Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

"Decreto riaperture": gravi criticità per i "pass vaccinali". Il Garante privacy invia un avvertimento formale al Governo

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9578203
Data:
23/04/21
Argomenti:
Particolari categorie di dati , Sanità e ricerca scientifica , Dati sanitari , Stato di salute , Coronavirus
Tipologia:
Comunicato stampa

English version

 

"Decreto riaperture": gravi criticità per i "pass vaccinali"
Il Garante privacy invia un avvertimento formale al Governo

La norma appena approvata per la creazione e la gestione delle “certificazioni verdi”, i cosiddetti pass vaccinali, presenta criticità tali da inficiare, se non opportunamente modificata, la validità e il funzionamento del sistema previsto per la riapertura degli spostamenti durante la pandemia. È quindi necessario un intervento urgente a tutela dei diritti e delle libertà delle persone.

Questa l’indicazione del Garante per la protezione dei dati personali contenuta in un avvertimento formale, adottato ai sensi del Regolamento Ue, appena trasmesso a tutti i ministeri e agli altri soggetti coinvolti. Il provvedimento è stato inviato anche al Presidente del Consiglio dei ministri, per le valutazioni di competenza.

Il Garante osserva innanzitutto che il cosiddetto “decreto riaperture” non garantisce una base normativa idonea per l’introduzione e l’utilizzo dei certificati verdi su scala nazionale, ed è gravemente incompleto in materia di protezione dei dati, privo di una valutazione dei possibili rischi su larga scala per i diritti e le libertà personali.

In contrasto con quanto previsto dal Regolamento europeo in materia di protezione dei dati personali, il decreto non definisce con precisione le finalità per il trattamento dei dati sulla salute degli italiani, lasciando spazio a molteplici e imprevedibili utilizzi futuri, in potenziale disallineamento anche con analoghe iniziative europee. Non viene specificato chi è il titolare del trattamento dei dati, in violazione del principio di trasparenza, rendendo così difficile se non impossibile l’esercizio dei diritti degli interessati: ad esempio, in caso di informazioni non corrette contenute nelle certificazioni verdi.

La norma prevede inoltre un utilizzo eccessivo di dati sui certificati da esibire in caso di controllo, in violazione del principio di minimizzazione. Per garantire, ad esempio, la validità temporale della certificazione, sarebbe stato sufficiente prevedere un modulo che riportasse la sola data di scadenza del green pass, invece che utilizzare modelli differenti per chi si è precedentemente ammalato di Covid o ha effettuato la vaccinazione. Il sistema attualmente proposto, soprattutto nella fase transitoria, rischia, tra l’altro, di contenere dati inesatti o non aggiornati con gravi effetti sulla libertà di spostamento individuale. Non sono infine previsti tempi di conservazione dei dati né misure adeguate per garantire la loro integrità e riservatezza.

Il Garante rimarca, infine, che le gravi criticità rilevate si sarebbero potute risolvere preventivamente e in tempi rapidissimi se, come previsto dalla normativa europea e italiana, i soggetti coinvolti nella definizione del decreto legge avessero avviato la necessaria interlocuzione con l’Autorità, richiedendo il previsto parere, senza rinviare a successivi approfondimenti.

L’Autorità ha comunque offerto al Governo la propria collaborazione per affrontare e superare le criticità rilevate.

Roma, 23 aprile 2021

 

___________________________________________

 

 ‘Italy reopens’ decree: major criticalities for vaccination pass
Italian SA issues warning to Government

The decree that was recently adopted by the Italian government introducing the so-called ‘green pass’, or vaccination pass, is fraught with major criticalities such as to undermine – in the absence of the required amendments – the soundness and operation of the arrangements to lift travelling bans during the pandemic. Urgent measures are accordingly required to protect rights and freedoms of natural persons.

This is the stance taken by the Italian SA (Garante per la protezione dei dati personali) in a warning measure that was adopted in pursuance of the EU Regulation and sent officially to all the Ministries involved along with other stakeholders. The warning was also sent to the Prime Minister’s office with a view to the relevant follow-up.

Firstly, the Italian SA highlights that the so-called ‘Italy Reopens’ decree does not provide a suitable legal basis to introduce and regulate a nationwide green pass and it is affected additionally by several data protection shortcomings including the lack of any assessment of possible large-scale risks for the rights and freedoms of individuals.

Contrary to the requirements laid down in the EU General Data Protection Regulation, the decree does not specify the purposes of the processing of health data and paves the way in this manner to multifarious, utterly unforeseeable future applications that are potentially in conflict with similar EU-wide initiatives. No mention is made of the controller of the processing at issue, which is in breach of the transparency principle and hampers or downright prevents exercise of data subjects’ rights – for instance, in case inaccurate information is contained in a green pass.

Excessive data are included in the pass, which must be produced in case of controls – in breach of the data minimization principle. In order to ensure the pass produced was valid, it would have been enough for the pass to only show its expiry date without using different pass types depending on whether one had got the disease or had been vaccinated. Moreover, the system as currently proposed might be affected – especially in the initial, transitional period – by inaccurate or obsolete data, which might in turn severely affect individuals’ freedom of movement. Finally, no data storage period is mentioned nor are appropriate data integrity and confidentality measures provided for.

The Italian SA points out that the major criticalities it has found could have been addressed beforehand expeditiously if the drafters of the decree had initiated the required dialogue with the SA pursuant to EU and Italian laws and had thus requested the necessary opinion from the SA without postponing such in-depth assessment.

The Italian SA has offered its cooperation to the government in order to tackle and overcome the criticalities in question.

Rome, 23 April 2021