Il Garante per la protezione dei dati personali, mediante una nota istituzionale, ha informato di aver fornito importanti chiarimenti in ordine all’interpretazione della disciplina vigente in materia di certificazioni verdi, alla luce delle innovazioni introdotte nel quadro normativo dal decreto-legge n. 105 del 2021.
I diversi quesiti posti all’Autorità Garante coinvolgono il rapporto tra le esigenze di sanità pubblica sottese al contrasto della pandemia e i vari diritti fondamentali incisi dalle misure di prevenzione dei contagi, tra i quali appunto il diritto alla protezione dei dati personali, l’autodeterminazione in ordine alle scelte vaccinali, le libertà di circolazione e di iniziativa economica.
Si può ritenere che la disciplina interna delle certificazioni verdi si muove in questa prospettiva e, sotto il profilo della protezione dei dati, implica un trattamento legittimo nella misura in cui si inscriva nel perimetro delineato dalla normativa vigente.
In quest’ottica il Garante sostiene che il trattamento sia legittimo nella misura in cui si limiti ai soli dati effettivamente indispensabili alla verifica della sussistenza del requisito soggettivo in esame (titolarità della certificazione da vaccino, tampone o guarigione), alle operazioni a tal fine necessarie e segua le modalità indicate dal DPCM 17 giugno 2021, attuativo dell’art. 9 del d.l. n. 52 del 2021.
In altre parole il trattamento deve essere effettuato, ex art. 9 del d.l. n. 52 del 2021 lett e), mediante la: “Piattaforma nazionale digital green certificate (Piattaforma nazionale-DGC) per l’emissione e validazione delle certificazioni verdi COVID-19: sistema informativo nazionale per il rilascio, la verifica e l’accettazione di certificazioni COVID-19 interoperabili a livello nazionale ed europeo”.
Il fine perseguito deve essere quello di attestare, ex art. 9 del d.l. n. 52 del 2021, c. 2, una delle seguenti condizioni:
- L’avvenuta vaccinazione anti-SARS-CoV-2;
- L’avvenuta guarigione da COVID-19;
- L’effettuazione di test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2.
Pertanto il trattamento è lecito quando, ex art. 13 DPCM 17 giugno 2021, la verifica delle certificazioni verdi COVID-19 è effettuata dalle persone individuate dall’art. 13 DPCM 17 giugno 2021, c. 2, mediante la lettura del codice a barre bidimensionale, utilizzando esclusivamente l’applicazione mobile “VerificaC 19”, che consente unicamente di controllare l’autenticità, la validità e l’integrità della certificazione, e di conoscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione.
Ai soggetti richiamati dall’art. 13 DPCM 17 giugno 2021, c. 2, è consentito anche di verificare l’identità del titolare della certificazione verde.
In nessun caso, però, è consentita la raccolta, da parte dei soggetti verificatori, dei dati dell’intestatario della certificazione, in qualunque forma (art. 13 DPCM 17 giugno 2021, c. 5).
Conclude l’Autorità Garante osservando che: “il trattamento in questione non necessita, peraltro, di autorizzazione da parte del Garante e va condotto, come già osservato, nel rispetto del complessivo quadro normativo su richiamato”.
rif. doc-web 9696958 del Garante per la Protezione dei Dati Personali