Certificato vaccinale, tutti i fronti critici privacy: ecco le richieste dei Garanti europei - Cyber Security 360

L'approfondimento

Certificato vaccinale, tutti i fronti critici privacy: ecco le richieste dei Garanti europei

La proposta del legislatore europeo relativa ai cosiddetti certificati vaccinali ha spinto le autorità Garanti per la privacy a chiedere di approfondire la natura dei trattamenti della grande quantità di dati richiesti: vediamo nel dettaglio la situazione

09 Apr 2021
M
Francesco Maldera

Data Protection Officer e Data Specialist

La natura e la quantità dei dati personali contenuti nelle diverse tipologie di certificati vaccinali ha indotto le autorità Garanti per i dati personali a ritenere che il legislatore europeo debba modificare la proposta affinché specifichi meglio la necessità di trattare i dati stessi per garantire la finalità prevista ovvero la libera circolazione tra stati. In particolare, risulta opportuno riflettere sulla riduzione dei dati anche per evitare che possano inferirsi dati personali ulteriori rispetto a quelli contenuti nel certificato stesso.

L’esempio riportato dalle autorità per i dati personali riguarda la data di vaccinazione collegata all’età del cittadino: se la data di vaccinazione è precedente a quella ordinariamente prevista per la categoria di età in cui ricade il cittadino, potrebbe essere possibile inferire che il cittadino stesso sia affetto da altre patologie con conseguenze lesive dei diritti e delle libertà.

Trattamento dati nei certificati vaccinali: il contesto

La perdurante emergenza sanitaria dovuta alla pandemia di coronavirus ha indotto le autorità governative, nazionali e sovranazionali, a limitare fortemente alcuni diritti e libertà fondamentali delle persone. Tuttavia, la progressiva conoscenza del Covid-19, delle sue modalità di trasmissione ed individuazione, dell’efficacia delle terapie per contrastare la malattia e, soprattutto, l’introduzione delle tante possibilità di profilassi vaccinale hanno reso possibile una riflessione sulle exit‑strategy da praticare per riportare, gradualmente, i cittadini ad una condizione di normalità giuridica.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

In questo contesto, l’Unione Europea si è mossa con una proposta di regolamento “su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione durante la pandemia di Covid-19 (certificato verde digitale)”.

L’UE vuole, quindi, realizzare quello che è noto come certificato vaccinale. Conviene precisare subito che la proposta, sebbene lodevole ed opportuna, si colloca in un quadro in fortissima evoluzione, considerando l’efficacia vaccinale, la provenienza dei vaccini, nuove possibili terapie, coordinamento della profilassi tra gli Stati Membri, e, pertanto, risente di alcune approssimazioni che potranno essere sciolte solo quando, come previsto dall’art. 8 della proposta, la Commissione UE adotterà gli atti di esecuzione per concretizzare l’iniziativa.

Gli obiettivi del certificato vaccinale

Quella che è certa è la finalità del cosiddetto certificato vaccinale: nell’intenzione del legislatore europeo il certificato ha la sola finalità di “agevolare l’esercizio del diritto di libera circolazione durante la pandemia di Covid-19 da parte dei loro titolari” (art. 1).

L’Unione Europea, come di consueto, ha voluto estendere tale finalità anche alla libera circolazione delle persone fisiche che non possiedono cittadinanza in uno dei paesi membri proponendo un analogo regolamento “su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione per i cittadini di paesi terzi regolarmente soggiornanti o regolarmente residenti nel territorio degli Stati membri durante la pandemia di Covid-19 (certificato verde digitale)”.

Tutti i soggetti residenti nella UE, dunque, avranno diritto, quando il quadro normativo sarà completato, al certificato vaccinale.

L’esatta definizione della finalità riveste particolare importanza con riferimento al rispetto dei princìpi che caratterizzano la protezione dei dati personali nello spazio unionale per il quale, nel caso specifico, è stato richiesto il parere congiunto del Comitato Europeo per la Protezione dei Dati Personali (EDPB) e del Garante Europeo per la Protezione dei Dati Personali (EDPS) (d’ora in poi “autorità per i dati personali”) che lo hanno espresso in uno specifico documento adottato il 31 marzo scorso.

Nelle considerazioni preliminari del documento, infatti, le autorità per i dati personali hanno specificatamente sottolineato che:

  • la finalità del certificato è esclusivamente quella che viene definita nella proposta ovvero agevolare la libera circolazione delle persone fisiche tra paesi membri (Considerando n. 10 della proposta);
  • eventuali ulteriori finalità che fossero stabilite dai singoli stati membri dovrebbero rispettare il paragrafo 4 dell’art. 6 del Reg. UE 2016/679 (GDPR) che definisce i criteri per valutare la compatibilità tra la finalità iniziale e l’ulteriore finalità.

Le autorità per i dati personali hanno voluto sottolineare questi aspetti perché esiste una forte spinta da parte degli stati membri ad integrare nei propri quadri normativi il certificato vaccinale come lasciapassare per l’ingresso nei bar, nei negozi, nelle strutture pubbliche.

Quindi, sebbene non esistano elementi ostativi alla definizione di ulteriori finalità, le autorità per i dati personali hanno spiegato che la proposta europea in corso di esame non offre un automatismo normativo che consenta di impiegare per altre finalità il certificato nato per la specifica finalità di far muovere liberamente i cittadini tra stati.

Cosa contiene il certificato vaccinale

Il tema della proposta è il certificato verde digitale che, sinora e per semplicità, abbiamo chiamato certificato vaccinale. In realtà, il certificato che la proposta intende disciplinare:

  • può contenere una tra le tre possibili diverse certificazioni ovvero la certificazione di vaccinazione (articolo 5), la certificazione di test (articolo 6) e la certificazione di guarigione (articolo 7);
  • nasce digitale ma può essere prodotto al cittadino anche in maniera cartacea; questa caratteristica è stata apprezzata dalle autorità per i dati personali che sono molto attente ad evitare discriminazioni rispetto a chi non è in possesso di dispositivi elettronici; i dati, quindi, saranno conservati in modalità digitale su piattaforme realizzate dai singoli paesi membri e il certificato non è altro che l’insieme delle informazioni viste in precedenza corredate da un QR‑Code che ne garantirà l’autenticità.

La certificazione di vaccinazione deve contenere:

  1. cognome e nome;
  2. data di nascita;
  3. malattia o agente in questione;
  4. vaccino/profilassi;
  5. medicinale vaccinale;
  6. titolare dell’autorizzazione all’immissione in commercio del vaccino o fabbricante del vaccino;
  7. numero in una serie di vaccinazioni/dosi;
  8. data di vaccinazione, indicante la data dell’ultima dose ricevuta;
  9. Stato membro di vaccinazione;
  10. soggetto che ha rilasciato il certificato;
  11. identificativo univoco del certificato.

La certificazione di test deve contenere:

  1. cognome e nome;
  2. data di nascita;
  3. malattia o agente in questione;
  4. tipo di test;
  5. nome del test (facoltativo per un test NAAT);
  6. fabbricante del test (facoltativo per un test NAAT);
  7. data e ora del prelievo del campione;
  8. data e ora della produzione del risultato del test (facoltativo per un test antigenico rapido);
  9. risultato del test;
  10. centro o struttura in cui è stato effettuato il test;
  11. Stato membro in cui è stato effettuato il test;
  12. soggetto che ha rilasciato il certificato;
  13. identificativo univoco del certificato.

La certificazione di guarigione deve contenere:

  1. cognome e nome;
  2. data di nascita;
  3. malattia o agente da cui il cittadino è guarito;
  4. data del primo risultato positivo del test;
  5. Stato membro in cui è stato effettuato il test;
  6. soggetto che ha rilasciato il certificato;
  7. certificato valido a decorrere dal;
  8. certificato valido fino a (non oltre 180 giorni dalla data del primo risultato positivo del test);
  9. identificativo univoco del certificato.

Come sarà impiegato il certificato vaccinale

Una questione affrontata dalle autorità per i dati personali riguarda l’obbligatorietà di creazione del certificato ovvero la facoltatività solo su richiesta del cittadino. Infatti, ci possono essere casi in cui il cittadino, a fronte di un vaccino piuttosto che di un test, non voglia che si crei il corrispondente certificato nell’ambito della piattaforma realizzata dallo stato membro.

La proposta di regolamento non fornisce indicazioni sulla questione che, invece, riveste particolare importanza rispetto alla libertà di scelta del cittadino sulle modalità più idonee per tutelare i propri dati personali anche non consentendo la creazione del certificato.

In ogni caso, a fronte di un certificato richiesto dal cittadino, gli unici soggetti che potranno visionarne i contenuti sono:

  • i soggetti appartenenti alle autorità incaricate dalle norme di ciascuno stato membro di attuare le misure di sanità pubblica durante la pandemia di Covid‑19;
  • gli operatori di servizi di trasporto passeggeri transfrontalieri incaricati di attuare le misure di prevenzione della diffusione del virus.

Questi soggetti dovranno essere debitamente autorizzati conformemente all’art. 29 del GDPR e potranno, tramite appositi dispositivi elettronici equipaggiati con app specificatamente realizzate, inquadrare il QR‑Code presente sul certificato (sia tramite esibizione con lo smartphone del cittadino, sia tramite presentazione del supporto cartaceo) e verificare l’autenticità del certificato stesso.

La proposta vieta a chi accede al certificato digitale verde di conservarne una copia.

Tuttavia, un elemento di debolezza che le autorità per i dati personali hanno rilevato nella proposta riguarda l’approssimazione con la quale sono definiti i ruoli con riferimento alla protezione dei dati personali.

Infatti, se l’art. 9 della proposta individua gli stati membri (probabilmente una loro specifica articolazione amministrativa) quali titolari del trattamento, le autorità per i dati personali ritengono opportuno che la proposta fornisca un elenco di prevedibili categorie di soggetti che potranno assumere il ruolo di responsabili del trattamento o di destinatari.

Alla Commissione UE l’onere di completare il quadro

La Commissione UE, secondo l’art. 8 della proposta, dovrà adottare gli atti di esecuzione che concretizzino il quadro per:

  1. rilasciare e verificare in modo sicuro i certificati;
  2. garantire la sicurezza dei dati personali, tenendo conto della loro natura;
  3. compilare i certificati, compreso il sistema di codificazione e qualsiasi altro elemento pertinente;
  4. stabilire la struttura comune dell’identificativo univoco del certificato;
  5. creare un QR‑Code valido, sicuro e interoperabile;
  6. garantire l’interoperabilità con le norme e/o i sistemi tecnologici internazionali;
  7. ripartire le responsabilità tra i titolari del trattamento e per quanto riguarda i responsabili del trattamento.

Le autorità per i dati personali ritengono che, ferme restando l’utilità delle modifiche di scenario auspicate nel parere, i veri elementi critici rispetto alla protezione dei dati personali si giocano proprio negli atti esecutivi della Commissione che dovranno essere oggetto di un nuovo ed attento esame da parte dell’EDPB e dell’EDPS.

Conclusioni

L’impressione è che la necessità di ripristinare al più presto la libertà di circolazione delle persone fisiche sia un vincolo al quale nessun soggetto, pubblico e privato, potrà sottrarsi:

  • i soggetti pubblici, nazionali e sovranazionali, dovranno, al più presto, completare il quadro normativo e l’infrastruttura tecnologica;
  • i soggetti privati (laboratori di analisi, strutture sanitarie private, ecc.) dovranno, senza esitazioni, adeguare competenze e strumentazione per ridurre al minimo i rischi connessi a questo nuovo trattamento di dati personali.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4