Green Pass e privacy: un matrimonio discusso ma felice

Nelle scorse settimane abbiamo assistito ad aspre polemiche ancor oggi non sopite, talvolta con deprecabile uso della violenza, circa l’applicazione del Green Pass. Il famoso Certificato Verde che permette l’accesso a luoghi chiusi d’intrattenimento ludico ma soprattutto a luoghi di rilevante impatto sociale ed economico quali scuole e luogo di lavoro.

I contrari al Green Pass parlano di privacy

Tra le rivendicazioni verso cui si sono appellati i contrari a tale tipo di controllo preventivo, vi è la paventata minaccia alla privacy in materia sanitaria. Al di là della polemica e della contrapposizione politica, vediamo quali sono i temi portati dalla Giurisprudenza che lo ha ammesso ed il Garante alla Privacy che lo ha studiato sulla base dei principi indicati dal GDPR (General Data Protection Regulation - Regolamento UE n 679/2016).

1. L’applicazione del GDPR in ambito sanitario

Storicamente il concetto di Privacy legato alla protezione dei dati personali in ambito sanitario è legata alla concezione del cosiddetto principio riconducibile al motto “right to be let alone” vale a dire alla percezione della protezione del dato legato all’esigenza di impedire ermeticamente l’accesso al dato personale da parte di soggetti terzi.

Il GDPR propone invece una visione moderna di tale esigenza in un ambito più universale dove il diritto alla protezione del dato deve considerarsi alla pari di altri diritti fondamentali ed armonizzato con questi secondo il principio della proporzionalità.

In tale ottica nasce il cosiddetto “principio di accountability” che viene conosciuto in Italia come “principio di responsabilizzazione” imponendo appunto al titolare del trattamento dei dati, l’effettiva “responsabilizzazione”. È proprio in questa ottica che viene considerato il Green Pass come strumento “responsabile” in quanto racchiude in se i principi generali previsti dal Regolamento GDPR che sono:

• Liceità - Tale principio rappresenta l’obbligo del titolare di verificare la sussistenza della base giuridica per ciascun trattamento dei dati personali secondo quanto affermato dagli artt. 6 e 9 del GDPR quali nel caso specifico dell’uso del Green Pass rispetto ai dati di natura sanitaria i motivi di interesse pubblico rilevante.

• Correttezza e trasparenza - In base a quanto indicato dagli artt. 13 e 14 del GDPR e degli studi ad esso collegati, si vorrebbe come essenziale il principio secondo il quale il trattamento deve “generare fiducia nei processi che riguardano il cittadino fino a comprendere e a mettere in discussione tali processi”. A questo livello, riguardo il Green Pass, l’Autorità Garante ha messo a disposizione sul proprio sito ogni riferimento atto a tali esigenze.

• Esattezza - Questo principio (art. 5, co.1, lett. d, GDPR) impone che i dati siano esatti e aggiornati in ragione dell’importanza che abbia assunto il trattamento del dato personale rispetto alla salute e all’incolumità pubblica: si pensi per questo alla ragione per cui è stato imposto un termine di scadenza al Green Pass e all’emergenza epidemiologica in corso.

• Minimizzazione - Si impone al titolare l’obbligo di minimizzazione che vuole i dati anonimi, aggregati e pseudonimizzati soprattutto in relazione della finalità a cui è destinato il trattamento dei dati personali.

• Conservazione - il GDPR impone che i dati personali siano conservati, seppur in ragione del principio di minimizzazione sopra ripreso, secondo “una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati – cit. art. 5, co. 1, lett. e).

2.  La “voce” della Garante della Privacy

Recentemente il Garante della Privacy si è espresso attraverso l’intervento autorevole di Ginevra Cerrina Feroni, vicepresidente dell’Autority, trasmessa in apertura della 7° edizione del Congresso Asso Dpo in corso fino al 22 ottobre 2021. Nel corso dell’esposizione, nel quadro più ampio di applicazione del GDPR, la Vicepresidente Feroni si è soffermata sulla dinamica complessa che ha portato alla realizzazione del Green Pass come ultimo tassello di un processo iniziato con l’analisi delle “app” di tracciamento. 

Ebbene secondo il Garante, il Green Pass risponderebbe ai criteri di liceità, trasparenza, esattezza, minimizzazione e conservazione dei dati e questo consentirebbe il raggiungimento degli obiettivi di salvaguardia della salute in ambito pubblico e garantirebbe nello stesso tempo la protezione dei dati medesimi.

3. Lo spirito della giurisprudenza

Proprio su tale tema, recentemente si è espresso il massimo organo di Giustizia Amministrativa che con proprio provvedimento (Consiglio di Stato sez. III, 17/09/2021, n.5130) ha escluso la lesione del diritto alla riservatezza sanitaria.

La Corte ha affermato la tesi secondo la quale in tale certificazione non si possa ravvisare alcuna lesione di tale diritto patito dai soggetti contrari alla somministrazione del vaccino. È stato posto in risalto come il Green Pass, quale impianto di accertamento per il possesso della certificazione verde non rende accessibili ai terzi il presupposto reale dell’ottenuta attestazione (vaccinazione o attestazione della negatività al virus). 

Nel medesimo provvedimento il Giudice Amministrativo ha lamentato come non siano del tutto chiare le ragioni del “pregiudizio individualmente subito dagli appellanti – cit.” né è stato ben chiarito a tal fine quali siano le attività impedite “ai non vaccinati o privi di attestazione di negatività al virus, ai fini della valutazione della gravità ed irreparabilità del relativo ipotetico pregiudizio – cit.” paventando oltre modo, in assenza della certificazione contestata, il rischio di un vuoto regolamentativo “foriero, nell'attuale fase non del tutto superata di emergenza pandemica, di conseguenze non prevedibili sul piano della salvaguardia della salute dei cittadini, la grande maggioranza dei quali, peraltro, ha aderito alla proposta vaccinale e ha comunque ottenuto la certificazione verde – cit.”

4. Conclusioni: Il Green Pass è un pericolo per il diritto alla riservatezza dei dati personali in materia sanitaria?

Terminando senza entrare nell’agone della stretta polemica pubblica circa il favore o meno verso tale misura, è certo come il Green Pass cosi come strutturato risponda perfettamente nei propri presupposti alla tutela dei dati in ambito sanitario alla luce di quanto previsto dall’art. 9 del GDPR. La certificazione Verde, infatti, risponde essenzialmente a tutti quei requisiti considerati come essenziali. Nulla osta affinché sia utilizzato come utile strumento in un momento di chiara esigenza per l’incolumità pubblica generale.