È del 20 aprile l’annuncio del governatore dell’Alto Adige relativo al c.d. green pass altoatesino. Tramite un’applicazione per gli smartphone, attraverso scansione di un codice QR che permetterà di evincere se il consumatore “sia o meno immune”, si avrà accesso in determinati luoghi. E la privacy? “La privacy è garantita perché il ristoratore vede solo che il cliente è immune e non se è guarito, vaccinato oppure semplicemente testato” così ha risposto testualmente l’Hauptmann altoatesino (fonte Ansa).
Dopo l’annuncio, la misura è stata disciplinata con ordinanza provinciale contingibile e urgente n. 20 del 23.04.2021, entrata poi in vigore il 26 aprile. Ciò nonostante il 23 aprile l’autorità garante avesse già avvertito formalmente il Governo delle gravi criticità per i c.d. pass vaccinali per come disciplinati nel “decreto riaperture”. Era, quindi, inevitabile che l’Autorità Garante attenzionasse il progetto altoatesino, così come effettivamente comunicato in data 30 aprile 2021. In merito all’apertura dell’istruttoria, è notizia di oggi che il governatore altoatesino abbia dichiarato: “Dovere del Garante. Abbiamo 10 giorni per dare tutte le informazioni e siamo disponibili ad adottare altre misure per garantire la massima riservatezza”.
Orbene, appare quanto mai evidente che gli organi politici – nel legiferare su green pass o corona pass – abbiamo omesso di consultare preventivamente l’autorità di controllo così come previsto dall’articolo 36 GDPR, comma 4. A parte le dichiarazioni politiche, volte probabilmente a rassicurare i cittadini, bisogna ricordare che la mancata consultazione dell’autorità garante sarebbe di per sé passibile di una sanzione di dieci milioni di euro (art. 83, § 4, lett. a). Evitando facili proclami, anche solo tale sanzione di per sé avrebbe dovuto indurre il Legislatore – anche altoatesino – a farlo.
Inoltre, sia il decreto nazionale così come l’ordinanza provinciale avrebbero dovuto specificare con maggior precisione le finalità perseguite ed ancora, in ossequio al principio di trasparenza, avrebbero dovuto indicare, tra le tante altre cose, la titolarità del trattamento; quest’ultimo aspetto per permettere agli interessati di esercitare i diritti in materia di protezione dei dati personali (art. 15 e ss GDPR).
(Nella foto: l’Avv. Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano)
Appare, poi, utile rammentare che l’articolo 35 GDPR imponga al titolare del trattamento di effettuare la valutazione d’impatto dei trattamenti sulla protezione dei dati personali prima di procedere al trattamento e non cammin facendo. Viceversa, anche in base a quanto dichiarato dalle autorità politiche, pare evidente che in questa vicenda l’iter sia stato esattamente l’opposto. Ai proclami sono seguiti gli atti legislativi e, solo dopo gli atti formali del Garante, ci si stia preoccupando concretamente delle opportune valutazioni così come delle relative misure di sicurezza.
A tal proposito, in merito al certificato vaccinale europeo, il Comitato europeo per la protezione dei dati (EDPB) e l’European Data Protection Supervisor (EDPS), nel parere congiunto reso il giorno 31 marzo 2021 (EDPB-EDPS Joint Opinion 04/2021) hanno rilevato quanto sia importante valutare l’impatto sui diritti fondamentali degli interessati, essendoci il concreto pericolo di discriminazione nell’uso dei certificati di vaccinazione così come le misure di sicurezza debbono essere idonee alla pericolosità del trattamento ed ai rischi connessi (pensiamo solo alla possibilità di falsificazione del certificato).
Lo stesso parere, tra l’altro, ricorda che anche i tempi di conservazione dovrebbero essere definiti in modo esplicito dal provvedimento legislativo europeo e, di converso, sarebbe stato necessario anche nei testi di legge nazionali e provinciali (§§ 16,17 e 54).
Questi menzionati sono solo alcuni dei temi affrontati nell’Opinion sopra citata e, molto probabilmente, dei temi che verranno approfonditi dall’Autorità Garante nel corso dell’istruttoria in corso nei confronti della Provincia Autonoma dell’Alto Adige.
Un noto esponente sindacale, l’anno scorso di questi tempi, affermò che bisogna ripartire con intelligenza. In questo senso, il green pass ovvero il corona pass appaiono l’ennesima occasione persa.
Fonte: Avv. Domenico Battaglia, Delegato Federprivacy nella provincia di Bolzano