibile una riflessione sulle strategie di uscita da attuare per riportare, gradualmente, i cittadini ad una condizione di normalità.

In questo contesto, la Commissione Europea è intervenuta con una proposta di Regolamento “su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione durante la pandemia di Covid-19 (certificato verde digitale)”, ad oggi già adottata dal Parlamento Europeo (la “Proposta”) [1].

 

  1. Il “certificato verde digitale”

La Commissione evidenzia che, ai sensi dell’articolo 21 del trattato sul funzionamento dell’Unione europea, ogni cittadino dell’Unione ha il diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri dell’UE, fatte salve le limitazioni e le condizioni previste dai trattati e dalle disposizioni adottate in applicazione degli stessi.

Tuttavia, le misure adottate dagli Stati membri dell’UE per contenere la pandemia da Covid-19 spesso sono consistite in restrizioni all’ingresso o in altri requisiti specifici applicabili ai viaggiatori transfrontalieri, come l’obbligo di quarantena o di autoisolamento o di sottoporsi a un test per l’infezione da SARS-CoV-2 prima e/o dopo l’arrivo.

In tale contesto si inserisce la Proposta, con il fine di facilitare l’esercizio del diritto di circolare e di soggiornare liberamente nel territorio degli Stati membri e stabilire un quadro comune per il rilascio, la verifica e l’accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione dalla COVID-19, chiamato “certificato verde digitale”.

 

  1. Il certificato di vaccinazione

Come anticipato, il certificato verde digitale consente il rilascio, la verifica e l’accettazione transfrontaliere di uno qualunque dei seguenti certificati:

a) un certificato comprovante che al titolare è stato somministrato un vaccino anti COVID-19 nello Stato membro di rilascio del certificato (“certificato di vaccinazione”);

b) un certificato indicante il risultato per il titolare e la data di un test molecolare o di un test antigenico rapido, figurante nell’elenco comune e aggiornato dei test antigenici rapidi per la COVID-19 stabilito sulla base della raccomandazione 2021/C 24/01 del Consiglio[2] (“certificato di test”);

c) un certificato comprovante che il titolare risulta guarito da un’infezione da SARS-CoV-2 successivamente a un test molecolare positivo o un test antigenico rapido positivo, figurante nell’elenco comune e aggiornato dei test antigenici rapidi per la COVID-19 stabilito sulla base della raccomandazione 2021/C 24/01 (“certificato di guarigione”).

In particolare, la Proposta specifica che il certificato di vaccinazione dovrà contenere i seguenti dati personali:

(a) nome: cognome(-i) e nome(-i), in quest’ordine;
(b) data di nascita;
(c) malattia o agente in questione;
(d) vaccino/profilassi;
(e) medicinale vaccinale;
(f) titolare dell’autorizzazione all’immissione in commercio del vaccino o fabbricante del vaccino;
(g) numero in una serie di vaccinazioni/dosi;
(h) data di vaccinazione, indicante la data dell’ultima dose ricevuta;
(i) Stato membro di vaccinazione;
(j) soggetto che ha rilasciato il certificato;
(k) identificativo univoco del certificato.

Il tentativo intrapreso dall’UE con la Proposta è quello di rendere il certificato vaccinale e, più in generale, il certificato verde digitale uno strumento di promozione delle libertà, rispetto al quale occorre valutare l’impatto sulla protezione dei dati personali, assicurando sin da subito il rispetto dei principi di proporzionalità e non discriminazione, tanto più cogenti in quanto si è in presenza di dati – quelli sanitari – che esigono, per la loro sensibilità, un più ampio grado di tutela.

 

  1. Quali implicazioni sulla protezione dei dati personali?

Pare opportuno rammentare, infatti, che il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (il “GDPR”) si applica al trattamento dei dati personali effettuato nel quadro della Proposta.

Ebbene, con riferimento al trattamento dei dati personali effettuato al fine del rilascio dei certificati in questione, la Proposta fornisce la base giuridica per il trattamento dei dati personali necessari per rilasciare tali certificati e per il trattamento delle informazioni necessarie per comprovare e verificare l’autenticità e la validità di tali certificati.

A tale riguardo, il Considerando 37 della Proposta individua la base giuridica per il trattamento dei dati personali ai sensi dell’articolo 6, paragrafo 1, lettera c) del GDPR (i.e., trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento), e dell’articolo 9, paragrafo 2, lettera g) del GDPR (i.e., il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato), in quanto necessario per il rilascio e la verifica dei certificati interoperabili previsti dalla Proposta. [3]

La Commissione specifica, inoltre, che secondo il principio della minimizzazione, è opportuno che i certificati contengano soltanto i dati personali necessari per agevolare l’esercizio del diritto di libera circolazione all’interno dell’Unione durante la pandemia di Covid-19, evidenziando la necessità di stabilire le specifiche categorie di dati personali e i campi di dati da inserire nei certificati, con un sistema di verifica decentrato, che non importi la conservazione delle risultanze dell’accertamento, e limitato al permanere della condizione di emergenza come dichiarata dall’Oms. La Commissione, infatti, chiarisce che la Proposta non crea una base giuridica che autorizzi lo Stato membro di destinazione, o gli operatori di servizi di trasporto passeggeri transfrontalieri tenuti, a norma del diritto nazionale, ad attuare determinate misure di sanità pubblica durante la pandemia di COVID-19, a conservare i dati personali ottenuti dal certificato.

In particolare, al fine di consentire il rilascio e la verifica sicuri dei certificati, ai sensi dell’art. 4 della Proposta, la Commissione e gli Stati membri dovranno istituire e mantenere un’infrastruttura digitale del quadro di fiducia (c.d. “trust framework”). Tale quadro di fiducia garantirà, ove possibile, l’interoperabilità con i sistemi tecnologici istituiti a livello internazionale.

I dati personali, inoltre, potranno essere trasmessi o scambiati a livello transfrontaliero con il solo scopo di ottenere le informazioni necessarie per comprovare e verificare lo stato di vaccinazione, test o guarigione del titolare.

Infine, la Proposta prevede che le autorità competenti per il rilascio dei certificati in questione sono considerate titolari del trattamento ai sensi dell’articolo 4, punto 7, del GDPR.

 

  1. Il parere congiunto EDPS/EDPB

Con un parere congiunto (04/2021 del 31 marzo)[4], l’European Data Protection Board (l’“EDPB”) e l’European Data Protection Supervisor (l’“EDPS”) hanno suggerito alcuni significativi interventi che di seguito si illustreranno:

  • anzitutto, per evitare discriminazioni fondate sulla condizione sanitaria della persona si chiede di chiarire l’obbligo per gli Stati membri di accettare tutte e tre le tipologie di certificati verdi digitali – ivi incluso il certificato vaccinale – nonché l’illiceità di ogni uso del certificato verde suscettibile di determinare, anche solo de facto, un trattamento in tal senso discriminatorio o comunque sproporzionato rispetto al fine perseguito;
  • si sottolinea l’esigenza che le norme nazionali che eventualmente legittimino usi ulteriori del certificato verde digitale circoscrivano in maniera puntuale l’ambito e gli scopi del trattamento [5];
  • si richiede poi che la norma europea definisca meglio lo scopo del certificato verde digitale e introduca un meccanismo per il monitoraggio del suo utilizzo da parte degli Stati Membri oltre all’introduzione di adeguate misure tecniche e organizzative contro la falsificazione dei certificati e ogni altro tipo di abuso, soprattutto riguardo ai dati appartenenti a categorie “particolari” [6] e a quelli soggetti a decisioni automatizzate;
  • si richiede inoltre di precisare ulteriormente, anche con una specifica sunset-clause, l’illegittimità dell’accesso ai dati contenuti nei certificati una volta cessata l’emergenza pandemica e di escludere, che con atto delegato della Commissione il sistema del certificato verde digitale possa essere riattivato a seguito di sospensione per cessate esigenze, in presenza di un’ulteriore dichiarazione di sussistenza di pandemia da Sars-Cov-2, sue varianti o malattie infettive simili con potenziale epidemico;
  • si chiede di chiarire se sia subordinata all’istanza di parte la creazione di per sé del certificato o soltanto il suo rilascio e, per escludere effetti discriminatori, si suggerisce di obbligare gli Stati, con una dizione normativa rafforzata rispetto all’attuale, a rilasciare il certificato in forma cartacea oltre che digitale, nonché di limitare, ove tecnicamente possibile, le tecniche di verifica a quelle che non implichino trasmissione di dati personali;
  • quanto alle categorie di dati utilizzate, si chiede di motivare meglio, nel preambolo, le ragioni che rendano necessaria la raccolta di informazioni di dettaglio quali ad esempio il prodotto vaccinale utilizzato, il titolare dell’autorizzazione all’immissione in commercio del vaccino o il produttore e il numero delle vaccinazioni o delle dosi vaccinali somministrate, precisando che le modifiche suscettibili di essere apportate con atti delegati della Commissione debbano limitarsi ad operare all’interno delle sottocategorie del catalogo di dati previsto in allegato;
  • si ritiene inoltre preferibile demandare ad atto esecutivo della Commissione l’individuazione dei soli dettagli tecnici delle misure per la sicurezza del trattamento, indicando già in proposta, innalzandone così la fonte, l’obbligo per titolari e responsabili di adottare misure tecniche e organizzative adeguate al rischio implicato dal trattamento;
  • analogamente, a fronte della possibilità rimessa alla Commissione di introdurre, con proprio atto esecutivo, specificazioni sul rapporto tra titolari e responsabili del trattamento ai fini della ripartizione delle relative responsabilità, si auspica che gli Stati membri rendano pubblica una lista dei soggetti coinvolti nel trattamento, al fine di consentire l’effettività dell’esercizio dei diritti da parte degli interessati, nel rispetto del principio di trasparenza;
  • si auspica inoltre una più puntuale definizione dei periodi massimi di conservazione dei dati funzionali al rilascio del pass, o in subordine i criteri in base ai quali definirli, comunque non oltrepassando la fine della pandemia;
  • si suggerisce infine di precisare meglio le condizioni di legittimità e le garanzie per il trasferimento dei dati all’estero, assicurandone l’utilizzo esclusivamente per i fini sanciti dalla Proposta.

Si tratta di osservazioni volte a un complessivo, ulteriore perfezionamento di proposte che, tuttavia, sottendono già un adeguamento bilanciamento tra protezione dei dati personali, esigenze di sanità pubblica e libertà di circolazione dimostrando, ancora una volta, come la disciplina di protezione dati rappresenti un presupposto, sempre più rilevante, per un governo sostenibile dell’innovazione tanto quanto dell’emergenza.

 

  1. L’intervento del Garante Privacy

Sul tema dei certificati vaccinali e delle relative implicazioni privacy si è espressa anche l’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”). Il Garante Privacy evidenzia come i dati relativi allo stato vaccinale siano dati particolarmente delicati e un loro trattamento non corretto possa determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone. Tali conseguenze, nel caso dell’implementazione di soluzioni, anche digitali (es. app), per rispondere all’esigenza di rendere l’informazione sull’essersi o meno vaccinati come condizione per l’accesso a determinati locali o per la fruizione di taluni servizi (es. aeroporti, hotel, stazioni, palestre ecc.) possono tradursi in discriminazioni, violazioni e compressioni illegittime di libertà costituzionali.

A tale proposito, nel caso si intenda far ricorso alle predette soluzioni, il Garante per la privacy richiama l’attenzione dei decisori pubblici e degli operatori privati italiani sull’obbligo di rispettare la disciplina in materia di protezione dei dati personali.

Il Garante Privacy ritiene, pertanto, che il trattamento dei dati relativi allo stato vaccinale dei cittadini a fini di accesso a determinati locali o di fruizione di determinati servizi, debba essere oggetto di una norma di legge nazionale, conforme ai principi in materia di protezione dei dati personali (in particolare, quelli di proporzionalità, limitazione delle finalità e di minimizzazione dei dati).

In assenza di tale eventuale base giuridica normativa l’utilizzo in qualsiasi forma, da parte di soggetti pubblici e di soggetti privati fornitori di servizi destinati al pubblico, di app e pass destinati a distinguere i cittadini vaccinati dai cittadini non vaccinati, a parere del Garante Privacy, sarebbe da considerarsi illegittimo.

In questo contesto si inserisce il Decreto Legge del 22 aprile 2021, n. 52 (c.d. Decreto Riaperture), il quale prevede l’introduzione, sul territorio nazionale, delle cosiddette “certificazioni verdi Covid-19”, comprovanti lo stato di avvenuta vaccinazione contro il SARS-CoV-2 o la guarigione dall’infezione o l’effettuazione di un test molecolare o antigenico rapido con risultato negativo.

In particolare, si prevede che le certificazioni di vaccinazione e quelle di avvenuta guarigione avranno una validità di sei mesi, quella relativa al test risultato negativo sarà valida per 48 ore. Le certificazioni rilasciate negli Stati membri dell’Unione europea saranno riconosciute come equivalenti, così come quelle rilasciate in uno Stato terzo a seguito di una vaccinazione riconosciuta nell’Unione europea.

Tuttavia, come anche ribadito dal Garante Privacy, dal testo del Decreto Riaperture si deduce che la questione privacy verrà trattata in un DPCM successivo, dal momento che il decreto si limita a stabilire la necessità del pass e a definirne gli spazi applicativi, ma non l’impostazione sotto il profilo della privacy.

A detta del Garante Privacy, tuttavia, “è difficile discutere di proporzionalità dei dati trattati, di misure di sicurezza, o di tempi di conservazione rispetto a un decreto-legge che, al momento, manca di qualsiasi esercizio di disciplina in relazione a questi aspetti” [7]. In altri termini, vi sono una serie di nodi cruciali dal punto di vista privacy che andrebbero discussi e valutati prima di cominciare ad utilizzare il certificato.

 

  1. Conclusioni

In conclusione, pare evidente come la protezione dei dati non costituisca un ostacolo per combattere la pandemia da Covid-19, né tantomeno per implementare soluzioni come il certificato vaccinale e, più in generale, il certificato verde digitale.

Si rende necessario, tuttavia, prevedere soluzioni pienamente in linea con la legislazione europea sulla protezione dei dati personali non solo per la certezza del diritto, ma anche per evitare che la proposta abbia l’effetto di compromettere direttamente o indirettamente il diritto fondamentale alla protezione dei dati personali.

In questo senso, sarebbe auspicabile che la normativa europea garantisca un giusto equilibrio tra gli obiettivi di interesse generale perseguiti dal certificato verde digitale e l’interesse individuale all’autodeterminazione, così come il rispetto dei diritti fondamentali alla privacy, alla protezione dei dati e alla non discriminazione, e di altre libertà fondamentali come la libertà di movimento e di residenza.

Allo stesso tempo, l’esigenza di garantire il rispetto dei principi fondamentali di accuratezza, necessità e proporzionalità nel trattamento dei dati, e di attenuare i rischi per i diritti fondamentali degli interessati, compresi i rischi di ulteriori (non normati) utilizzi del certificato verde digitale, nonché di discriminazione diretta e/o indiretta, richiede che il trattamento dei dati contenuti nei certificati vaccinali per fini ulteriori rispetto a quello di garantire la libera circolazione delle persone sia oggetto di una specifica norma di legge nazionale, conforme ai principi in materia di protezione dei dati personali, al fine di realizzare un equo bilanciamento tra l’interesse pubblico che si intende perseguire e l’interesse individuale alla riservatezza.

Per dirla con il Garante Privacy, “tutti quanti vogliamo e speriamo di poterci tornare a muovere presto, però non vogliamo neanche che il prezzo da pagare per tornare a muoverci sia una sostanziale espropriazione della privacy”. [8]

 

l contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Ilaria Todaro e Claudia Colamonaco.

 

 

[1] La proposta di Regolamento del Parlamento Europeo e del Consiglio è disponibile al seguente link: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0130
[2] Raccomandazione del Consiglio relativa a un quadro comune per l’uso e la convalida dei test antigenici rapidi e il riconoscimento reciproco dei risultati dei test per la COVID-19 nell’UE 2021/C 24/01 (GU C 24 del 22.1.2021, pag. 1).
[3] La Proposta non disciplina, infatti, il trattamento dei dati personali relativi alla documentazione di una vaccinazione, di un test o di una guarigione per altri fini, ad esempio a fini di farmacovigilanza o per la conservazione di cartelle cliniche individuali. La base giuridica del trattamento ad altri fini dovrà, pertanto, essere stabilita dalle legislazioni nazionali, che devono essere conformi alla normativa dell’Unione in materia di protezione di dati.
[4] Il testo del parere congiunto è disponibile al seguente link: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_edps_joint_opinion_dgc_en.pdf
[5] A parere dei due board, in effetti, l’estensione dell’applicazione del certificato verde digitale ad altre situazioni per allentare le restrizioni attualmente in vigore è già stata suggerita e gli Stati membri potrebbero prevedere di introdurlo come requisito de facto, ad esempio per entrare in negozi, ristoranti, club, luoghi di culto o palestre o per utilizzarlo in qualsiasi altro contesto come quello lavorativo. Qualsiasi ulteriore uso del certificato verde digitale e del suo quadro, determinato in base ad una legge nazionale non dovrebbe provocare una discriminazione basata sull’essere stati (o non essere stati) vaccinati o guariti dal Covid-19. Per questo motivo, i due organi sottolineano che ogni eventuale ulteriore utilizzo del certificato verde digitale e dei dati personali ad esso correlati a livello di Stati membri deve essere conforme al GDPR. Ciò implicherebbe la necessità di una base giuridica adeguata nel diritto degli Stati membri, che rispetti i principi di efficacia, necessità, proporzionalità e che includa garanzie forti e specifiche attuate a seguito di un’adeguata valutazione d’impatto, in particolare per evitare qualsiasi rischio di discriminazione e per vietare qualsiasi conservazione dei dati nel contesto del processo di verifica.
[6] I dati appartenenti a categorie particolari sono quelli di cui all’art. 9, comma 1, del GDPR, vale a dire, i “dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
[7] Così si è espresso Guido Scorza, Componente del Garante per la protezione dei dati personali in un’intervista per Open online, 22 aprile 2021.
[8] Ibidem.

Ricevi i nostri aggiornamenti