A partire dal 26 aprile dovrebbe entrare in vigore la certificazione verde per gli spostamenti tra regioni e province in zona rossa o arancione. Il decreto legge n. 52 del 22 aprile (noto come decreto Riaperture) non contiene però nessun riferimento alla protezione dei dati personali. L’Avv. Guido Scorza, componente del collegio del Garante, ha evidenziato che i Certificati Verdi potrebbero rappresentare un rischio per la privacy.
Certificato Verde: la privacy in secondo piano
Il Certificato Verde è un documento (cartaceo o digitale) che attesta l’avvenuta vaccinazione, la guarigione o la negatività al test (molecolare o antigenico rapido). Le certificazioni di vaccinazione e quelle di avvenuta guarigione avranno una validità di sei mesi, mentre quella relativa al test risultato negativo sarà valida per 48 ore. L’Avv. Scorza ha sottolineato che la questione privacy verrà trattata in un successivo DPCM, come indicato nell’art. 9 comma 10 (“misure per assicurare la protezione dei dati personali contenuti nelle certificazioni“).
In pratica il governo introdurrà una certificazione che contiene dati sensibili, senza prima interpellare il Garante della Privacy. In base al GDPR è invece necessario chiedere un parere all’autorità prima della sua implementazione. L’Avv. Scorza evidenzia una serie di criticità, tra cui l’assenza di indicazioni sui soggetti che dovranno effettuare i controlli, ovvero chi potrà accedere ai dati memorizzati nel certificato.
Ci sono poi dubbi sull’infrastruttura che dovrà garantire l’integrazione tra i vari sistemi regionali. Nel decreto viene fatto riferimento alle “specifiche tecniche per assicurare l’interoperabilità delle certificazioni verdi COVID-19 e la piattaforma nazionale DGC, nonché tra questa e le analoghe piattaforme istituite negli altri Stati membri dell’Unione europea, tramite il Gateway europeo“.
Supponiamo che una persona si sottoponga a tampone nelle 48 ore precedenti alla partenza. Può averlo fatto in ospedale, in farmacia, dal medico, in una struttura privata. Sino a oggi ci è stato fornito un certificato cartaceo di attestazione. Non è chiaro quale meccanismo verrebbe utilizzato per trasferire questo dato in un sistema centralizzato affinché l’informazione venga sincronizzata, in modo che – una volta avvenuto lo spostamento – il pass restituisca l’informazione necessaria. Insomma, il verde o il rosso.
Un successivo DPCM dovrà inoltre indicare i tempi di conservazione dei dati raccolti ai fini dell’emissione delle certificazioni (dati che dovrebbero essere cancellati dopo sei mesi o 48 ore). L’Avv. Scorsa sottolinea anche il problema della sicurezza, ovvero come verranno protette le informazioni contro eventuali accessi non autorizzati. Anche questo argomento verrà trattato in un futuro DPCM.
C’è infine la questione dell’esattezza del dato, soprattutto per la versione cartacea del certificato:
Se il pass non dovesse essere aggiornato nelle 48 ore, nel caso di via libera con tampone negativo, il rischio è che una persona possa circolare comunque con un tampone negativo effettuato magari giorni prima. Questo non corrisponderebbe al vero, non farebbe bloccare il pass e potrebbe malauguratamente creare problemi sanitari.
Insomma, l’idea del Certificato Verde è buona, ma la sua implementazione è sbagliata in partenza.