Il D.L. 22.04.2021 n. 52 (c.d. “Decreto Riaperture”) ha introdotte misure urgenti per contenere e contrastare l’emergenza epidemiologica da Covid-19 e ha approvato la creazione e la gestione dei cosiddetti “pass vaccinali”.
Su questa materia il Garante per la protezione dei dati personali ha emanato un avvertimento formale, in corso di pubblicazione sulla Gazzetta Ufficiale.
Il Garante osserva innanzitutto che il cd. decreto riaperture non garantisce una base normativa idonea per l’introduzione e l’utilizzo delle green card su scala nazionale, ed è gravemente incompleto in materia di protezione dei dati, privo di una valutazione dei possibili rischi su larga scala per i diritti e le libertà personali.
In contrasto con quanto previsto dal Regolamento UE in materia di protezione dei dati personali, il decreto non definisce con precisione le finalità per il trattamento dei dati sulla salute, lasciando spazio a molteplici e imprevedibili utilizzi futuri, in potenziale disallineamento anche con analoghe iniziative UE. Non viene specificato chi è il titolare del trattamento dei dati, in violazione del principio di trasparenza, rendendo così difficile se non impossibile l’esercizio dei diritti degli interessati: ad esempio, in caso di informazioni non corrette contenute nelle certificazioni verdi.
La norma prevede inoltre un utilizzo eccessivo di dati sui certificati da esibire in caso di controllo, in violazione del principio di minimizzazione. Non sono neppure previsti tempi di conservazione dei dati né misure adeguate per garantire la loro integrità e riservatezza.
Il Garante rimarca, infine, che queste citate e altre gravi criticità rilevate si sarebbero potute risolvere preventivamente e in tempi rapidissimi se, come previsto dalla normativa UE e nazionale, i soggetti coinvolti nella definizione del decreto legge avessero avviato la necessaria interlocuzione con l’Autorità, richiedendo il previsto parere, senza rinviare a successivi approfondimenti.
L’Autorità ha comunque offerto al Governo la propria collaborazione per affrontare e superare le criticità rilevate.
(Fonte: Sito del Garante Privacy)