Regolamentazione e rischi collegati all’utilizzo dei sistemi di intelligenza artificiale

Come noto, il 21 aprile 2021 la Commissione Europea finalizzava una proposta di regolamento (di seguito per comodità “Regolamento”) al fine di introdurre un sistema di norme armonizzate per lo sviluppo, immissione e utilizzo di sistemi di intelligenza artificiale “IA” all'interno dell'Unione Europea. In quell’occasione, veniva previsto un “periodo di grazia”, vale a dire un periodo di due anni in cui tutti gli operatori del settore avrebbero avuto il tempo di conformarsi al Regolamento, nonché di adottare decisioni in base alle regole in esso contenute.

Visto il proliferarsi di sistemi di intelligenza artificiale, è lecito domandarsi se durante il citato periodo di grazia gli stessi si siano effettivamente conformati alle norme del Regolamento.

Per rispondere a tale quesito, è necessario anzitutto elencare di seguito i sistemi di intelligenza artificiale specificamente vietati dal Regolamento:

  • quelli che utilizzano tecniche subliminali capaci di distorcere il comportamento di un soggetto;
  • quelli che sfruttano la vulnerabilità di un gruppo specifico di persone;
  • quelli che permettono alle autorità pubbliche di creare una classificazione delle persone basata su un punteggio sociale;
  • quelli che utilizzano sistemi di identificazione biometrica in tempo reale, salvo nei casi previsti dalla legge.

In aggiunta a quanto sopra, la Commissione Europea ha altresì individuato tre tipologie di rischio in relazione al tipo di sistema di intelligenza artificiale in uso che vengono riportate di seguito:

  • “rischio inaccettabile” qualora il sistema di IA sia da considerarsi una minaccia per la sicurezza, i mezzi di sostegno e i diritti individuali; un tale sistema è da ritenersi proibito in base al Regolamento;
  • "alto rischio” qualora i sistemi di IA siano utilizzati in settori che coinvolgono diritti fondamentali dell’uomo; un tale sistema può essere utilizzato e implementato solo adottando una serie precauzioni di cui si parlerà di seguito;
  • “rischio limitato” qualora i sistemi di IA comportino rischi considerati minori, come ad esempio nel campo dei videogiochi, dove vengono imposti unicamente obblighi di trasparenza.

Sulla base di queste dovute premesse, proviamo ad analizzare una fattispecie concreta di intelligenza artificiale – vale a dire la guida autonoma della nota casa automobilistica “Tesla” in relazione alla quale lo Studio ha già pubblicato un articolo - per comprendere se essa sia o meno conforme al Regolamento e, soprattutto, che tipo di rischio potrebbe derivare dal suo utilizzo.

È ragionevole considerare come elevato il rischio che tale sistema di IA potrebbe comportare per il pubblico e ne sono prova gli oltre 700 incidenti provocati dalla stessa al di fuori dell’Unione Europea, con danni sia a persone che a veicoli di terzi.

È altrettanto ragionevole affermare che un sistema di guida autonoma come quello in questione necessiterebbe di una doppia regolamentazione, vale a dire sia le norme del citato Regolamento in relazione all’uso / implementazione del sistema di intelligenza artificiale, sia nuove e precipue regole del codice della strada necessitate dalla circolazione di veicoli senza conducente che comunicano tra di loro attraverso segnali e suoni non comprensibili per l’essere umano (risulta che tale ultima regolamentazione sia già a buon punto in Francia, Germania e Stati Uniti).

Ora, pare ragionevole inquadrare tale sistema di IA c.d. “self-driving car” all’interno della seconda tipologia di rischio, ossia quello ritenuto “alto”; sulla base del Regolamento, questo livello di rischio richiede al produttore di tale sistema di intelligenza artificiale (“Tesla”) di svolgere una preliminare valutazione di conformità del sistema nonché di fornire una dettagliata analisi dei relativi rischi, il tutto mediante una serie di test che dovranno dimostrare la totale assenza di errori di tali sistemi. In aggiunta, l’art. 10 del Regolamento prevede un ulteriore obbligo a carico dell’azienda utilizzatrice del sistema di IA riguardante la corretta conservazione e governance dei dati degli utenti trattati dai sistemi in questione.

Il Regolamento in esame prevede dunque una serie di requisiti e obblighi piuttosto rigidi che, ad opinione di chi scrive, saranno difficilmente soddisfatti da parte dei sistemi di intelligenza artificiale oggi in circolazione e, difatti, non sono mancate le critiche da parte di coloro che auspicano l’introduzione di criteri meno stringenti in modo da facilitare un maggior utilizzo di tali sistemi.

Un altro esempio concreto di intelligenza artificiale, di cui abbiamo già parlato nell’articolo dello scorso mese, è ChatGPT che in Italia è stata bloccata dal Garante della Privacy per inosservanza delle norme europee sui dati personali.

Proprio ChatGPT dimostra come sia alquanto complesso inquadrare e classificare i diversi dispositivi di intelligenza artificiale pur applicando i criteri e principi definiti dal Regolamento. Difatti, ad una prima e superficiale analisi, ChatGPT potrebbe rientrare nei sistemi di IA con un rischio minore (terzo livello) in quanto non sembra coinvolgere diritti fondamentali.

C’è tuttavia da domandarsi se questo sia valido anche qualora si chiedesse all’applicazione ChatGPT di rintracciare e divulgare i dati di una persona ovvero di predisporre un saggio ovvero ancora di rielaborare un’opera protetta dal diritto d’autore.

La risposta a tale quesito non potrà che essere negativa, atteso che tale utilizzo dell’applicazione in esame rischierebbe di violare non solo i diritti fondamentali relativi alla protezione dei dati personali di ciascun individuo ma anche quelli appartenenti agli autori delle opere protette dal diritto d’autore. Tutto questo ci impone di classificare ChatGPT nella categoria dei sistemi IA ad “alto rischio”, con tutte le conseguenze che ne derivano.

Sotto questo profilo, bisogna inoltre evidenziare che il Regolamento prevede severi controlli in relazione ai sistemi di IA ad “alto rischio”, nonché l’applicazione di sanzioni amministrative che possono arrivare fino a 30 milioni di euro ovvero al 6% di fatturato dell’azienda interessata. Non è tuttavia chiaro, o comunque non è stato ancora individuato, quale sarà l’organo deputato a svolgere i controlli circa il rispetto delle norme del Regolamento.

In conclusione e sulla base delle considerazioni svolte sopra, chi scrive ritiene opportuno che in fase di approvazione definitiva del Regolamento vengano meglio definiti i principi e criteri per la classificazione dei vari sistemi di intelligenza artificiale in quanto attualmente troppo generici e spesso insufficienti a classificare correttamente i sistemi di IA più complessi (tra i quali “ChatGPT”).

È inoltre auspicabile che venga creata ed istituita un’autorità indipendente ed imparziale per ciascuno stato membro capace di svolgere la funzione di controllo e verifica di corretta applicazione delle norme del Regolamento al fine di una migliore tutela dei diritti fondamentali dei singoli individui.


Il brevetto europeo con effetto unitario: quali possibili vantaggi e svantaggi?

Fino ad oggi, a livello europeo, i brevetti sono stati disciplinati dalla Convenzione di Monaco, la quale prevede una procedura unica e centralizzata per la concessione dei brevetti affidata all’Ufficio Europeo dei Brevetti (EPO).

Se unitaria è la procedura sotto il profilo della concessione del brevetto, altrettanto non si può dire per la tutela dello stesso; il brevetto europeo concesso deve infatti essere convalidato in ogni Stato, facente parte della Convenzione, in cui si intende ottenere tutela. Si usa dire che il brevetto europeo corrisponde ad un “fascio” di brevetti nazionali: in sostanza, a seguito della concessione, il brevetto europeo conferisce al titolare gli stessi diritti che deriverebbero da un brevetto nazionale e ai giudici nazionali è rimessa ogni questione relativa alla validità e contraffazione del brevetto.

La situazione è destinata a cambiare.

Brevetto europeo con effetto unitario

Come noto, il 1° giugno 2023 entrerà in vigore l’Accordo sul Tribunale Unificato dei Brevetti e a quel punto sarà operativo il brevetto europeo con effetto unitario, il quale conferirà una tutela uniforme in tutti gli Stati europei che hanno scelto di aderire a questo nuovo sistema.

È bene chiarire che il brevetto europeo con effetto unitario non si sostituirà al brevetto europeo “tradizionale”, al contrario si affiancherà a quest’ultimo permettendo al titolare della privativa di scegliere a quale sistema aderire.

Al pari di quanto accade per il brevetto europeo “tradizionale”, sarà sempre l’EPO l’ufficio competente a rilasciare i titoli di privativa unitari; inoltre, il nuovo sistema non ha mutato le modalità di rilascio del brevetto. Molto semplicemente, al termine della procedura di concessione del brevetto europeo, il titolare avrà la facoltà di richiedere l’effetto unitario entro un mese e lo dovrà fare nella lingua del procedimento.

Attualmente a questo sistema hanno scelto di partecipare venticinque Stati europei (grande assente è la Spagna); solo diciassette, tuttavia, hanno ratificato l’Accordo.

Questo significa che, nel momento in cui il sistema entrerà in vigore, la tutela uniforme si estenderà unicamente ai diciassette stati ratificanti. La domanda da porsi è quindi: poi cosa succederà? Nel momento in cui altri Stati ratificheranno l’Accordo, la tutela unitaria si estenderà automaticamente a questi ultimi?

Per quanto possa essere sorprendente, la risposta è negativa.

Nel tempo si creeranno infatti diverse “generazioni” di brevetti unitari con una diversa copertura territoriale a seconda del numero di stati ratificanti l’Accordo. Almeno in prima battuta, quindi, non ci sarà un brevetto davvero unitario in tutti gli stati aderenti al sistema.

Posto che si tratta di un sistema alternativo, come si potrà scegliere di non aderirvi?

È già possibile farlo. A partire dal 1° marzo 2023 è iniziato infatti il c.d. periodo di sunrise, ossia un arco temporale della durata di tre mesi, durante il quale i titolari dei brevetti europei già concessi, i titolari di domande di brevetto europeo e di certificati complementari di protezione rilasciati per un prodotto protetto da brevetto europeo possono richiedere l’esclusione di questi ultimi dal sistema e conseguentemente sottrarli alla competenza del Tribunale Unificato dei Brevetti (si parla di opt-out, così come previsto dall’art. 83 dell’Accordo). L’opt-out potrà essere esercitato anche durante il periodo transitorio (sette anni). Tuttavia, è bene effettuare in questi tre mesi la scelta in quanto, qualora dopo il 1° giugno si fosse coinvolti in un’azione giudiziaria avanti il Tribunale Unificato, l’opt-out non sarà più consentito. Se si sceglie di effettuare l’opt-out si resta per sempre esclusi dal sistema? No, è possibile cambiare idea e scegliere di effettuare l’opt-in, questa scelta non potrà però essere più revocata di nuovo.

Quali vantaggi apporterà concretamente il nuovo sistema?

I vantaggi sembrano plurimi. Innanzitutto, si avrà la possibilità di ottenere una protezione uniforme in tutti gli stati che hanno ratificato l’Accordo e l’EPO rappresenterà l’unico ufficio a cui sottoporre le domande di registrazione (non solo, l’EPO gestirà centralmente le fasi post-registrazione). Inoltre, i titolari dei brevetti unitari pagheranno un’unica tassa annuale di mantenimento e non saranno ovviamente più sostenuti i costi relativi alla fase di convalida del brevetto. Si aggiunga che le controversie che insorgeranno in relazione al brevetto unitario saranno sottoposte alla giurisdizione esclusiva del Tribunale Unificato dei Brevetti, le cui decisioni avranno effetto in tutti gli Stati interessati dall’effetto unitario (questo renderà più facile per il titolare del brevetto interrompere le attività contraffattive in corso in tutti gli stati interessati).

Tuttavia, anche il brevetto europeo con effetto unitario sembra presentare alcuni limiti. In primo luogo, ha potenzialmente una copertura territoriale meno ampia del brevetto europeo. Il nuovo sistema coinvolge unicamente gli stati facenti parte dell’Unione europea che hanno ratificato l’Accordo (a differenza di quanto previsto per la CBE a cui aderiscono anche stati terzi quali, ad esempio, Svizzera e Turchia). Si aggiunga che il nuovo sistema rappresenta, in certi casi, un’arma a doppio taglio. Da un lato è sì prevista un’applicazione uniforme del diritto, dall’altro il titolare del brevetto potrebbe essere esposto ad un più alto rischio: qualora il Tribunale Unificato dei Brevetti giudicasse nulla una privativa, questa lo sarebbe in tutti gli stati interessati dall’effetto unitario.

Quindi, conviene aderire al nuovo sistema oppure no?

La risposta non può essere univoca. Sembra imprescindibile effettuare una valutazione che tenga conto delle peculiarità di ogni singolo caso. Ad esempio, bisognerà preliminarmente considerare il brevetto di cui si tratta e la sua “forza”. Ma anche la posizione processuale che si assume in un’eventuale azione giudiziale; difatti, nella veste di attore potrebbe essere utile ottenere un’unica decisione per tutti i territori aderenti al sistema del brevetto con effetto unitario (con evidente risparmio di tempo e costi), mentre nella veste di convenuto, viceversa, potrebbe essere utile difendersi in stati diversi, e quindi davanti a Giudici differenti, guadagnando così tempo, ed evitando che una decisione sfavorevole abbia effetto su tutti i territori dell’UPC contemporaneamente, inibendo così la vendita del prodotto ritenuto in contraffazione nei 17 paesi aderenti all’Accordo.

Non bisogna inoltre dimenticare che il sistema è nuovo e i titolari delle privative saranno “esposti” a questa novità. La tenuta e l’efficienza delle norme verrà messa veramente alla prova una volta che il sistema entrerà in vigore. Del pari, non sono ovviamente noti gli orientamenti giurisprudenziali del nuovo Tribunale. È stato anche fatto notare da più parti come il brevetto unitario garantisca una minor flessibilità; non potrà, ad esempio, essere effettuato il c.d. abbandono selettivo, ipotesi che è invece praticabile per il brevetto europeo “tradizionale” (il brevetto unitario dovrà essere mantenuto o abbandonato in tutti i paesi). Non sarà inoltre possibile cedere il brevetto solo in alcuni stati.

Conclusioni

In conclusione, il brevetto unitario presenta certamente vantaggi da un lato ma anche svantaggi dall’altro che vanno attentamente soppesati a seconda del caso concreto. Nel caso dell’opt-out questo è il momento opportuno per iniziare ad effettuare le prime valutazioni. Per tutto il resto, si dovrà attendere l’entrata in vigore di questo nuovo sistema per comprendere la sua effettiva portata e l’efficienza operativa dello stesso.


L’intelligenza artificiale viaggia veloce con il pilota automatico

Guida autonoma, profilazione, social scoring, bias, chatbot e riconoscimento biometrico sono alcuni dei termini entrati nella nostra quotidianità. Essi si riferiscono alle tecnologie di intelligenza artificiale (“IA”), vale a dire le abilità di una macchina di mostrare capacità umane quali il ragionamento, l’apprendimento, la pianificazione e la creatività[1]. Oggi più che mai l’IA ha un forte impatto sulle persone e la loro sicurezza. Si pensi solamente al caso che ha coinvolto in Australia il conducente della vettura Tesla “Model 3” che ha investito un’infermiera di 26 anni[2] con il pilota automatico attivo.

In relazione al tragico episodio poc’anzi descritto viene spontaneo domandarsi chi debba rispondere delle gravi condizioni della povera infermiera. Il conducente, nonostante non fosse tecnicamente al volante al momento dell’incidente? Il produttore dell’autovettura che concretamente ha investito l’infermiera? O ancora il produttore / sviluppatore del software che fornisce le istruzioni all’autovettura su come comportarsi quando sul proprio tragitto compare un essere umano?

Per il momento il conducente dell’autovettura – pur essendo stato rilasciato dalle autorità mediante versamento di una cauzione – è stato accusato di aver causato il sinistro stradale. Ciò non toglie che – qualora tale accusa verrà confermata all’esito del processo che è ancora pendente – il conducente avrà poi il diritto di rivalersi per gli eventuali danni sul produttore / sviluppatore di IA.

Il caso poc’anzi descritto merita certamente un approfondimento, specialmente per quanto concerne il panorama europeo in tema di intelligenza artificiale.

È bene da subito evidenziare che, malgrado il progressivo aumento dell’IA nei più disparati ambiti della nostra vita quotidiana[3], ad oggi manca una legge, direttiva o regolamento relativa alla responsabilità civile derivante dall’utilizzo dell’IA.

A livello UE, la Commissione Europea sembra aver per prima affrontato seriamente il tema della responsabilità civile derivante da sistemi di intelligenza artificiale ed averne evidenziato la lacunosità della relativa disciplina, pubblicando, tra le altre cose, una proposta di Regolamento che stabilisce regole armonizzate sull’IA[4].

Da tale proposta di Regolamento si ricavano, anche per analogia, tre diverse definizioni di responsabilità civile: responsabilità da prodotto difettoso, responsabilità del produttore e responsabilità vicaria.

Nel caso in esame rileva la responsabilità da prodotto difettoso, che muove dall’assunto secondo cui la macchina è priva di personalità giuridica[5].

Dunque, com’è ovvio, qualora un sistema di IA cagioni un danno a terzi, la responsabilità dello stesso dovrà essere imputata al produttore della stessa e non invece al dispositivo / sistema che la utilizza.

Tornando al caso in esame, spetterebbe dunque allo sviluppatore del sistema di IA (i.e. l’azienda americana Tesla) risarcire l’infermiera ferita, qualora quest’ultima sia in grado di provare il nesso fra danno / lesioni causate e il difetto del sistema di IA. Dal canto suo, lo sviluppatore del sistema di IA potrebbe escludere il danno solo qualora sia in grado di provare il c.d. “rischio da sviluppo”, vale a dire fornire la prova che il difetto riscontrato era totalmente imprevedibile sulla base delle circostanze e modalità in cui è avvenuto l’incidente.

Taluni hanno osservato sul punto che il produttore sarebbe in realtà in grado di controllare il sistema di IA a distanza e prevedere, grazie agli algoritmi, condotte non programmate al momento della sua commercializzazione[6]. Peraltro, come sappiamo, gli algoritmi presenti nei sistemi di IA installati nelle autovetture sono in grado di raccogliere nel tempo informazioni e quindi auto apprendere e studiare particolari condotte e/o movimenti degli esseri umani, riducendo sempre più il rischio di incidenti.

Sotto questo profilo, il produttore avrebbe quindi un onere ancora più stringente per escludere ogni ipotesi di responsabilità e cioè quello di dimostrare di aver adottato tutte le misure di sicurezza idonee ad evitare il danno.

A tal proposito, il Parlamento europeo ha peraltro elaborato la “Risoluzione recante raccomandazioni alla Commissione su un regime di responsabilità civile per l'intelligenza artificiale” che introduce la categoria delle cd. “IA ad alto rischio”, ossia quei sistemi di intelligenza artificiale operanti in contesti sociali particolari quali, ad esempio, l’educazione, ovvero quelle tecnologie che raccolgono dati particolari (come avviene nel caso del riconoscimento biometrico), la selezione del personale (che rischierebbe di ricadere nel social scoring o in altri atti discriminatori) o, ancora, le tecnologie usate nell’ambito della sicurezza e della giustizia (attraverso le quali potrebbe verificarsi il rischio di bias: pregiudizi della macchina sul soggetto giudicato). È stato osservato che per tali sistemi di “IA ad alto rischio” sussiste in caso di evento dannoso una responsabilità oggettiva del produttore, salvo che quest’ultimo sia in grado di dimostrare la sussistenza di un caso di forza maggiore.

In conclusione, malgrado i primi sforzi profusi da parte prima della Commissione e poi dal Parlamento Europeo in merito alla disciplina dei sistemi di IA, restano numerosi interrogativi ancora da risolvere in merito ai profili di responsabilità ad essi connessi.

Ad esempio, bisognerebbe meglio comprendere come vadano inquadrati e disciplinati i sistemi di IA non ritenuti ad “alto rischio”, quali appunto quelli di guida autonoma di cui si è discusso nel presente articolo. O ancora, quale soglia di responsabilità applicare se in un futuro non lontano un dispositivo di IA potrà essere equiparato, quanto a capacità di ragionamento, ad un essere umano (come di recente rivendicato da un dipendente di Google in riferimento al suo sistema di IA[7]).

Certo è che, come spesso capita per qualsiasi innovazione tecnologica, solo una significativa integrazione e adozione nella nostra società dei sistemi di intelligenza artificiale riuscirà a delineare ipotesi concrete di responsabilità e applicabili in contesti di ordinaria operatività.

Si auspica in ogni caso che il citato Regolamento – la cui data di entrata in vigore non è ancora nota – riuscirà a fornire una disciplina che sia più completa possibile e che riduca soprattutto i rischi e le responsabilità degli utilizzatori dei sistemi di IA ed aumenti, dall’altra parte, gli oneri a carico dei costruttori degli stessi per garantirne la sicurezza.

[1] https://www.europarl.europa.eu/news/it/headlines/society/20200827STO85804/che-cos-e-l-intelligenza-artificiale-e-come-viene-usata
[2] https://www.drive.com.au/news/melbourne-hit-and-run-blamed-on-tesla-autopilot-could-set-legal-precedent-for-new-tech/
[3] Considerando (2), Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione, 2021/0106, del 21 aprile, 2021
[4] Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione, 2021/0106, del 21 aprile, 2021
[5] Barbara Barbarino, Intelligenza artificiale e responsabilità civile. Tocca all’Ue, Formiche.net, 15/05/2022
[6] Ut supra nota 5
[7] https://www.theguardian.com/technology/2022/jun/12/google-engineer-ai-bot-sentient-blake-lemoine


Certificato Verde Europeo: libertà di muoversi in Europa in tempo di pandemia

Si chiama “Certificato verde” europeo, si legge “Pass Covid-19”. Ha lo scopo di facilitare la circolazione dei cittadini all’interno dell’Unione Europea, nonché di contribuire alla limitazione della diffusione del virus Sars-CoV-2.

Proviamo a comprendere quali sono le caratteristiche del certificato verde, chi potrà rilasciarlo e quali garanzie sono previste per la tutela dei dati personali, anche di natura sensibile, in esso contenuti.

1. Premessa

Lo scorso 17 marzo 2021, la Commissione Europea ha proposto l’introduzione di un “Certificato verde” europeo che ha come scopo quello di consentire, durante la pandemia da Covid-19, l'esercizio del diritto di libera circolazione dei cittadini previsto dall’art. 21 del Trattato sul funzionamento dell'UE (TFUE). Esso verrebbe rilasciato da ogni Stato Membro, in formato digitale e/o cartaceo ed avrebbe lo stesso valore giuridico in tutta l’UE.

Tuttavia, parlare di “Certificato verde” (al singolare) non è corretto. Infatti, come previsto nella Proposta di Regolamento europeo pubblicata dalla Commissione[1], sono tre le diverse tipologie di certificati che potranno essere rilasciati:

i. “Certificato di vaccinazione”: attesta che una persona ha ricevuto un vaccino contro il Covid-19 autorizzato all’immissione in commercio nell’UE;

ii. “Certificato di test”: attesta che una persona ha effettuato un test Covid-19, antigenico o molecolare (purchè non autodiagnostico), che ha dato risultato negativo;

iii. “Certificato di guarigione”: attesta che una persona che aveva contratto il Covid-19 ne è successivamente guarita.

Ogni certificato sarà redatto nella lingua ufficiale dello Stato Membro da cui è rilasciato, oltre che in lingua inglese, sarà gratuito e sarà emesso dalle istituzioni/autorità debitamente autorizzate a tale scopo (si pensi, ad esempio, ad ospedali, centri di diagnosi/test o all’autorità sanitaria stessa).

2. Come funziona il certificato?

Il certificato possiede un “QR (Quick Response) code” contenente le informazioni essenziali relative al suo titolare, una firma digitale che ne impedisce la falsificazione ed un sigillo che ne garantisce l'autenticità.

Nel momento in cui un cittadino europeo farà ingresso in uno Stato membro diverso da quello di appartenenza, le istituzioni e/o autorità competenti di tale Stato procederanno alla scansione del QR code presente sul certificato ed alla verifica della firma digitale in esso contenuta. Tale verifica della firma digitale avverrà mediante confronto della stessa con le chiavi di firma possedute dalle istituzioni/autorità dello Stato di destinazione, le quali saranno conservate in una banca dati protetta di ciascuno Stato.

Sarà inoltre reso disponibile, a livello comunitario, un unico “gateway” gestito dalla Commissione, mediante il quale le firme digitali dei certificati verdi potranno essere verificate in tutta l'UE.

3. Il trattamento dei dati personali contenuti nel certificato

Ciascun certificato – che sia di vaccinazione, di test o di guarigione – conterrà al proprio interno una serie di informazioni relative alla persona cui si riferisce quali ad esempio: nome, cognome, data di nascita, data di vaccinazione, risultato del test antigenico/molecolare effettuato, malattia da cui si è guariti. Si tratta di informazioni che rientrano nella definizione di “dati personali” di cui all’art. 4 del Regolamento 679/2016 (“GDPR”) in quanto relative ad una persona fisica identificata e, per questa ragione, devono essere trattate nel rispetto dei principi e delle garanzie previste da tale Regolamento.

A tal riguardo, è opportuno sintetizzare i contenuti più importanti del parere del 31 marzo 2021 che il Comitato Europeo per la protezione dei dati (“EDPB”) ed il Garante Europeo per la protezione dei dati (“EDPS”) hanno fornito alla Commissione UE in merito al certificato verde.

a) Il trattamento dei dati personali contenuti nei certificati dovrebbe essere effettuato solo al fine di comprovare e verificare lo stato di vaccinazione, di negatività o di guarigione del titolare del certificato e, conseguentemente, di agevolare l'esercizio del diritto di libera circolazione all'interno dell'UE durante la pandemia.

b) Al fine di agevolare l’esercizio dei diritti privacy da parte degli interessati, sarebbe opportuno che ogni Paese rediga e renda pubblico un elenco dei soggetti autorizzati a trattare tali dati in qualità di titolari o responsabili e di coloro che riceveranno i dati stessi (oltre alle autorità/istituzioni di ciascuno Stato membro competenti al rilascio dei certificati, già individuate quali “titolari del trattamento” dalla proposta di Regolamento).

c) La base giuridica del trattamento dei dati personali presenti nei certificati dovrebbe essere costituita dall’adempimento di un obbligo di legge (art. 6, co. 1, lett. c GDPR) e da “motivi di interesse pubblico rilevante” (art. 9, co. 2, lett. g GDPR).

d) Nel rispetto del principio di “limitazione della conservazione” dei dati previsto dal GDPR, la conservazione degli stessi dovrebbe essere limitata a quanto necessario per il perseguimento delle finalità del trattamento (e. facilitare l'esercizio del diritto alla libera circolazione nell'UE durante la pandemia da Covid-19) e, in ogni caso, alla durata stessa della pandemia, il cui termine sarà dichiarato dall’OMS.

e) Non sarà in alcun modo consentita la creazione di banche dati a livello comunitario.

4. Considerazioni critiche e conclusioni

Al di là della portata innovativa della proposta di Regolamento, emergono alcuni aspetti che meritano di essere ulteriormente approfonditi o, quantomeno, chiariti dal legislatore europeo per garantire la corretta applicazione della nuova normativa europea.

a. Emissione e rilascio dei certificati

La proposta di Regolamento prevede che i certificati siano “rilasciati automaticamente o su richiesta degli interessati” (cfr. Considerando 14 e artt. 5 e 6). Ci si domanda, quindi, come altresì evidenziato dall’EDPB e dall’EDPS, se un certificato:

i. sarà generato e rilasciato all’interessato solo se espressamente richiesto da quest’ultimo;
ovvero se, al contrario
ii. sarà generato automaticamente dalle autorità competenti (ad es., all’esito della vaccinazione) ma consegnato all’interessato solo su espressa richiesta.

b. Il possesso di un certificato non impedisce agli Stati membri di imporre eventuali restrizioni all’ingresso

La proposta di Regolamento prevede che uno Stato membro possa comunque decidere di imporre al titolare di un certificato determinate misure restrittive (quali, ad esempio, l’obbligo di sottoporsi ad un regime di quarantena e/o a misure di auto-isolamento) nonostante l’esibizione del certificato stesso, purché tale Stato indichi i motivi, la portata ed il periodo di applicazione delle restrizioni, compresi i dati epidemiologici pertinenti a sostegno delle stesse.

Ci si domanda, tuttavia, se tali restrizioni e le loro condizioni di applicabilità saranno definite a livello europeo ovvero se l’individuazione delle stesse sarà demandata a ciascuno Stato, accettando - in quest’ultimo caso - il rischio di vanificare il tentativo di unificazione normativa perseguito dalla proposta di Regolamento.

c. La durata temporale del certificato

La proposta di Regolamento prevede che solo il “Certificato di guarigione” debba contenere anche l’indicazione del periodo di validità. E’ lecito domandarsi, quindi, quale sia la durata degli altri due certificati (“di vaccinazione” e “di test”) e come sia possibile garantire la veridicità di quanto attestato da un certificato dopo che sia trascorso un determinato lasso di tempo dalla data di rilascio (basti pensare, ad esempio, ai diversi casi di positività riscontrati dopo la somministrazione di un vaccino o ai cd. “falsi negativi/positivi”).

d. Gli obblighi del titolare del certificato

Quali obblighi è tenuto a rispettare il titolare di un certificato? Ad esempio, qualora sia stato rilasciato un certificato che attesti lo stato di negatività al Covid-19 e, a distanza di qualche mese, il titolare scopra di essere positivo, egli ha l’obbligo di rivolgersi alle competenti autorità/istituzioni del proprio Stato al fine di far revocare il certificato? E ancora: nell’ipotesi in cui il titolare tenti di utilizzare un certificato (non veritiero) per l’ingresso in uno Stato terzo, a quali sanzioni andrebbe incontro?

e. La protezione dei dati personali

La nuova proposta di Regolamento demanda alla Commissione il compito di adottare, mendiante atti di esecuzione, specifiche disposizioni finalizzate a garantire la sicurezza dei dati personali contenuti nei certificati.

Tuttavia, considerata la natura estremamente sensibile dei dati in oggetto, la Commissione chiederà anche un parere preventivo alle Autorità per la protezione dei dati personali dei singoli Stati membri? Sarebbe forse utile garantire, anche in questo contesto e con specifico riferimento alla documentazione privacy da fornire agli interessati prima del rilascio dei certificati, un approccio europeo pressochè unanime tale da impedire l’eventuale frammentazione delle garanzie previste dal Regolamento 679/2016 (“GDPR”).

In conclusione, si tratta di una proposta che se attuata con le dovute attenzioni potrebbe contribuire ampiamente al ritorno ad una vita quasi normale; si ha tuttavia il timore che in assenza di una disciplina particolarmente dettagliata in materia sia alto il rischio di rendere ancora più complessi gli spostamenti transfrontalieri, anche considerato che molto probabilmente ogni Stato adotterebbe ulteriori misure relative alla disciplina di tale certificato.

[1] https://eur-lex.europa.eu/resource.html?uri=cellar:38de66f4-8807-11eb-ac4c-01aa75ed71a1.0024.02/DOC_1&format=PDF.