Si chiama “Certificato verde” europeo, si legge “Pass Covid-19”. Ha lo scopo di facilitare la circolazione dei cittadini all’interno dell’Unione Europea, nonché di contribuire alla limitazione della diffusione del virus Sars-CoV-2.

Proviamo a comprendere quali sono le caratteristiche del certificato verde, chi potrà rilasciarlo e quali garanzie sono previste per la tutela dei dati personali, anche di natura sensibile, in esso contenuti.

1. Premessa

Lo scorso 17 marzo 2021, la Commissione Europea ha proposto l’introduzione di un “Certificato verde” europeo che ha come scopo quello di consentire, durante la pandemia da Covid-19, l’esercizio del diritto di libera circolazione dei cittadini previsto dall’art. 21 del Trattato sul funzionamento dell’UE (TFUE). Esso verrebbe rilasciato da ogni Stato Membro, in formato digitale e/o cartaceo ed avrebbe lo stesso valore giuridico in tutta l’UE.

Tuttavia, parlare di “Certificato verde” (al singolare) non è corretto. Infatti, come previsto nella Proposta di Regolamento europeo pubblicata dalla Commissione[1], sono tre le diverse tipologie di certificati che potranno essere rilasciati:

i. “Certificato di vaccinazione”: attesta che una persona ha ricevuto un vaccino contro il Covid-19 autorizzato all’immissione in commercio nell’UE;

ii. “Certificato di test”: attesta che una persona ha effettuato un test Covid-19, antigenico o molecolare (purchè non autodiagnostico), che ha dato risultato negativo;

iii. “Certificato di guarigione”: attesta che una persona che aveva contratto il Covid-19 ne è successivamente guarita.

Ogni certificato sarà redatto nella lingua ufficiale dello Stato Membro da cui è rilasciato, oltre che in lingua inglese, sarà gratuito e sarà emesso dalle istituzioni/autorità debitamente autorizzate a tale scopo (si pensi, ad esempio, ad ospedali, centri di diagnosi/test o all’autorità sanitaria stessa).

2. Come funziona il certificato?

Il certificato possiede un “QR (Quick Response) code” contenente le informazioni essenziali relative al suo titolare, una firma digitale che ne impedisce la falsificazione ed un sigillo che ne garantisce l’autenticità.

Nel momento in cui un cittadino europeo farà ingresso in uno Stato membro diverso da quello di appartenenza, le istituzioni e/o autorità competenti di tale Stato procederanno alla scansione del QR code presente sul certificato ed alla verifica della firma digitale in esso contenuta. Tale verifica della firma digitale avverrà mediante confronto della stessa con le chiavi di firma possedute dalle istituzioni/autorità dello Stato di destinazione, le quali saranno conservate in una banca dati protetta di ciascuno Stato.

Sarà inoltre reso disponibile, a livello comunitario, un unico “gateway” gestito dalla Commissione, mediante il quale le firme digitali dei certificati verdi potranno essere verificate in tutta l’UE.

3. Il trattamento dei dati personali contenuti nel certificato

Ciascun certificato – che sia di vaccinazione, di test o di guarigione – conterrà al proprio interno una serie di informazioni relative alla persona cui si riferisce quali ad esempio: nome, cognome, data di nascita, data di vaccinazione, risultato del test antigenico/molecolare effettuato, malattia da cui si è guariti. Si tratta di informazioni che rientrano nella definizione di “dati personali” di cui all’art. 4 del Regolamento 679/2016 (“GDPR”) in quanto relative ad una persona fisica identificata e, per questa ragione, devono essere trattate nel rispetto dei principi e delle garanzie previste da tale Regolamento.

A tal riguardo, è opportuno sintetizzare i contenuti più importanti del parere del 31 marzo 2021 che il Comitato Europeo per la protezione dei dati (“EDPB”) ed il Garante Europeo per la protezione dei dati (“EDPS”) hanno fornito alla Commissione UE in merito al certificato verde.

a) Il trattamento dei dati personali contenuti nei certificati dovrebbe essere effettuato solo al fine di comprovare e verificare lo stato di vaccinazione, di negatività o di guarigione del titolare del certificato e, conseguentemente, di agevolare l’esercizio del diritto di libera circolazione all’interno dell’UE durante la pandemia.

b) Al fine di agevolare l’esercizio dei diritti privacy da parte degli interessati, sarebbe opportuno che ogni Paese rediga e renda pubblico un elenco dei soggetti autorizzati a trattare tali dati in qualità di titolari o responsabili e di coloro che riceveranno i dati stessi (oltre alle autorità/istituzioni di ciascuno Stato membro competenti al rilascio dei certificati, già individuate quali “titolari del trattamento” dalla proposta di Regolamento).

c) La base giuridica del trattamento dei dati personali presenti nei certificati dovrebbe essere costituita dall’adempimento di un obbligo di legge (art. 6, co. 1, lett. c GDPR) e da “motivi di interesse pubblico rilevante” (art. 9, co. 2, lett. g GDPR).

d) Nel rispetto del principio di “limitazione della conservazione” dei dati previsto dal GDPR, la conservazione degli stessi dovrebbe essere limitata a quanto necessario per il perseguimento delle finalità del trattamento (e. facilitare l’esercizio del diritto alla libera circolazione nell’UE durante la pandemia da Covid-19) e, in ogni caso, alla durata stessa della pandemia, il cui termine sarà dichiarato dall’OMS.

e) Non sarà in alcun modo consentita la creazione di banche dati a livello comunitario.

4. Considerazioni critiche e conclusioni

Al di là della portata innovativa della proposta di Regolamento, emergono alcuni aspetti che meritano di essere ulteriormente approfonditi o, quantomeno, chiariti dal legislatore europeo per garantire la corretta applicazione della nuova normativa europea.

a. Emissione e rilascio dei certificati

La proposta di Regolamento prevede che i certificati siano “rilasciati automaticamente o su richiesta degli interessati” (cfr. Considerando 14 e artt. 5 e 6). Ci si domanda, quindi, come altresì evidenziato dall’EDPB e dall’EDPS, se un certificato:

i. sarà generato e rilasciato all’interessato solo se espressamente richiesto da quest’ultimo;
ovvero se, al contrario
ii. sarà generato automaticamente dalle autorità competenti (ad es., all’esito della vaccinazione) ma consegnato all’interessato solo su espressa richiesta.

b. Il possesso di un certificato non impedisce agli Stati membri di imporre eventuali restrizioni all’ingresso

La proposta di Regolamento prevede che uno Stato membro possa comunque decidere di imporre al titolare di un certificato determinate misure restrittive (quali, ad esempio, l’obbligo di sottoporsi ad un regime di quarantena e/o a misure di auto-isolamento) nonostante l’esibizione del certificato stesso, purché tale Stato indichi i motivi, la portata ed il periodo di applicazione delle restrizioni, compresi i dati epidemiologici pertinenti a sostegno delle stesse.

Ci si domanda, tuttavia, se tali restrizioni e le loro condizioni di applicabilità saranno definite a livello europeo ovvero se l’individuazione delle stesse sarà demandata a ciascuno Stato, accettando – in quest’ultimo caso – il rischio di vanificare il tentativo di unificazione normativa perseguito dalla proposta di Regolamento.

c. La durata temporale del certificato

La proposta di Regolamento prevede che solo il “Certificato di guarigione” debba contenere anche l’indicazione del periodo di validità. E’ lecito domandarsi, quindi, quale sia la durata degli altri due certificati (“di vaccinazione” e “di test”) e come sia possibile garantire la veridicità di quanto attestato da un certificato dopo che sia trascorso un determinato lasso di tempo dalla data di rilascio (basti pensare, ad esempio, ai diversi casi di positività riscontrati dopo la somministrazione di un vaccino o ai cd. “falsi negativi/positivi”).

d. Gli obblighi del titolare del certificato

Quali obblighi è tenuto a rispettare il titolare di un certificato? Ad esempio, qualora sia stato rilasciato un certificato che attesti lo stato di negatività al Covid-19 e, a distanza di qualche mese, il titolare scopra di essere positivo, egli ha l’obbligo di rivolgersi alle competenti autorità/istituzioni del proprio Stato al fine di far revocare il certificato? E ancora: nell’ipotesi in cui il titolare tenti di utilizzare un certificato (non veritiero) per l’ingresso in uno Stato terzo, a quali sanzioni andrebbe incontro?

e. La protezione dei dati personali

La nuova proposta di Regolamento demanda alla Commissione il compito di adottare, mendiante atti di esecuzione, specifiche disposizioni finalizzate a garantire la sicurezza dei dati personali contenuti nei certificati.

Tuttavia, considerata la natura estremamente sensibile dei dati in oggetto, la Commissione chiederà anche un parere preventivo alle Autorità per la protezione dei dati personali dei singoli Stati membri? Sarebbe forse utile garantire, anche in questo contesto e con specifico riferimento alla documentazione privacy da fornire agli interessati prima del rilascio dei certificati, un approccio europeo pressochè unanime tale da impedire l’eventuale frammentazione delle garanzie previste dal Regolamento 679/2016 (“GDPR”).

In conclusione, si tratta di una proposta che se attuata con le dovute attenzioni potrebbe contribuire ampiamente al ritorno ad una vita quasi normale; si ha tuttavia il timore che in assenza di una disciplina particolarmente dettagliata in materia sia alto il rischio di rendere ancora più complessi gli spostamenti transfrontalieri, anche considerato che molto probabilmente ogni Stato adotterebbe ulteriori misure relative alla disciplina di tale certificato.

[1] https://eur-lex.europa.eu/resource.html?uri=cellar:38de66f4-8807-11eb-ac4c-01aa75ed71a1.0024.02/DOC_1&format=PDF.