Verso il "green pass" per gli spostamenti. Il Garante: "Privacy a rischio. Nessuno ci ha interpellato"
Guido Scorza, componente del Collegio del Garante per la protezione dei dati personali: "La questione privacy verrà disciplinata in un secondo momento. In un modello ideale, prima di cominciare a utilizzare questo certificato, si sarebbe dovuto discutere sul metodo"
Intervista a Guido Scorza, Componente del Garante per la protezione dei dati personali
(Open online, 22 aprile 2021)

Nella bozza del nuovo decreto Covid discussa ieri nel Consiglio dei Ministri è presente l’introduzione di una certificazione verde (green pass) per gli spostamenti tra Regioni di colore rosso e arancione. Questo lasciapassare sarà valido solo per le persone vaccinate, per i guariti dal Covid-19 negli ultimi 6 mesi, o per le persone in possesso del referto negativo di un test antigenico o molecolare, da effettuarsi nelle 48 ore prima dello spostamento. La certificazione durerà 6 mesi nei primi due casi, mentre il nulla osta per chi ha effettuato un tampone (con esito negativo) avrà una validità di sole 48 ore. Al momento non è ancora stata resa nota la data dell’entrata in vigore del pass. Ma, come spiega l’avvocato Guido Scorza, avvocato cassazionista e componente del Collegio del Garante per la protezione dei dati personali, nella bozza del nuovo decreto mancano diversi elementi che garantiscano la privacy delle persone che dovranno utilizzarlo per spostarsi.

Il Garante per la protezione dei dati personali italiano ha richiesto da marzo una legge per discutere e disciplinare gli aspetti della protezione dei dati personali del pass. Ma di questa legge, al momento, non si è ancora sentito parlare. Al contempo, l’Autorità garante non ha ancora ricevuto la bozza "del decreto-legge sul quale ci viene chiesto di dare un parere specifico sul fronte della privacy – spiega a Open Scorza -. Ma anche se dovessimo prendere in considerazione solo l’attuale bozza del nuovo decreto, questa non contiene le disposizioni di merito sulle quali noi potremmo dare un parere, perché espressamente vien fatto intendere che di privacy ce ne si occuperà in un futuro DPCM, che al momento non c’è". Insomma, "bene che si sia manifestata l’intenzione di coinvolgere il Garante della privacy nel strutturare il pass", ma in questo modo il "passaporto vaccinale" rischia di partire senza che l’Autorità si sia espressa, senza sciogliere i nodi che tutelano le persone e la riservatezza dei dati sanitari dei cittadini.

Avvocato, la strutturazione dei green pass è chiara nelle intenzioni e funzionalità, ma nebulosa nell’applicazione. Quali nodi bisogna sciogliere sul fronte della privacy?

"Dal nostro punto di vista è un bene che il decreto-legge rispetti la nostra indicazione di marzo in cui abbiamo fatto richiesta di una legge nazionale in materia di privacy. Da questo documento, per quanto si tratti di una bozza, si deduce però che la questione privacy verrà trattata in un DPCM successivo. In sostanza, per ora viene stabilito che il pass serve e ne vengono definiti gli spazi applicativi, ma non l’impostazione sotto il profilo della privacy".

In sostanza si rischia di partire senza sapere se i propri dati verranno trattati in modo sicuro. Siete stati interpellati?

"Noi siamo una sorta di anello a valle. Da regolamento europeo, dovremmo ricevere la bozza del provvedimento normativo sul quale ci viene chiesto di fornire un parere, per poi procedere all’implementazione. Al momento, a meno che non stia arrivando mentre parliamo, non ci è ancora arrivato nulla".

Si sta seguendo la strada di un processo inverso? Prima si parte e poi si sistema quando il pass potrebbe essere già in uso…

"Dalla bozza parrebbe di sì, perché fa intendere che la questione privacy verrà disciplinata in un secondo momento. In un modello ideale si dovrebbe dare un parere sul metodo, anticipando quindi le valutazioni sul profilo della privacy prima di cominciare a utilizzare certificato. È difficile discutere di proporzionalità dei dati trattati, di misure di sicurezza, o di tempi di conservazione rispetto a un decreto-legge che, al momento, manca di qualsiasi esercizio di disciplina in relazione a questi aspetti".

Lei fa riferimento a punti cruciali per la privacy del pass. Partiamo dalla proporzionalità dei dati trattati. Di cosa si tratta, in concreto?

"Significa stabilire chi vede cosa attraverso questo certificato. Nell’articolo 10 della bozza vengono elencate tutta una serie di informazioni essenziali che verrebbero raccolte per definire la validità del pass. Non è però chiaro se queste informazioni verranno rese visibili tutte insieme o se verranno aggregate in un’informazione binaria".

Un esempio pratico?

"Mi spiego meglio: è giusto raccogliere le informazioni essenziali e certificate affinché il pass dia il via libera, ma non serve dichiarare in fase di controllo se si è avuto il Covid in passato, se si è stati vaccinati, o se si è negativi al tampone. È sufficiente che si sappia che la persona rientra in una delle tre condizioni di riferimento. Le informazioni raccolte lo certificano, il pass le sintetizza in un codice binario, verde o rosso. Questo dato di sintesi è sufficiente e proporzionato rispetto allo scopo".

E chi avrebbe accesso a questi dati?

"Da questa bozza si evince che nella fase genetica dell’informazione, ossia nella fase di registrazione dell’informazione, l’accesso risiede nel Sistema sanitario nazionale. E questo è confortante. Dopodiché, però, non si capisce più cosa succede nella fase di spendibilità del certificato e come funzionerà in fase di controllo. Per esempio: i controlli verranno eseguiti solo dalle forze dell’ordine? In caso affermativo: da quali forze dell’ordine nello specifico? Potranno aver accesso al pass solo i medici? Non si sa. La filiera dei soggetti con un ruolo di privacy che possono avere accesso a diverso titolo a queste informazioni è certamente un aspetto che deve essere tenuto in considerazione prima di metterlo in atto".

Abbiamo infrastrutture sufficienti per gestire e sostenere la raccolta delle informazioni sensibili?

"È una complessità che guardiamo da lontano perché non è di nostra stretta competenza. In qualsiasi caso è molto complicato, perché sinora non si è riusciti a garantire quel livello di integrazione tra i vari sistemi regionali di raccolta delle informazioni. Probabilmente le infrastrutture sufficienti per realizzare il tutto le abbiamo. Ma come abbiamo visto sinora hanno difficoltà a comunicare tra di loro. Tradotto: far parlare le infrastrutture sanitarie delle Regioni che utilizzano lo stesso fornitore di servizi informatici è relativamente facile. Ma quando bisogna far parlare due regioni che utilizzano due fornitori di servizi diversi diventa più difficile".

Anche qui, può fornire un esempio pratico?

"Supponiamo che una persona si sottoponga a tampone nelle 48 ore precedenti alla partenza. Può averlo fatto in ospedale, in farmacia, dal medico, in una struttura privata. Sino a oggi ci è stato fornito un certificato cartaceo di attestazione. Non è chiaro quale meccanismo verrebbe utilizzato per trasferire questo dato in un sistema centralizzato affinché l’informazione venga sincronizzata, in modo che – una volta avvenuto lo spostamento – il pass restituisca l’informazione necessaria. Insomma, il verde o il rosso".

Come ci si dovrebbe comportare nel trattamento di dati che potrebbero scadere?

"È centrale capire il tempo di conservazione di questi dati per il pass. In tutti i pareri che sono stati dati sin qui noi abbiamo sempre detto che la conservazione di questi dati sensibili, in un dato giorno (che potrebbe essere quello della fine dell’emergenza) rappresenterebbe il momento della cancellazione di questi dati. Sul fronte del pass, se il dato dovesse diventare inutile (come per esempio allo scadere delle 48 ore per il tampone negativo) andrebbe cancellato, perché il dato diventa inutile rispetto allo scopo che ci prefiggiamo".

E sulla sicurezza del trattamento e della conservazione dei dati?

"Su questo fronte si aprono tre nodi critici. Il primo riguarda la filiera dei soggetti coinvolti: servono gestori di servizi che devono avere una copertura normativa. Una cosa è avere il fornitore dei servizi informatici esterno all’Italia, altra cosa è invece un provider Italiano. Nel primo caso ci può essere un problema di trasferimento dei dati all’estero, nel secondo caso no. Penso al caso di Immuni, quando venne disciplinato con un decreto-legge. In quel decreto venne scritto che l’intera infrastruttura informatica sarebbe stata situata in Italia e quindi si esclusero rischi di trasferimento dei dati all’estero anche se solo ai fini dell’erogazione del servizio".

Il secondo livello di problematicità qual è?

"Quello della sicurezza. Uno degli aspetti a cui noi più guardiamo è quanto sicura sia l’infrastruttura del sistema che viene costruito per gestire e proteggere dal rischio che terzi malintenzionati possono metter le mani su un patrimonio informativo di inestimabile valore. Perché in quei dati c’è una fotografia sanitaria di milioni e milioni di persone. Al momento non è indicato come si procederà su questo fronte, sarà una questione evidentemente demandata a un successivo DPCM".

Il terzo?

"È quello della possibile contraffazione del certificato e quindi del falso, che sul nostro fronte della privacy si chiama tecnicamente “esattezza del dato”. Il rischio è che un cittadino possa spendere una pass verde pur non avendone titolo. Per esempio: in caso di forma cartacea, ma anche digitale, se il pass non dovesse essere aggiornato nelle 48 ore, nel caso di via libera con tampone negativo, il rischio è che una persona possa circolare comunque con un tampone negativo effettuato magari giorni prima. Questo non corrisponderebbe al vero, non farebbe bloccare il pass e potrebbe malauguratamente creare problemi sanitari".

Insomma, i nodi da sciogliere sul fronte della privacy sono tanti. Cosa auspicate?

"Dal nostro punto di vista, per ora, certamente è positivo che ci si presenti con un decreto-legge: è sicuramente una strada corretta, che allonta così il rischio di provvedimenti amministrativi o regionali che determinerebbero una proliferazione di sistemi di dubbia legittimità dal punto di vista privacy. Rispetto al nostro auspicio mancano però tutti i dettagli di cui abbiamo discusso e che sono assenti in questa bozza di decreto. Questo per noi rappresenta un segnale di allerta. Insomma, si sta procedendo sulla strada giusta, ma non ci siamo molto dal punto di vista della privacy. Scorrendo la bozza del decreto, nessuno di noi è al momento in condizione di esprimere un giudizio sulla solidità della soluzione scelta, che deve essere ovviamente una soluzione bilanciata. Tutti quanti vogliamo e speriamo di poterci tornare a muovere presto, però non vogliamo neanche che il prezzo da pagare per tornare a muoverci sia una sostanziale espropriazione della privacy".