La pandemia da Covid ci ha costretto ad un difficile esercizio di taratura di sempre nuovi equilibri tra diritti e libertà fondamentali, alcuni sinergici – come salute pubblica e privata nonchè tutela dei dati personali – altri dove maggiore era l’evidenza di un arretramento in favore del contrasto e cura della pandemia, come la libertà di circolazione, di associazione, di scelta individuale, di iniziativa economica.

Come già è stato per le app di contact tracing anche l’attuale green pass è esempio emblematico di questo delicato bilanciamento perseguito, inevitabilmente, da un articolato sistema di pesi e contrappesi. L’attuale obbligo normativo in Italia del possesso e dell’esibizione del certificato verde individuale, come condizione per l’accesso, tra l’altro, ai luoghi di lavoro pubblici e privati, operando un’ampia diffusione dell’uso di questo strumento, induce ad alcune riflessioni sull’intersezione delle due discipline sull’applicazione del green pass e sul relativo trattamento di dati personali.

Green pass UE 

La natura globale della pandemia e la sua conseguente incidenza sulla libera circolazione delle persone all’interno della UE e del SEE, ha sollevato la necessità di un intervento normativo dell’Unione per l’armonizzazione e l’interoperabilità di questo strumento tra gli Stati membri. 

Il regolamento (UE) 2021/953, del 14 giugno 2021, ha definito un quadro comune per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione al Covid-19, cosiddetto certificato Covid digitale dell’UE. Il successivo regolamento (UE) 2021/954, di pari data, ha esteso il quadro di riferimento ai cittadini di Paesi terzi regolarmente soggiornanti o residenti nello “spazio Schengen”.

In applicazione dell’equo bilanciamento tra diritti, il regolamento 2021/953 precisa, tuttavia, che il certificato non è una precondizione per esercitare il diritto alla libera circolazione e non deve essere considerato un documento di viaggio (art. 5.5 e 5.6, regolamento 2021/953). Esso, pertanto, è uno strumento di facilitazione della circolazione all’interno dell’Unione, come indicato nella rubrica della norma: «per agevolare la libera circolazione delle persone durante la pandemia di COVID-19».

La disciplina europea sul “certificato COVID digitale dell’Ue” trova applicazione per il periodo 1° luglio 2021-30 giugno 2022.

Disciplina privacy del green pass UE

Il citato regolamento 2021/953 prevede il rispetto di prescrizioni sul connesso trattamento di dati personali che possono ritenersi di portata generale, cioè estensibili ai green pass emessi dai singoli Stati membri ed al loro conseguente utilizzo. Di seguito, una sintesi degli stessi.

• L’identificativo univoco del certificato soddisfa prioritariamente un’esigenza di minimizzazione dei dati personali, in quanto evita l’identificazione diretta dell’intestatario nonchè la necessità di trattare altri dati personali necessari per identificare i singoli certificati [Considerando (19)]; il certificato deve contenere solo i dati strettamente necessari alla finalità perseguita e la norma di legge stabilisce le categorie di dati personali da inserire nei green pass [Considerando (50) e art. 10.3].  
• Il rilascio del green pass non deve «dar luogo a discriminazione sulla base del possesso di una categoria specifica di certificato» [Considerando (20) e art. 5.7]
• La conformità dei green pass «con il diritto dell’Unione in materia di protezione dei dati (è) essenziale» [Considerando (22)].
• La base giuridica per il trattamento dei dati personali necessario per il rilascio e la verifica dei certificati si ritrova nell’adempimento di un obbligo legale cui è soggetto il titolare [art. 6.1, lettera c)], e – per quanto attiene le categorie particolari di dati – in quanto necessario per motivi di interesse pubblico rilevante sulla base del diritto UE o degli Stati membri [art. 9.2, lettera g), GDPR] [Considerando (48) e art. 1, regolamento 2021/953]. 
• La citata base giuridica riguarda esclusivamente le finalità di rilascio e verifica dei certificati e non anche ulteriori, per esempio fini di farmacovigilanza o conservazione di cartelle cliniche individuali. Per l’utilizzo del certificato per altri fini, occorre che essi siano previsti dalle legislazioni nazionali, «che devono essere conformi alla normativa dell’Unione in materia di protezione di dati e ai principi di efficacia, necessità e proporzionalità, e dovrebbero contenere disposizioni che definiscono chiaramente l’ambito e la portata del trattamento, la finalità specifica in questione, le categorie di soggetti che possono verificare il certificato nonché le pertinenti garanzie per prevenire discriminazioni e abusi, tenendo conto dei rischi per i diritti e le libertà degli interessati. Laddove il certificato venga utilizzato per scopi non medici, i dati personali ai quali viene effettuato l’accesso durante il processo di verifica non devono essere conservati» [Considerando (48) e art. 10.3, regolamento 2021/953].
• «(I) titolari e i responsabili del trattamento dei dati sono tenuti a prendere misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio del trattamento» [Considerando (53)].
• «Il presente regolamento (2021/953, ndr) rispetta i diritti fondamentali e osserva i principi riconosciuti, in particolare, dalla Carta dei diritti fondamentali dell’Unione europea («Carta»), tra cui il diritto al rispetto della vita privata e della vita familiare, il diritto alla protezione dei dati di carattere personale, il diritto all’uguaglianza davanti alla legge e alla non discriminazione, la libertà di movimento e il diritto a un ricorso effettivo. Nell’attuazione del presente regolamento gli Stati membri devono rispettare la Carta.» [Considerando (62)].