Home
Lo studio
Risorse
Contatti
Lo studio

Decisioni

Green pass provinciale per Coronavirus è illegittimo (Garante Privacy, 244/2021)

18 giugno 2021, Garante per la privacy

Un sistema locale non coordinato a livello nazionale per il rilascio e la verifica delle certificazioni verdi ("green pass") rischia di compromettere l’efficienza dell’intera misura non potendo assicurare l’esattezza e l’aggiornamento dei dati personali delgi interessati, nonché la possibilità per l’interessato di utilizzare la predetta certificazione su tutto il territorio nazionale.

Il requisito di esattezza dei dati si pone come essenziale nella valutazione della proporzionalità della limitazione e della idoneità della misura di contenimento e contrasto dell’emergenza epidemiologica da Covid-19.

Con specifico riferimento alle iniziative introdotte dalla Provincia autonoma di Bolzano l’uso di certificazioni, che attestino l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico/molecolare, diverse da quelle indicate nel citato schema di decreto del Presidente del Consiglio dei Ministri, nonché l’uso di strumenti di verifica (quali ad esempio app per dispositivi mobili) ulteriori rispetto a quelli ivi indicati non possono ritenersi ammissibili perché non garantirebbero in ogni caso il rispetto del principio di esattezza dei dati trattati e di integrità e riservatezza.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

[doc. web n. 9671917]

Provvedimento di limitazione definitiva in merito ai trattamenti previsti dalla Provincia autonoma di Bolzano in tema di certificazione verde per Covid 19

n. 244 del 18 giugno 2021

 

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTO il decreto-legge 22 aprile 2021, n. 52, recante “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da Covid-19”;

VISTO il decreto-legge 18 maggio 2021, n. 65, recante “Misure urgenti relative all’emergenza epidemiologica da Covid-19”;

VISTO il decreto-legge 31 maggio 2021, n. 77, recante “Governance del Piano nazionale di ripresa e resilienza e prime misure di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure”;

VISTA la nota del Ministro della salute al Presidente della Conferenza delle Regioni e delle Province autonome del 6 maggio 2021 (prot. n. 7754);

VISTA l’ordinanza del Ministro della salute dell’8 maggio 2021, relativa alle “Modalità di accesso/uscita di ospiti e visitatori presso le strutture residenziali della rete territoriale”;

CONSIDERATO quanto indicato dal Comitato nazionale per la bioetica nel documento “Passaporto, patentino, green pass nell’ambito della pandemia covid-19: aspetti bioetici” del 30 aprile 2021;

VISTO il provvedimento di avvertimento adottato dal Garante il 23 aprile 2021 ai sensi dell’art. 58, par 2, lett. a), del Regolamento in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19 prevista dal d.l. 22 aprile 2021, n. 52;

VISTO il Regolamento del Parlamento europeo e del Consiglio su “Un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione durante la pandemia di Covid-19 (EU digital COVID certificate)” del 14 giugno 2021;

VISTO il provvedimento di avvertimento alla Regione Campania adottato dal Garante il 25 maggio 2021 ai sensi dell’art. 58, par 2, lett. a), del Regolamento, in merito ai trattamenti di dati personali connessi all’uso delle certificazioni verdi Covid-19 effettuati in attuazione dell’ordinanza n. 17 del 6 maggio 2021

VISTO il parere del 9 giugno 2021, n. 229 sullo schema di decreto del presidente del Consiglio dei Ministri di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass da adottare ai sensi dell’art. 9, comma 10, del d.l. n. 52/2021;

RITENUTO di intervenire, in via d’urgenza, in quanto l’Autorità ha espresso un parere favorevole e condizionato sullo schema di parere sul decreto del presidente del Consiglio dei Ministri di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass che incide sulla materia disciplinata dalle ordinanze n. 20 del 23 aprile 2021 e n. 23 del 21 maggio 2021 del Presidente della Provincia autonoma di Bolzano, a cui è stata data esecuzione alle ordinanze;

RITENUTO quindi che ricorrano i presupposti per l’applicazione dell’articolo 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, il quale prevede che “Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il Presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno”;

VISTA la documentazione in atti;

PREMESSO

Con ordinanza n. 20 del 23 aprile 2021 del Presidente della Provincia autonoma di Bolzano è stato previsto che, alla luce di quanto disposto dal decreto-legge 22 aprile 2021, n. 52, relativamente all’introduzione della certificazione verde quale misura di sanità pubblica per il contenimento della diffusione del virus Sars CoV-2, al fine di garantire la ripresa graduale delle attività economiche e sociali e “in attesa di eventuali disposizioni emanate a livello centrale”, l’esibizione della predetta certificazione verde sia necessaria, nel territorio della Provincia, per:

− il consumo al tavolo al chiuso in ristoranti e alberghi (punto 12);

− l’accesso a strutture ricettive (punto 15);

− lo svolgimento di “attività addestrative” e “corsi di formazione dei Vigili del fuoco, sia volontari che permanenti, di tutti i collaboratori e soci attivi componenti delle organizzazioni di volontariato facenti parte delle strutture operative della protezione civile provinciale” (punto 22);

− “l’accesso alle strutture” ove si svolgono “all’interno” “spettacoli aperti al pubblico in sale teatrali, sale da concerto, sale cinematografiche“, “fiere convegni e congressi”, le “prove e le esibizioni di cori e bande” e i “musei e luoghi di cultura, ivi compresi biblioteche, archivi, centri giovanili nonché centri e agenzie di formazione permanente” (punti 33, 34, 35, 36 e 37);

− “la partecipazione all’attività” svolte in “palestre con presidio sanitario obbligatorio oppure eroganti prestazioni rientranti nei livelli essenziali di assistenza o prestazioni riabilitative o terapeutiche” (punti 40 e 43);

− la partecipazione a eventi e competizioni sportive, a sessioni di allenamento di atleti e ad attività sportive di squadra e di contatto (punti 41, 42 e 43).

La predetta ordinanza ha previsto inoltre che l’esibizione della certificazione verde sia anche una condizione per lo svolgimento di attività riconducibili all’ambito lavorativo (punto 22) e per l’accesso a prestazioni sanitarie anche rientranti nei livelli essenziali di assistenza (combinato disposto dei punti 40 e 43).

Secondo quanto indicato nella predetta ordinanza, le suddette certificazioni verdi sono rilasciate in base a specifici protocolli emanati dell’Azienda Sanitaria dell’Alto Adige o dalle altre autorità sanitarie (punto 47).

In relazione a quanto previsto dalla predetta ordinanza, l’Ufficio ha chiesto informazioni alla Provincia autonoma di Bolzano rappresentando che il Garante ha adottato un provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19 prevista dal d.l. 22 aprile 2021, n. 52 (provvedimento del 23 aprile 2021 – consultabile su www.gpdp.it, doc. web n. 9578184) (nota del 30 aprile 2021, prot. n. 24123).

Nel richiamato provvedimento, l’Autorità ha ritenuto che il d.l. n. 52/21 non rappresenti una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale, in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice in materia di protezione dei dati personali (artt. 2 ter e 2 sexies). In tale occasione, il Garante ha inoltre ritenuto che la disciplina della certificazione verde risulti non proporzionata, rispetto all’obiettivo di interesse pubblico pur legittimo, perseguito, in quanto non individua puntualmente le finalità per le quali si intende utilizzare la certificazione verde e, in ossequio ai principi di privacy by design e by default, le misure adeguate per garantire la protezione dei dati, anche appartenenti a categorie particolari, in ogni fase del trattamento, e un trattamento corretto e trasparente nei confronti degli interessati (artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32 del Regolamento). Ai sensi dell’art. 58, par 2, lett. a), del Regolamento, l’Autorità ha pertanto avvertito tutti i soggetti coinvolti nel trattamento del fatto che i trattamenti di dati personali effettuati in attuazione delle disposizioni di cui al decreto legge del 22 aprile 2021, n. 52, possono violare le disposizioni del Regolamento.

Con la predetta nota del 30 aprile 2021, l’Ufficio ha inoltre rappresentato che una delle criticità sollevate dal Garante nel predetto provvedimento riguarda la mancata individuazione delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalità della norma, richiesta dall’art. 6 del Regolamento, anche alla luce di quanto affermato dalla Corte Costituzionale nella sentenza n. 20 del 21 febbraio 2019, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita. È stato poi evidenziato che l’8 aprile 2021 il Presidente dell’Autorità ha rappresentato alla Commissione Affari Costituzionali del Senato della Repubblica che, soltanto una legge statale può subordinare l’esercizio di determinati diritti o libertà all’esibizione di tale certificazione (Memoria del Presidente del Garante – Profili costituzionali dell’eventuale introduzione di un “passaporto vaccinale” per i cittadini cui è stato somministrato il vaccino anti SARS COV2 dell’8 aprile 2021). Sul punto, con specifico riferimento alla competenza in merito all’introduzione di misure di contenimento dell’emergenza da Covid- 19, è stato rappresentato anche quanto disposto recentemente dalla Corte Costituzionale, secondo cui “la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell’art. 117, secondo comma, lettera q), Cost.” (Ordinanza della n. 4/21).

In forza delle suddette considerazioni, l’Ufficio, nella richiamata nota del 30 aprile 2021, ha preso atto che la predetta ordinanza, oltre a prevedere l’utilizzo delle certificazioni verdi nei termini di cui al citato d.l. n. 52/21, ha introdotto le sopra richiamate ulteriori limitazioni ai diritti e alle libertà individuali, che non sono, allo stato, disciplinate da alcuna disposizione di legge statale. In taluni casi, inoltre, le limitazioni introdotte nell’ordinanza riguardano attività per le quali il richiamato d.l. n. 52/21 ha previsto che siano adottate apposite linee guida da parte della Conferenza delle Regioni o delle Province autonome o dal sottosegretario in materia di sport o ai sensi dell’art. 1, comma 14, d.l. n. 33/2020 (artt. 5, comma 4 e 7, comma 2, d.l. n. 52/21 e punti 34, 41, 42 e 43 dell’ordinanza).

In risposta alla richiesta di informazioni dell’Ufficio del 30 aprile 2021, la Provincia autonoma di Bolzano ha fornito elementi con la nota del 7 maggio 2021, in cui è stato rappresentato, in particolare, che:

“ai sensi dell’articolo 52, secondo comma dello Statuto d’autonomia il Presidente della Provincia adotta i provvedimenti contingibili e urgenti in materia di sicurezza e di igiene pubblica nell’interesse delle popolazioni di due o più comuni”;

“la Provincia autonoma di Bolzano ha competenza legislativa primaria, tra l’altro, nelle materie di opere di prevenzione e di pronto soccorso per calamità pubbliche, assunzione diretta di servizi pubblici e loro gestione a mezzo di aziende speciali, assistenza e beneficenza pubblica e scuola materna (articolo 8, comma 1, punti 13, 19, 25 e 26 dello Statuto d’autonomia)”;

“la Provincia autonoma di Bolzano ha competenza legislativa concorrente, tra l’altro, in materia di igiene e sanità, ivi compresa l’assistenza sanitaria e ospedaliera (articolo 9, comma 1, punto 10 dello Statuto d’autonomia)”;

“la legge provinciale 8 maggio 2020, n. 4 recante “Misure di contenimento della diffusione del virus SARS-COV-2 nella fase di ripresa delle attività”, tra l’altro già contempla nel proprio “Allegato A, II.C.” una “Covid protected area” per gli esercizi ricettivi. Sono ivi previste delle misure di sicurezza supplementari tra cui il “controllo completo della clientela: ospiti e clienti presentano al check-in un test PCR certificato con esito negativo risalente a non più di 4 giorni prima oppure forniscono prova certificata dello sviluppo di anticorpi o all’arrivo si sottopongono a un test come da protocollo del servizio sanitario”;

“l’impugnazione di una legge provinciale davanti alla Corte costituzionale per violazione della Costituzione, dello Statuto o del principio di parità tra i gruppi linguistici può essere esercitata solo dal Governo” e “il Governo non ha sollevato ricorso contro la legge provinciale 8 maggio 2020, n. 4, né ha sollevato delle criticità nei confronti dell’ordinanza presidenziale contingente e urgente n. 20 del 23.04.2021”;

“le “Certificazioni verdi” di cui al punto 47 dell’ordinanza presidenziale sono rilasciate in piena conformità alle disposizioni dell’articolo 9 del decreto-legge 22 aprile 2021, n. 52, e potranno essere in seguito modificate qualora cambiasse il quadro normativo nazionale di riferimenti”;

“le “Certificazioni verdi” in parola consentono di contenere ulteriormente la limitazione dei diritti individuali, in quanto condizione per l’accesso ad una serie di attività altrimenti precluse; tale strumento consente pertanto un più proporzionato e bilanciato contemperamento tra la tutela della salute e la minore compressione possibile dei diritti costituzionalmente garantiti, come richiesto da costante giurisprudenza costituzionale sul principio di uguaglianza”;

“Trattasi cioè di attestazioni che, a prescindere da quanto previsto in ordine alla loro valenza da predetta ordinanza, già venivano rilasciate al cittadino, fin dai principi della pandemia e poi con l’inizio della campagna vaccinale, al ricorrere di una delle situazioni individuate come presupposto; non è stata creata alcuna banca dati ulteriore, o app dedicata, per i certificati verdi in quanto non raccolgono e non certificano informazioni o dati aggiuntivi rispetto a quelli già contenuti nelle attestazioni di avvenuta vaccinazione, guarigione o di effettuazione di un test con risultato negativo. Si tratta di documentazione già esistente, comunque prodotta e messa a disposizione del cittadino, in cui il trattamento dei dati viene effettuato per finalità di cura diagnosi, prevenzione dell’emergenza virale Covid SARS-CoV-2 dal titolare del trattamento, da individuarsi nell’azienda Sanitaria dell’Alto Adige”;

“la previsione per cui il possesso di tale documentazione possa assurgere a presupposto per l’accesso a determinati servizi, ma in ogni caso mai per quelli essenziali, che altrimenti potrebbero restare preclusi al cittadino in ragione delle primarie esigenze di tutela della salute, è da ricondursi ai motivi di interesse pubblico rilevante nel settore della sanità pubblica ai sensi dell´articolo 9, paragrafo 2, lettera i) del Regolamento europeo in materia di protezione dei dati personali 2016/679”;

“I certificati verdi di cui all’ordinanza n. 20 del 23 aprile 2021, così configurati, non costituiscono un’attuazione delle disposizioni di cui al decreto-legge 22 aprile 2021, n. 52 (articolo 9 ed allegato 1), rispetto al quale il Garante ha espresso le proprie censure con formale ammonimento in data peraltro concomitante con la predetta ordinanza, ma operano nel quadro normativo delineato dal DL. Non si tratta di attività non contemplate dalla normativa nazionale e nel contempo eventuali rilievi rispetto alla normativa nazionale non comportano automaticamente la caducazione della disciplina provinciale. I dati di cui ai certificati verdi altoatesini non riproducono infatti tutti i dati previsti, e ritenuti dal Garante come eccedenti in quanto contrastanti con il principio di minimizzazione, per le Certificazioni verdi COVID-19 nazionali ai sensi dell’articolo 9 del decreto-legge 52/2021 e dell’Allegato 1. La lettura dell’attestazione tramite QR-Code consente, infatti, di limitare la riproduzione del solo dato relativo al nome e cognome del soggetto che la esibisce La lettura del QR-Code, che avviene tramite uso della fotocamera di cui sono dotati tutti gli smartphone standard e funge da “biglietto di ingresso” per tutte le aree che nell’ordinanza provinciale sono definite “CoronaPass Areas”, non si configura come un ulteriore trattamento di dati, considerato che ciò che viene riprodotto, e non salvato, è una sintesi dei dati personali necessari e sufficienti a realizzare le finalità sopra esposte ovvero il nome e cognome della persona fisica cui l’attestazione inerisce ed una mera spunta di colore verde (senza indicazione se trattasi di soggetto vaccinato, guarito o testato negativamente). La spunta verde ne sottende anche la validità, in quanto allo scadere dei 6 mesi previsti per le vaccinazioni/guarigioni e delle 72 ore per i test, il QRCode non è più funzionante”;

“in ordine alle attività per cui è richiesto il possesso della certificazione verde si rileva che quanto indicato al punto 22 dell’Ordinanza presidenziale n. 20 del 23.04.2021 afferisce alla partecipazione ad attività addestrative e i corsi di formazione”;

“Con riguardo invece al punto 40 della stessa si subordina alla presentazione della certificazione verde (secondo il rimando contenuto al punto 43), la partecipazione alle attività svolte nei luoghi chiusi, anche in palestre con presidio sanitario obbligatorio oppure eroganti prestazioni rientranti nei livelli essenziali di assistenza o prestazioni riabilitative o terapeutiche, qualora l’attività non sia svolta in forma individuale o tra conviventi, così come prescritto parimenti per tutte le attività svolte in palestre, centri fitness, piscine al chiuso e centri sportivi comunque denominati dal comma 4 dello stesso punto”.

Successivamente alla richiesta di informazioni dell’Ufficio, il Presidente della Provincia autonoma di Bolzano ha adottato un’altra ordinanza contingibile e urgente, recante “Ulteriori misure urgenti per la prevenzione e gestione dell’emergenza epidemiologica da covid-19” (ordinanza n. 23, del 21 maggio 2021), che ricalca sostanzialmente quanto disposto con la precedente ordinanza presidenziale n. 20 del 23 aprile 2021.

In particolare, l’ordinanza n. 23/2021 prevede che sia condizionato alla presentazione della certificazione verde lo svolgimento delle seguenti attività:

attività di ristorazione al chiuso (punto 11);

accesso alle strutture ricettive (punto 12);

attività addestrative e corsi di formazione dei Vigili del fuoco, sia volontari che permanenti, di tutti i collaboratori e soci attivi componenti delle organizzazioni di volontariato facenti parte delle strutture operative della protezione civile provinciale (punto 19);

accesso ai locali delle attività commerciali; in particolare le persone in grado di esibire una certificazione verde possono utilizzare mascherine chirurgiche in luogo delle mascherine FFP2 (punto 24);

accesso a spettacoli al chiuso in sale teatrali, sale da concerto, sale cinematografiche e in altri luoghi accessibili al pubblico (punti 30 e 33);

accesso a fiere, convegni e congressi che si svolgono al chiuso (punti 31 e 33);

accesso a esibizioni, spettacoli di cori e bande che si svolgono al chiuso (punti 32 e 33);

accesso a musei al chiuso (punto 34);

accesso a feste al chiuso conseguenti a cerimonie (punto 35);

accesso a sale giochi, sale scommesse, sale bingo e casinò al chiuso (punto 36);

attività al chiuso di palestre, centri fitness e centri sportivi (punto 39);

utilizzo di docce e spogliatoi siti in locali al chiuso (punto 41);

attività dei centri benessere e dei centri termali (punto 44).

Con l’ordinanza n. 23/2021 è stato inoltre confermato che le suddette certificazioni verdi sono rilasciate in base a specifici protocolli emanati dell’Azienda Sanitaria dell’Alto Adige o dalle altre autorità sanitarie (punto 47).

La suddetta ordinanza precisa infine che “l’esibizione delle predette certificazioni è richiesta dagli esercenti le attività per cui esse sono previste” (punto 46, ultimo periodo).

In merito a quanto disposto nelle predette ordinanze sono pervenute all’Ufficio circa 80 segnalazioni e reclami con specifico riferimento al trattamento dei dati personali effettuato in esecuzione delle stesse.

OSSERVA

Con riferimento al sistema di rilascio delle certificazioni verdi di cui all’art. 9 del d.l. n. 52/2021, come sopra indicato, l’Autorità ha adottato un provvedimento di avvertimento nei confronti di tutti i soggetti coinvolti nel trattamento dei dati connesso all’uso delle predette certificazioni verdi e, in particolare, dei Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale e dell’economia e delle finanze, degli affari regionali e la Conferenza delle Regioni e delle Province autonome, in merito al fatto che i trattamenti di dati personali effettuati in attuazione di tale decreto possono violare le disposizioni del Regolamento di cui agli artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32 (Provvedimento del 23 aprile 2021, n. 156).

A seguito dell’adozione del suddetto provvedimento, il 6 maggio 2021, il Presidente del Garante ha effettuato un’audizione informale, presso le Commissioni riunite I, II e XII della Camera dei Deputati, in cui ha rappresentato che il predetto decreto legge “presenta varie carenze tra le quali rileva, in primo luogo, l’indeterminatezza delle finalità (incompatibile con il principio di cui all’art. 5.1.b. del Regolamento) che legittimano la subordinazione di determinate attività all’ostensione del pass”. In tale occasione, è stato ribadito come il fatto che “la norma, in questi termini redatta, si presti a interpretazioni discrezionali è dimostrato anche dall’attuazione propostane a livello regionale, con ordinanze che ne hanno esteso l’ambito applicativo e rispetto alle quali, sinora in un caso, il Garante è dovuto intervenire. La riserva di legge statale sulle materie incise da queste misure rischia così di essere elusa, per effetto di norme carenti della necessaria determinatezza”.

A tal riguardo, il Presidente ha rappresentato l’opportunità che sia introdotta “una precisazione che escluda l’utilizzo dei pass per finalità diverse da quelle espressamente previste dal decreto-legge, auspicabilmente circoscrivendo maggiormente ex-ante l’ambito rimesso alle determinazioni delle linee-guida (sempre che non si ritenga preferibile rinviare, anziché ad atti di soft law, ad atti, almeno, amministrativi generali)”.

È stata inoltre avviato un’interlocuzione con il Governo e con le amministrazioni coinvolte nella realizzazione della Piattaforma nazionale digital green certificate (DGC), per l’emissione, il rilascio e il controllo delle certificazioni verdi Covid-19, al fine di superare le criticità rilevate con il predetto provvedimento di avvertimento del 23 aprile 2021.

Con specifico riferimento all’immediato uso delle certificazioni verdi di cui all’art. 9 del d.l. n. 52/2021, si rappresenta che, anche a seguito del predetto provvedimento di avvertimento, il Ministro della salute ha fornito chiarimenti al Presidente della Conferenza delle Regioni e delle Province autonome (nota del 6.5.2021, prot. n. 7754). In tale occasione è stato specificato che le cc.dd. certificazioni verdi sono state “concepite per favorire gli spostamenti tra le regioni italiane in condizioni di sicurezza e nel rispetto delle garanzie a protezione dei dati personali” e che le stesse “sono esibite soltanto su iniziativa degli interessati che intendano spostarsi nelle regioni “arancioni” e “rosse” per motivi diversi da quelli di necessità, lavoro, salute”. Il Ministro ha poi rappresentato che si tratta di “un’opportunità aggiuntiva su cui, su base volontaria, tutti gli italiani potranno fare affidamento in queste settimane, per il tempo strettamente necessario all’implementazione del progetto per il rilascio, la verifica e l’accettazione di certificazioni interoperabili a livello europeo”. Nella medesima nota il Ministro ha ulteriormente precisato che le predette certificazioni “saranno esclusivamente esibite alle Forze di Polizia, al personale dei Corpi di Polizia municipale munito della qualifica di agente di pubblica sicurezza e al personale delle Forze Armate di cui si avvalga eventualmente il Prefetto per le verifiche sugli spostamenti tra regioni, senza la possibilità di raccolta, conservazione e successivo trattamento”.

Al riguardo, si evidenzia che, il 30 aprile 2021 il Comitato nazionale per la bioetica ha adottato un documento su “Passaporto, patentino, green pass nell’ambito della pandemia covid-19: aspetti bioetici”, nel quale si evidenzia che “un altro problema legato al ‘Pass Covid-19’ riguarda la possibilità che le Regioni o i singoli comuni possano richiedere certificazioni aggiuntive, non coincidenti, aggravando il quadro discriminatorio in base alla provenienza geografica”. Secondo quanto indicato dal predetto Comitato, “al fine di evitare discriminazioni fra i cittadini residenti nei diversi territori del Paese, l’adozione del ‘Pass Covid-19’ deve essere prevista a livello centrale e applicata in termini omogenei su tutto il territorio nazionale”.

Si rappresenta poi che il 25 maggio 2021 il Presidente ha adottato d’urgenza un provvedimento di avvertimento nei confronti della Regione Campania in relazione all’utilizzo della certificazione verde di cui all’ordinanza n. 17 del 6 maggio 2021 del Presidente della Regione (provvedimento n. 207)

In tale provvedimento il Garante ha avvertito la Regione Campania e tutti i soggetti coinvolti che i trattamenti di dati personali effettuati in attuazione della predetta ordinanza possono violare le disposizioni del Regolamento di cui agli artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32 del Regolamento.

Nel predetto provvedimento il Garante ha rilevato che con l’ordinanza del 6 maggio 2021, il Presidente della Regione Campania ha ulteriormente esteso, in ambito regionale, l’utilizzo delle certificazioni verdi anche oltre quanto indicato nel decreto legge n. 52/2021 (“servizi turistici, alberghieri, di wedding, trasporti, spettacoli, etc.”).

È stato poi evidenziato che la competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale (Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/21). Sul punto è stato richiamato quanto recentemente evidenziato dalla Corte Costituzionale, secondo cui “la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell’art. 117, secondo comma, lettera q), Cost.” (Ordinanza della n. 4/21).

Ciò appare ancor più evidente se si tiene conto che le disposizioni nazionali sulla certificazione verde di cui al d.l. n. 52/2021 sono, allo stato, applicabili in ambito nazionale fino alla data di entrata in vigore degli atti delegati per l’attuazione delle disposizioni di cui al Regolamento del Parlamento europeo e del Consiglio in tema di rilascio, verifica e accettazione di certificazioni interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione all’interno dell’Unione Europea durante la pandemia di Covid-19 (art. 9, comma 9, d.l. n.52/2021).

Al fine di garantire un approccio ben coordinato, prevedibile e trasparente all’adozione delle restrizioni alla libertà di circolazione, la Commissione europea ha infatti proposto di istituire un quadro unitario di regole in merito all’utilizzo dei certificati di vaccinazione all’interno dell’UE, nel contesto di un “certificato verde digitale”.

Il Regolamento del Parlamento europeo e del Consiglio su “Un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione durante la pandemia di Covid-19 (EU digital COVID certificate)” adottato il 14 giugno 2021 prevede che l’EU Digital COVID Certificate possa essere utilizzato dagli Stati membri anche per finalità diverse da quelle previste nel predetto Regolamento (agevolazione degli spostamenti all’interno dell’Unione) (c.d. uso domestico delle certificazioni), che devono essere espressamente previste da una norma di legge nazionale, conforme alla normativa dell’Unione in materia di protezione di dati e ai principi di efficacia, necessità e proporzionalità, che deve individuare, in modo chiaro, l’ambito e la portata del trattamento, le finalità, le categorie di soggetti che possono verificare il certificato nonché le pertinenti garanzie per prevenire discriminazioni e abusi, tenendo conto dei rischi per i diritti e le libertà degli interessati. (Considerando n. 48).

Ciò stante, si rileva che l’individuazione della certificazione verde quale condizione per l’accesso a “diversi servizi turistici, alberghieri, di wedding, trasporti, spettacoli, etc.” non può essere prevista in un’ordinanza regionale, né demandata all’Unità di crisi di una regione; ciò in quanto la competenza circa l’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale e pertanto deve avvenire attraverso una disposizione che abbia le caratteristiche richieste dal Regolamento (art. 6, par. 4), previa acquisizione del parere dell’Autorità.

Tale rilievo è stato sollevato dall’Autorità anche nel parere reso il 9 giugno 2021 sullo schema di decreto del Presidente del Consiglio dei Ministri, da adottare ai sensi dell’art. 9, comma 10, del d.l. n. 52/2021, di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze, relativo all’attivazione della Piattaforma nazionale digital green certificate (“Piattaforma nazionale-DGC”) per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19, ai sensi dell’art. 58, par. 3, lett. b), del Regolamento.

In particolare, in tale provvedimento il Garante ha espresso parere favorevole a condizione, tra l’altro, che in sede di conversione in legge del d.l. n. 52/2021:

siano specificamente definite le finalità del trattamento e sia introdotta una riserva di legge statale per l’utilizzo delle certificazioni per attestare l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare;

sia previsto che, nei casi in cui possono essere utilizzate le predette certificazioni, le stesse possano essere emesse, rilasciate e verificate esclusivamente attraverso le modalità indicate nello schema di decreto in esame;

sia adeguatamente modificata la previsione della natura transitoria delle disposizioni applicabili in ambito nazionale alle certificazioni verdi, per evitare che le stesse cessino di avere efficacia nel momento dell’entrata in vigore del predetto Regolamento europeo.

Alla stregua dell’insieme delle considerazioni sopra riportate, si ritiene pertanto che le disposizioni di cui alle ordinanze del Presidente della Provincia autonoma di Bolzano nn. 20 e 23 del 2021 non rappresentino una valida base giuridica per prevedere l’utilizzo, in ambito provinciale, delle certificazioni verdi di cui al d.l. n. 52 del 22 aprile 2021 per finalità ulteriori e con modalità diverse rispetto a quelle indicate nello stesso decreto legge, presentando, in particolare, le seguenti criticità:

1. Competenza della Provincia autonoma di Bolzano in merito all’introduzione di misure di contenimento dell’emergenza da Covid- 19 attraverso l’uso delle certificazioni verdi Covid-19.

Come evidenziato anche dal Presidente del Garante nella citata audizione informale alla Camera del 6 maggio 2021, tale materia risulta essere assoggettata alla riserva di legge statale (Corte cost., sent. 5/2018 sulle condizioni di legittimità dell’obbligo vaccinale, nonché, sulla riserva di legge statale in materia di vaccinazione, cfr. ordinanza Giudice del lavoro di Messina del 12 dicembre 2020; Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/21). Al riguardo, nel provvedimento di avvertimento nei confronti della Regione Campania, il Presidente ha rappresentato che la Corte Costituzionale ha recentemente evidenziato che “la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell’art. 117, secondo comma, lettera q), Cost.” (Ordinanza della n. 4/21). La giurisprudenza indicata dalla Provincia autonoma di Bolzano a sostegno della competenza della stessa ad adottare atti in materia di utilizzo delle certificazioni verdi non appare pertinente, in quanto si riferisce ad atti concernenti l’adozione, in attuazione delle misure sancite a livello nazionale, di misure di contenimento della pandemia nei confronti di singoli individui (es. isolamento fiduciario).

Nel richiamato provvedimento del 9 giugno 2021 il Garante ha condizionato il parere sullo schema di decreto all’introduzione, in sede di conversione in legge del d.l. n. 52/2021, di una riserva di legge statale per l’individuazione puntuale delle finalità per le quali possono essere utilizzate le certificazioni attestanti l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare.

La limitazione delle libertà personali effettuata anche attraverso il trattamento di dati sulla salute degli interessati e realizzata mediante la previsione di subordinare l’accesso a luoghi e a servizi al possesso di una certificazione attestante l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare, è ammissibile infatti solo se prevista da una norma di legge statale (artt. 6, par. 2, e 9 del Regolamento e artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali, Considerando n. 48 del Regolamento del Parlamento europeo e del Consiglio sull’EU digital COVID certificate adottato il 14 giugno 2021; cfr. anche Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/2021).

Nel predetto provvedimento del 9 giugno 2021 l’Autorità ha condizionato il parere sullo schema di decreto alla previsione che, in sede di conversione in legge del d.l. n. 52/2021, sia previsto che, nei casi in cui possono essere utilizzate le predette certificazioni, le stesse possano essere emesse, rilasciate e verificate esclusivamente attraverso la Piattaforma nazionale sul Digital green certificate (DGC) con le modalità indicate nel predetto decreto.

Atteso che il predetto decreto del Presidente del Consiglio dei Ministri è stato adottato il 17 giugno 2021 con una formulazione che tiene conto delle osservazioni formulate dal Garante nel citato parere del 9 giugno 2021, si ribadisce la necessità che il trattamento dei dati personali connesso all’uso delle certificazioni verdi sia effettuato esclusivamente in conformità alle modalità di emissione, rilascio e verifica previste nel citato decreto ovvero mediante la Piattaforma nazionale-DGC, con riferimento al quale il Garante ha espresso parere favorevole.

2. Criticità dell’uso delle certificazioni verdi nella Provincia autonoma di Bolzano.

Le ordinanze nn. 20 e 23 del 2021 della Provincia autonoma di Bolzano prevedono un uso difforme delle certificazioni verdi rispetto a quanto previsto nella normativa di settore sopra richiamata e nello schema di decreto del Presidente del Consiglio dei Ministri su cui l’Autorità ha reso il parere il 9 giugno 2021.

Al riguardo, si rilevano alcune contraddittorietà negli elementi forniti dalla Provincia autonoma di Bolzano nella citata nota del 7 maggio 2021. In particolare, si evidenzia che sebbene la predetta Provincia ritenga “le “Certificazioni verdi” di cui al punto 47 dell’ordinanza presidenziale sono rilasciate in piena conformità alle disposizioni dell’articolo 9 del decreto-legge 22 aprile 2021, n. 52” (pag. 2, VI alinea), afferma anche che i “certificati verdi di cui all’ordinanza n. 20 del 23 aprile 2021, così configurati, non costituiscono un’attuazione delle disposizioni di cui al decreto-legge 22 aprile 2021, n. 52 (articolo 9 ed allegato 1) (…) ma operano nel quadro normativo delineato dal DL.” (pag. 4, ultimo alinea).

Analogamente, si rileva che la Provincia autonoma di Bolzano ha dichiarato, da un lato, che le certificazioni verdi utilizzate sul territorio sono conformi a quanto indicato nell’allegato 1 al citato decreto legge (relativo ai dati che devono essere presenti nelle certificazioni), dall’altro, che “i dati di cui ai certificati verdi altoatesini non riproducono infatti tutti i dati previsti, e ritenuti dal Garante come eccedenti in quanto contrastanti con il principio di minimizzazione”.

Ulteriore elemento contradditorio emerge con riferimento a quanto indicato nelle predette ordinanze circa il fatto che “l’esibizione delle predette certificazioni è richiesta dagli esercenti le attività per cui esse sono previste” (punto 46, ultimo periodo di entrambe le ordinanze), rispetto a quanto dichiarato dalla Provincia nella richiamata nota del 6 maggio 2021 secondo cui “gli esercenti le attività per cui è richiesta l’esibizione del certificato verde hanno il mero obbligo di avvisare i cittadini di tale presupposto per l’accesso. L’effettuazione di controlli è infatti demandata alle forze dell’ordine, così come l’applicazione delle eventuali sanzioni. Trova pertanto applicazione il principio di auto responsabilità, per cui il cittadino che accede alle aree riservate ai possessori di certificazione verde dichiara, così facendo, di disporre della relativa (valida) attestazione” (nota del 7.5.2021, pag. 5, II alinea).

Sebbene nelle ordinanze sia più volte evidenziato che l’accesso a servizi e ad alcune prestazioni sia “subordinato/i” (punto 15 dell’ordinanza n. 20/2021 e punto 12 dell’ordinanza n. 23/2021), “condizionato” (punti 37 e 43 dell’ordinanza n. 20/2021 e punti 28, 33, 34, 39, 41 e 42 dell’ordinanza n. 23/2021) o ne sia consentita la prosecuzione solo “previa presentazione” (punto 12 dell’ordinanza n. 20/2021 e punti 11, 39 e 44 dell’ordinanza n. 23/2021) della certificazione, nella predetta nota la predetta Provincia evidenzia che “gli esercenti le attività per cui è richiesta l’esibizione del certificato verde hanno il mero obbligo di avvisare i cittadini di tale presupposto per l’accesso. L’effettuazione di controlli è infatti demandata alle forze dell’ordine, così come l’applicazione delle eventuali sanzioni. Trova pertanto applicazione il principio di auto responsabilità, per cui il cittadino che accede alle aree riservate ai possessori di certificazione verde dichiara, così facendo, di disporre della relativa (valida) attestazione” (pag. 5, II alinea). Tale contraddizione risulta ancor più evidente con riferimento a quanto rappresentato dalla predetta Provincia in merito al fatto che “la lettura del QR-Code, che avviene tramite uso della fotocamera di cui sono dotati tutti gli smartphone standard”, “funge da “biglietto di ingresso””.

Secondo quanto indicato dalla Provincia autonoma di Bolzano nella predetta nota, la “finalità della misura è infatti quella di far riaprire e ripartire le attività economiche e culturali riducendo al minimo il rischio di contagio in aree pubbliche, specialmente nei locali al chiuso, in modo da evitare ulteriori nuove ondate di contagi, e garantire un “Alto Adige Covid Safe””. Il raggiungimento di tale finalità ha tuttavia l’effetto che le attestazioni redatte con lo scopo di certificare una prestazione sanitaria (vaccinazione) o uno stato di salute (guarigione e referto negativo a tampone per Covid-19) siano raccolte e possano essere utilizzate per uno scopo ulteriore rispetto a quello per il quale sono state redatte ovvero di consentire all’interessato, anche residente fuori della Provincia, di usufruire di prestazioni e servizi resi sul territorio provinciale.

Si evidenzia inoltre che, sebbene nella predetta nota la Provincia autonoma di Bolzano sostenga che non sia “stata creata alcuna banca dati ulteriore, o app dedicata, per i certificati verdi in quanto non raccolgono e non certificano informazioni o dati aggiuntivi rispetto a quelli già contenuti nelle attestazioni di avvenuta vaccinazione, guarigione o di effettuazione di un test con risultato negativo”, al fine di consentire che attraverso la lettura del QR code sia restituita l’informazione relativa alla validità della certificazione, è necessario che ci sia una centralizzazione delle informazioni relative alle 3 condizioni abilitanti la stessa (vaccinazione, guarigione, referto tampone). Tali informazioni, peraltro, potrebbero anche non essere detenute dall’Azienda sanitaria dell’Alto Adige, definita quale titolare del trattamento (pag. 4 della predetta nota II alinea). Ciò, in quanto non tutte le predette certificazioni sono rilasciate dalla predetta Asl, potendo essere rilasciate anche dalla farmacia o dal medico di medicina generale.

Rilevate le predette contraddizioni, preme rappresentare che un sistema non coordinato a livello nazionale per il rilascio e la verifica delle certificazioni verdi rischia di compromettere l’efficienza dell’intera misura non potendo assicurare l’esattezza e l’aggiornamento dei dati (art. 5, par. 1, lett. d) del Regolamento), nonché la possibilità per l’interessato di utilizzare la predetta certificazione su tutto il territorio nazionale.

Come già evidenziato dal Garante nel citato provvedimento di avvertimento, il requisito di esattezza dei dati si pone come essenziale nella valutazione della proporzionalità della limitazione e della idoneità della misura di contenimento e contrasto dell’emergenza epidemiologica da Covid-19.

Con specifico riferimento alle iniziative introdotte dalla Provincia autonoma di Bolzano con le predette ordinanze, si ribadisce quanto rappresentato nel predetto parere ovvero che l’uso di certificazioni, che attestino l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico/molecolare, diverse da quelle indicate nel citato schema di decreto del Presidente del Consiglio dei Ministri, nonché l’uso di strumenti di verifica (quali ad esempio app per dispositivi mobili) ulteriori rispetto a quelli ivi indicati non possono ritenersi ammissibili perché non garantirebbero in ogni caso il rispetto del principio di esattezza dei dati trattati e di integrità e riservatezza (art. 5, par. 1, lett. d) e f) del Regolamento).

Ciò, in quanto il collegamento con la Piattaforma nazionale-DGC risulta indispensabile per verificare l’attualità delle condizioni attestate nella certificazione, tenendo conto dell’eventuale variazione delle stesse (es. sopraggiunta positività), con significativi rischi anche in ordine alla reale efficacia della misura di contenimento. Solo la Piattaforma nazionale-DGC, attuata nel pieno rispetto delle garanzie previste dalla disciplina di protezione dati e conformemente al parere dell’Autorità, ha infatti le caratteristiche per realizzare, superate le criticità in ordine alla specificazione delle finalità del trattamento di seguito riportate, il rilevante obiettivo di interesse pubblico sottostante e può considerarsi proporzionata all’obiettivo legittimo perseguito.

RITENUTO

alla luce delle rilevanti criticità sopra illustrate, che quanto previsto in ordine all’utilizzo delle certificazioni verdi nelle ordinanze del Presidente della Provincia autonoma di Bolzano n. 20 del 23 aprile 2021 e n. 23 del 21 maggio 2021 non risulta conforme al Regolamento in quanto:

  • individua misure per la prevenzione e gestione dell’emergenza epidemiologica da Covid-19 che prevedono il trattamento di informazioni personali, relative alla salute degli interessati, e incidono sui diritti e libertà degli stessi che possono essere introdotte solo da una norma del diritto dell’Unione o nazionale di rango primario che abbia le caratteristiche richieste dal Regolamento e previa acquisizione del parere dell’Autorità;
  • introduce un sistema di rilascio, gestione e controllo delle certificazioni verdi che non assicura il rispetto dei principi di esattezza e di integrità e riservatezza dei dati trattati e risulta difforme rispetto a quello previsto dal dPCM del 17 giugno 2021 su cui l’Autorità ha reso parere favorevole il 9 giugno 2021;
  • il trattamento dei dati personali connesso all’uso delle certificazioni verdi può essere effettuato esclusivamente in conformità alle modalità di emissione, rilascio e verifica previste nel dPCM del 17 giugno 2021 ovvero mediante la Piattaforma nazionale-DGC.

Considerato che il Regolamento attribuisce al Garante, tra gli altri, il potere di imporre una limitazione provvisoria o definitiva al trattamento (art. 58, par 2, lett. f)) e che ricorre l’esigenza di intervenire, in via d’urgenza, al fine di tutelare i diritti e le libertà degli interessati che potrebbero essere violati in merito alle modalità di utilizzo della certificazione verde con le modalità indicate nelle predette ordinanze.

Considerato quindi che risulta necessario limitare definitivamente il trattamento effettuato in attuazione delle predette ordinanze del Presidente della Provincia autonoma di Bolzano anche alla luce di quanto disposto dal Garante nel citato parere del 6 giugno 2021 e di quanto previsto nel dPCM del 17 giugno 2021.

Ritenuto inoltre di comunicare il presente provvedimento al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome, per le valutazioni di competenza anche al fine di segnalare alle regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali nell’ambito dei trattamenti effettuati attraverso il sistema delle certificazioni verdi di cui al decreto legge n. 52/2021.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 58, par 2, lett. f), del Regolamento impone alla Provincia autonoma di Bolzano e all’Azienda sanitaria dell’Alto Adige la limitazione definitiva – da rendere operativa senza ingiustificato ritardo, e comunque non oltre sette giorni dalla ricezione del presente provvedimento – dei trattamenti relativi all’utilizzo delle certificazioni verdi effettuati in attuazione delle ordinanze del Presidente della Provincia autonoma di Bolzano n. 20 del 23 aprile 2021 e n. 23 del 21 maggio 2021;

b) detta limitazione è disposta in relazione a quanto prescritto nel parere reso il 9 giugno 2021 sullo schema di decreto del Presidente del Consiglio dei Ministri, da adottare ai sensi dell’art. 9, comma 10, del d.l. n. 52/2021, di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze, relativo all’attivazione della Piattaforma nazionale digital green certificate (“Piattaforma nazionale-DGC”) per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19, ai sensi dell’art. 58, par. 3, lett. b), del Regolamento e a quanto previsto nel dPCM del 17 giugno 2021 adottato sulla base di quanto indicato dal Garante nel citato parere;

c) trasmette copia del presente provvedimento al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza;

d) dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento.