Certificato Verde Europeo: libertà di muoversi in Europa in tempo di pandemia
Si chiama “Certificato verde” europeo, si legge “Pass Covid-19”. Ha lo scopo di facilitare la circolazione dei cittadini all’interno dell’Unione Europea, nonché di contribuire alla limitazione della diffusione del virus Sars-CoV-2.
Proviamo a comprendere quali sono le caratteristiche del certificato verde, chi potrà rilasciarlo e quali garanzie sono previste per la tutela dei dati personali, anche di natura sensibile, in esso contenuti.
1. Premessa
Lo scorso 17 marzo 2021, la Commissione Europea ha proposto l’introduzione di un “Certificato verde” europeo che ha come scopo quello di consentire, durante la pandemia da Covid-19, l'esercizio del diritto di libera circolazione dei cittadini previsto dall’art. 21 del Trattato sul funzionamento dell'UE (TFUE). Esso verrebbe rilasciato da ogni Stato Membro, in formato digitale e/o cartaceo ed avrebbe lo stesso valore giuridico in tutta l’UE.
Tuttavia, parlare di “Certificato verde” (al singolare) non è corretto. Infatti, come previsto nella Proposta di Regolamento europeo pubblicata dalla Commissione[1], sono tre le diverse tipologie di certificati che potranno essere rilasciati:
i. “Certificato di vaccinazione”: attesta che una persona ha ricevuto un vaccino contro il Covid-19 autorizzato all’immissione in commercio nell’UE;
ii. “Certificato di test”: attesta che una persona ha effettuato un test Covid-19, antigenico o molecolare (purchè non autodiagnostico), che ha dato risultato negativo;
iii. “Certificato di guarigione”: attesta che una persona che aveva contratto il Covid-19 ne è successivamente guarita.
Ogni certificato sarà redatto nella lingua ufficiale dello Stato Membro da cui è rilasciato, oltre che in lingua inglese, sarà gratuito e sarà emesso dalle istituzioni/autorità debitamente autorizzate a tale scopo (si pensi, ad esempio, ad ospedali, centri di diagnosi/test o all’autorità sanitaria stessa).
2. Come funziona il certificato?
Il certificato possiede un “QR (Quick Response) code” contenente le informazioni essenziali relative al suo titolare, una firma digitale che ne impedisce la falsificazione ed un sigillo che ne garantisce l'autenticità.
Nel momento in cui un cittadino europeo farà ingresso in uno Stato membro diverso da quello di appartenenza, le istituzioni e/o autorità competenti di tale Stato procederanno alla scansione del QR code presente sul certificato ed alla verifica della firma digitale in esso contenuta. Tale verifica della firma digitale avverrà mediante confronto della stessa con le chiavi di firma possedute dalle istituzioni/autorità dello Stato di destinazione, le quali saranno conservate in una banca dati protetta di ciascuno Stato.
Sarà inoltre reso disponibile, a livello comunitario, un unico “gateway” gestito dalla Commissione, mediante il quale le firme digitali dei certificati verdi potranno essere verificate in tutta l'UE.
3. Il trattamento dei dati personali contenuti nel certificato
Ciascun certificato – che sia di vaccinazione, di test o di guarigione – conterrà al proprio interno una serie di informazioni relative alla persona cui si riferisce quali ad esempio: nome, cognome, data di nascita, data di vaccinazione, risultato del test antigenico/molecolare effettuato, malattia da cui si è guariti. Si tratta di informazioni che rientrano nella definizione di “dati personali” di cui all’art. 4 del Regolamento 679/2016 (“GDPR”) in quanto relative ad una persona fisica identificata e, per questa ragione, devono essere trattate nel rispetto dei principi e delle garanzie previste da tale Regolamento.
A tal riguardo, è opportuno sintetizzare i contenuti più importanti del parere del 31 marzo 2021 che il Comitato Europeo per la protezione dei dati (“EDPB”) ed il Garante Europeo per la protezione dei dati (“EDPS”) hanno fornito alla Commissione UE in merito al certificato verde.
a) Il trattamento dei dati personali contenuti nei certificati dovrebbe essere effettuato solo al fine di comprovare e verificare lo stato di vaccinazione, di negatività o di guarigione del titolare del certificato e, conseguentemente, di agevolare l'esercizio del diritto di libera circolazione all'interno dell'UE durante la pandemia.
b) Al fine di agevolare l’esercizio dei diritti privacy da parte degli interessati, sarebbe opportuno che ogni Paese rediga e renda pubblico un elenco dei soggetti autorizzati a trattare tali dati in qualità di titolari o responsabili e di coloro che riceveranno i dati stessi (oltre alle autorità/istituzioni di ciascuno Stato membro competenti al rilascio dei certificati, già individuate quali “titolari del trattamento” dalla proposta di Regolamento).
c) La base giuridica del trattamento dei dati personali presenti nei certificati dovrebbe essere costituita dall’adempimento di un obbligo di legge (art. 6, co. 1, lett. c GDPR) e da “motivi di interesse pubblico rilevante” (art. 9, co. 2, lett. g GDPR).
d) Nel rispetto del principio di “limitazione della conservazione” dei dati previsto dal GDPR, la conservazione degli stessi dovrebbe essere limitata a quanto necessario per il perseguimento delle finalità del trattamento (e. facilitare l'esercizio del diritto alla libera circolazione nell'UE durante la pandemia da Covid-19) e, in ogni caso, alla durata stessa della pandemia, il cui termine sarà dichiarato dall’OMS.
e) Non sarà in alcun modo consentita la creazione di banche dati a livello comunitario.
4. Considerazioni critiche e conclusioni
Al di là della portata innovativa della proposta di Regolamento, emergono alcuni aspetti che meritano di essere ulteriormente approfonditi o, quantomeno, chiariti dal legislatore europeo per garantire la corretta applicazione della nuova normativa europea.
a. Emissione e rilascio dei certificati
La proposta di Regolamento prevede che i certificati siano “rilasciati automaticamente o su richiesta degli interessati” (cfr. Considerando 14 e artt. 5 e 6). Ci si domanda, quindi, come altresì evidenziato dall’EDPB e dall’EDPS, se un certificato:
i. sarà generato e rilasciato all’interessato solo se espressamente richiesto da quest’ultimo;
ovvero se, al contrario
ii. sarà generato automaticamente dalle autorità competenti (ad es., all’esito della vaccinazione) ma consegnato all’interessato solo su espressa richiesta.
b. Il possesso di un certificato non impedisce agli Stati membri di imporre eventuali restrizioni all’ingresso
La proposta di Regolamento prevede che uno Stato membro possa comunque decidere di imporre al titolare di un certificato determinate misure restrittive (quali, ad esempio, l’obbligo di sottoporsi ad un regime di quarantena e/o a misure di auto-isolamento) nonostante l’esibizione del certificato stesso, purché tale Stato indichi i motivi, la portata ed il periodo di applicazione delle restrizioni, compresi i dati epidemiologici pertinenti a sostegno delle stesse.
Ci si domanda, tuttavia, se tali restrizioni e le loro condizioni di applicabilità saranno definite a livello europeo ovvero se l’individuazione delle stesse sarà demandata a ciascuno Stato, accettando - in quest’ultimo caso - il rischio di vanificare il tentativo di unificazione normativa perseguito dalla proposta di Regolamento.
c. La durata temporale del certificato
La proposta di Regolamento prevede che solo il “Certificato di guarigione” debba contenere anche l’indicazione del periodo di validità. E’ lecito domandarsi, quindi, quale sia la durata degli altri due certificati (“di vaccinazione” e “di test”) e come sia possibile garantire la veridicità di quanto attestato da un certificato dopo che sia trascorso un determinato lasso di tempo dalla data di rilascio (basti pensare, ad esempio, ai diversi casi di positività riscontrati dopo la somministrazione di un vaccino o ai cd. “falsi negativi/positivi”).
d. Gli obblighi del titolare del certificato
Quali obblighi è tenuto a rispettare il titolare di un certificato? Ad esempio, qualora sia stato rilasciato un certificato che attesti lo stato di negatività al Covid-19 e, a distanza di qualche mese, il titolare scopra di essere positivo, egli ha l’obbligo di rivolgersi alle competenti autorità/istituzioni del proprio Stato al fine di far revocare il certificato? E ancora: nell’ipotesi in cui il titolare tenti di utilizzare un certificato (non veritiero) per l’ingresso in uno Stato terzo, a quali sanzioni andrebbe incontro?
e. La protezione dei dati personali
La nuova proposta di Regolamento demanda alla Commissione il compito di adottare, mendiante atti di esecuzione, specifiche disposizioni finalizzate a garantire la sicurezza dei dati personali contenuti nei certificati.
Tuttavia, considerata la natura estremamente sensibile dei dati in oggetto, la Commissione chiederà anche un parere preventivo alle Autorità per la protezione dei dati personali dei singoli Stati membri? Sarebbe forse utile garantire, anche in questo contesto e con specifico riferimento alla documentazione privacy da fornire agli interessati prima del rilascio dei certificati, un approccio europeo pressochè unanime tale da impedire l’eventuale frammentazione delle garanzie previste dal Regolamento 679/2016 (“GDPR”).
In conclusione, si tratta di una proposta che se attuata con le dovute attenzioni potrebbe contribuire ampiamente al ritorno ad una vita quasi normale; si ha tuttavia il timore che in assenza di una disciplina particolarmente dettagliata in materia sia alto il rischio di rendere ancora più complessi gli spostamenti transfrontalieri, anche considerato che molto probabilmente ogni Stato adotterebbe ulteriori misure relative alla disciplina di tale certificato.
[1] https://eur-lex.europa.eu/resource.html?uri=cellar:38de66f4-8807-11eb-ac4c-01aa75ed71a1.0024.02/DOC_1&format=PDF.
Contact tracing e COVID-19: il GDPR come punto di equilibrio tra tutela della salute e privacy
L’utilizzo di una tecnologia di contact tracing si rivela necessario ed essenziale per far fronte all’emergenza Covid-19 e tutelare la salute pubblica del nostro paese. Tuttavia, la mappatura degli spostamenti delle persone può comportare serie conseguenze in tema di protezione della nostra riservatezza. Come trovare quindi il giusto bilanciamento tra i due diritti fondamentali della salute e della privacy di ciascun individuo?
“Contact tracing” (in italiano, “tracciamento dei contatti”) è l’espressione del momento. Si tratta di un sistema di tracciamento digitale dei contatti delle persone fisiche che rappresenta un’importante misura tecnologica di contenimento e prevenzione della diffusione del virus Covid-19 nel nostro Paese (e altrove).
Tale sistema di tracciamento verrebbe attuato mediante l’applicazione denominata “Immuni”, progettata e sviluppata dalla software house milanese Bending Spoons che sarà lanciata in Italia (probabilmente) entro la fine del mese di maggio 2020 .
Il tracciamento dei contatti di singoli individui ed il conseguente utilizzo dei dati personali comuni e sensibili (tra cui i dati relativi alla salute) per finalità connesse alla tutela della salute pubblica comporta però ripercussioni sulla loro riservatezza.
Se da un lato, infatti, la tutela della salute è un diritto costituzionalmente garantito - “salute” intesa come fondamentale diritto dell’individuo e interesse della collettività ai sensi dell’art. 32 della Costituzione - dall’altro, la protezione dei dati personali (o riservatezza) è un diritto fondamentale espressamente previsto dalla Carta di Nizza e riconosciuto dalla nostra Costituzione.
Occorre inoltre domandarsi quali possano essere i risvolti pratici derivanti dall’utilizzo di una tecnologia di contact tracing sulla nostra vita quotidiana; come sia stato disciplinato, a livello normativo, il rapporto tra il diritto alla salute e quello alla protezione dei dati personali; e ancora se sia possibile confidare nell’utilizzo di questo nuovo strumento senza temere una violazione della nostra privacy.
1. Che cos’è “Immuni” e come funziona
Immuni è un’applicazione che può essere scaricata su ogni dispositivo di telefonia mobile e che genera - rispetto a ciascun dispositivo - un codice identificativo (ID) temporaneo, anonimo e variabile che interagisce, tramite la tecnologia “Bluetooth Low Energy”, con gli altri dispositivi mobili che si trovano nelle sue vicinanze, raccogliendo e memorizzando il codice ID ed i metadati di tali dispositivi (ad esempio, la durata dell’incontro con l’altro dispositivo, i metri di distanza, ecc.). Il titolare del trattamento dei dati raccolti dall’app Immuni è il Ministero della Salute.
Immuni verifica inoltre se tra i codici ID presenti nelle vicinanze vi siano anche i cd. “ID positivi”, ossia codici associati a dispositivi mobili di proprietà di soggetti già contagiati (o meglio, il cui contagio sia già stato accertato da una struttura sanitaria); per compiere questa operazione, Immuni scarica da un server a gestione pubblica gli ID positivi secondo intervalli di tempo regolari e li incrocia con l’ID del dispositivo su cui è installata. Successivamente, Immuni elabora i metadati raccolti tramite un apposito algoritmo e stabilisce se vi sia un “potenziale rischio di contagio” (più o meno elevato) da Covid-19.
Se la verifica dà esito positivo e Immuni ritiene che sussista un ragionevole rischio di contagio, l’utente riceve una notifica sul proprio dispositivo che lo informa di essere entrato in contatto con un soggetto contagiato e lo invita a seguire determinate istruzioni (tra cui, ad esempio, l’isolamento spontaneo domiciliare e/o l’effettuazione di approfondimenti diagnostici).
Facciamo un esempio pratico: Carlo e Giulia si incontrano per qualche minuto a breve distanza tra loro; hanno entrambi scaricato l’app Immuni e i loro dispositivi mobili catturano a vicenda l’ID dell’altro. Dopo qualche giorno, Carlo scopre di avere contratto il Coronavirus e decide spontaneamente (ricordiamo infatti che non v’è alcun obbligo in questo senso) di comunicare tale dato sensibile all’app Immuni. Nel frattempo, l’app installata sullo smartphone di Giulia esamina gli ID che ha raccolto e che ha conservato in memoria e li incrocia con quelli scaricati dal server pubblico, rilevando la presenza dell’ID di Carlo. A questo punto Giulia riceve una notifica dalla sua app Immuni che la avvisa di essere entrata in contatto con una persona risultata positiva al Coronavirus (senza indicare di chi si tratti) e la invita ad adottare determinati accorgimenti.
2. I pareri del Comitato europeo per la protezione dei dati e del Garante Privacy
Il Comitato europeo per la protezione dei dati (cfr. “Linee Guida 04/2020 sull'uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19”) e il Garante Privacy italiano (cfr. “Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19”) hanno già avuto modo di esprimere il loro parere in merito all’utilizzo di strumenti di geo-localizzazione delle persone fisiche e di tracciamento dei contatti nel contesto dell’emergenza Covid-19 e hanno individuato quali accorgimenti andrebbero adottati al fine di garantire che i dati personali degli interessati siano trattati senza pregiudizio per i loro diritti e libertà fondamentali.
Nel merito, secondo il Garante Privacy il tracciamento dei contatti mediante l’utilizzo dell’applicazione Immuni, oltre ad allinearsi ai criteri individuati dal Comitato europeo, non appare in contrasto con i principi di protezione dei dati personali in quanto:
a) è disciplinato da una norma di legge che descrive in maniera sufficientemente dettagliata il trattamento dei dati, la tipologia di dati raccolti, le garanzie accordate agli interessati, la temporaneità della misura (il riferimento è all’art. 6 del D.L. 30 aprile 2020, n. 28);
b) si fonda sull’adesione volontaria dell’interessato, escludendo ogni forma di condizionamento della determinazione individuale e, quindi, eventuali disparità di trattamento per coloro che decidano di non acconsentire al tracciamento;
c) è preordinato al perseguimento di fini di interesse pubblico indicati con sufficiente precisione ed esclude il trattamento secondario dei dati raccolti per fini diversi, salva la possibilità (nei termini generali previsti dal GDPR) di utilizzo degli stessi, in forma anonima o aggregata, per fini statistici o di ricerca scientifica;
d) appare conforme ai principi di minimizzazione e ai criteri di privacy by design e by default (quindi ai principi di “protezione dei dati fin dalla progettazione” e “protezione dei dati per impostazione predefinita” di cui all’art. 25 del GDPR), nella misura in cui prevede la raccolta dei soli dati relativi alla prossimità o vicinanza tra dispositivi, il loro trattamento in forma pseudonima, sempre che non sia possibile in forma del tutto anonima, escludendo il ricorso a dati di geo-localizzazione e limitandone la conservazione al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine.
A tal riguardo, è opportuno ricordare che, ai sensi dell’art. 6 del D.L. 28/2020, l'utilizzo di Immuni ed ogni connesso trattamento di dati personali dovranno terminare alla cessazione dello stato di emergenza e comunque non oltre il 31 dicembre 2020, con cancellazione o definitiva anonimizzazione di tutti i dati personali trattati;
e) si conforma al principio di trasparenza nei confronti dell’interessato, garantendone la dovuta informazione, in quanto gli utenti ricevono, prima dell'attivazione dell'app, un’informativa privacy ai sensi del GDPR.
Il Garante Privacy condivide e appoggia quindi l’utilizzo di Immuni ma mantenendo sempre un occhio di riguardo verso gli interessati: all’interno del proprio parere infatti l’Autorità precisa che, da un lato, potranno essere meglio individuate le caratteristiche del trattamento dei dati effettuato da Immuni e, dall’altro, adottate misure e accorgimenti adeguati a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati (conformemente all’art. 2-quinquiesdecies del Codice Privacy e all’art. 36, comma 5, del GDPR).
3. Il GDPR come punto di equilibrio tra tutela della salute e protezione dei dati personali
È opinione purtroppo largamente diffusa, soprattutto tra i non esperti in materia, che la normativa privacy rappresenti sovente una mera “complicazione burocratica” che funge da ostacolo al perseguimento di tutti gli obiettivi che implicano un trattamento di dati personali.
Si tratta di un’opinione errata e fuorviante, spesso generata da una mancata conoscenza del diritto, oltre che pericolosa per le conseguenze cui la stessa potrebbe condurre - si pensi, nella fattispecie, alla remota possibilità di rinunciare in toto all’utilizzo di un sistema di contact tracing valido ed efficace per fronteggiare l’emergenza sanitaria da Covid-19 poiché asseritamente “incompatibile” con il diritto alla protezione dei dati personali.
Chi scrive è convinto che lo scenario attuale rappresenti il contesto ideale per dimostrare che, al contrario, la normativa privacy può (e deve) essere invece il “punto di equilibrio” per raggiungere anche gli obiettivi più ambiziosi - tra cui certamente la tutela della salute pubblica - senza rinunciare alla privacy.
Si ricordi innanzitutto che sul tema il Comitato europeo per la protezione dei dati ha avuto modo di chiarire che “i dati e le tecnologie utilizzati per contribuire alla lotta al COVID-19 devono servire a dare maggiori strumenti alle persone, piuttosto che a controllarle, stigmatizzarle o reprimerne i comportamenti”.
Da un attento esame del testo del Regolamento n. 679/2016 (cd. “GDPR”) si comprende inoltre che, con riferimento alle situazioni di emergenza sanitaria, il legislatore europeo non pone alcun ostacolo al perseguimento di interessi rilevanti nel settore della sanità pubblica (si vedano il considerando 52 e 54 e l’art. 9, comma 1, lett. g e i) - tra cui rientrano anche “il controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute” - mediante il trattamento di dati personali.
Sulla stessa scorta, anche il Codice Privacy italiano - come da ultimo aggiornato dal D. Lgs. n. 101/2018 - richiama quanto previsto dal GDPR ed anzi considera come espressamente “rilevante” l'interesse di coloro che trattano dati personali per lo svolgimento di compiti di interesse pubblico (o connessi all'esercizio di pubblici poteri) in ambito sanitario e per la salvaguardia della sicurezza e salute della popolazione.
Si può quindi riaffermare che le norme in materia di protezione dei dati personali favoriscono l’adozione di misure e soluzioni volte ad arginare la diffusione del virus Covid-19, senza tuttavia rinunciare alla tutela della riservatezza degli individui.
Soluzioni che tuttavia - ed ecco il “punto di equilibrio” - devono sempre trovare il proprio fondamento e la propria regolamentazione in norme di legge che prevedano espressamente misure appropriate e specifiche per tutelare i diritti fondamentali e le libertà degli interessati, e ciò anche in relazione alle tipologie di dati che possono essere trattati, le operazioni di trattamento eseguibili e il motivo di interesse pubblico rilevante (cfr. art. 9, comma 1, lett. i del GDPR e art. 2-sexies del Codice Privacy).
4. Conclusioni e riflessioni
Possiamo quindi “fidarci” di Immuni? La risposta deve essere affermativa.
Come detto, l’utilizzo di tale applicazione è rimesso alla coscienza di ciascuno di noi, posto che il principio cardine cui tale app si ispira è il principio di volontarietà: ciascun utente, in altre parole, sarà libero di scaricarla, di inserire nell’app i propri dati personali, anche relativi allo stato di salute (i.e. la positività al Covid-19) e di seguire o meno le istruzioni ricevute dall’app a seguito di un potenziale contatto con una persona contagiata.
Gli esperti ci informano però che almeno il 70% della popolazione dovrebbe scaricarla affinché la stessa possa contribuire ad un significativo contenimento della pandemia. È un obiettivo certamente ambizioso, che per essere raggiunto necessita innanzitutto di una campagna di sensibilizzazione della popolazione volta a rendere facilmente comprensibile, soprattutto ai non esperti della materia, quali siano le garanzie individuate dal Governo a tutela della nostra privacy.
Riassumendo, le garanzie che Immuni pone a protezione dei nostri dati personali e che ognuno ha il dovere di conoscere sono: la trasparenza nei confronti degli interessati (sapremo quindi prima di registrarci all’app, ad esempio, per quali finalità saranno trattati, per quanto tempo e a chi saranno comunicati i nostri dati personali), l’esclusività dello scopo del trattamento (i nostri dati saranno utilizzati solo per il contenimento dei contagi, escludendo altri diversi fini) e la minimizzazione del trattamento (saranno raccolti solo i dati necessari per poter tracciare i nostri contatti e saranno adottate tecniche di anonimizzazione e pseudonimizzazione affidabili).
Ma non solo. Diffondere una corretta conoscenza delle norme in materia di protezione dei dati personali, il loro reale significato, la loro funzione e il loro valore si rivela, in realtà, ancora più importante, se non indispensabile ed essenziale, per contribuire ad una diffusa “cultura giuridica” e per perseguire un ambizioso obiettivo cui tutti noi siamo chiamati in questo delicato periodo storico.
Lo ha ribadito espressamente la presidente del Comitato europeo per la protezione dei dati, Andrea Jelinek, alla Commissione Europea affermando: “l’adozione volontaria di un sistema di contact tracing va di pari passo con la fiducia individuale, e ciò sottolinea ulteriormente l’importanza dei principi di protezione dei dati”.
Consapevolezza e fiducia. E viceversa.