Pass verdi: che brutta figura!
0
0
Il parere del Garante per la Protezione dei Dati Personali smentisce le regole del Governo
Per chi non lo sapesse, dietro il nostro lasciapassare per gli spostamenti tra Regioni di colore diverso e le vacanze al mare, si è aperta una questione che farebbe rizzare il pelo anche al gatto più mansueto. Questione alla quale i media hanno dato pochissimo risalto; mezzi di comunicazione che, al contrario e giustamente, si sono preoccupati di indicarci cosa possiamo fare e non fare con le certificazioni verdi, la nuova ideona partorita dall’esecutivo.
Partendo dal presupposto che, chi ci legge, non sia al corrente della sgradevole vicenda, proveremo a ricostruirla qui di seguito.
Al grido de l’Italia che riparte con Decreto Legge n. 52/2021 “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID 19” entrato il vigore il 23 aprile scorso, il Governo ha stabilito che a partire da lunedì 26 aprile gli spostamenti in entrata e in uscita dai territori collocati in zona arancione o rossa sono consentiti, oltre che per i soliti motivi, anche a coloro i quali fossero muniti di Pass Verdi Covid-19.
Di cosa stiamo parlando? Stiamo parlando del pass rilasciato su richiesta dell’interessato dalla struttura sanitaria, dall’esercente la professione sanitaria e dalle farmacie.
Mediante tale pass si attesta in capo ad un soggetto:
• il completamento del ciclo vaccinale;
• l’avvenuta guarigione da Covid-19;
• l’effettuazione di un test rapido o molecolare con esito negativo.
A completamento di ciò, il decreto si è sforzato anche di:
1. Attribuire alle predette una durata di validità: sei mesi per in caso di vaccino e guarigione in luogo delle 48 ore per il tampone rapido/molecolare,
2. delinerarne il contenuto.
Per essere il più possibili esaustivi e comprensibili le chiameremo rispettivamente Pippo, Pluto e Paperino.
Affinchè un soggetto X possa muoversi su tutto il territorio italiano, se ha completato il ciclo vaccinale Pippo conterrà i seguenti dati: nome, cognome, malattia, tipo di vaccino, prodotto somministrato, produttore del prodotto, numero dose effettuata, data dell’ultima dose.
Se, sfortunatamente ha avuto il Covid, in Pluto troveremo: nome, cognome, data di nascita, malattia che ha colpito il cittadino, data del primo test, stato che ha certificato la guarigione, struttura che ha rilasciato il certificato, validità dello stesso e identificativo univoco.
Infine, se è un tipo semplicemente accorto in Paperino leggeremo: nome e cognome, data di nascita, malattia, tipologia di test effettuato, nome del test, produttore, data e orario di raccolta del campione, data e orario dl risultato, risultato, centro o struttura dove è stato effettuato, struttura che lo detiene, Stato in cui è stato effettuato ed identificativo univoco del certificato.
Ebbene, non è necessario essere “del mestiere” per capire che c’è qualcosa che non va; non è necessario essere un professionista del settore per chiedersi se tutti questi dati siano veramente utili allo scopo.
Ricordiamoci che stiamo parlando di certificazioni verdi, come lo è il semaforo quando ci consente di attraversare, finalizzate ad attestare la non pericolosità di un cittadino.
Chiaramente, il Garante per la Protezione dei Dati Personali a questa conclusione ci è giunto leggendo il decreto (come bene o male abbiam fatto tutti) e non perché sia stato formalmente consultato (fattispecie tra l’altro prevista nell’art. 36 del GDPR).
Prima di iniziare, a scanso di equivoci, sottolineiamo come non si tratti di una bocciatura in senso stretto. Il Garante non ha inibito l’immissione di tali certificazioni sul territorio che, pertanto, già da ieri potrebbero circolare nel nostro Paese. Ciò che l’Autorità ha fatto è rivolgere alle Istituzioni un avvertimento, uno dei più light tra i poteri correttivi di cui dispone la stessa dispone.
In parole povere, ha attenzionato i piani alti avvertendoli del fatto che così com’è strutturato, questo lascia passare, può verosimilmente violare le disposizioni del Regolamento Europeo con la conseguenza di dar vita a trattamenti che rischiano di essere illeciti. In linguaggio ancora più semplice, qualora non dovessero apportarsi opportune modifiche, alcune delle colonne portanti del GDPR (il principio di minimizzazione, di trasparenza, limitazione della conservazione, integrità e riservatezza, esattezza, idoneità della base giuridica) potrebbero letteralmente sgretolarsi.
Evitando di sfociare in un’analisi troppo tecnica della vicenda, riepiloghiamo in maniera piuttosto sintetica il pensiero dell’Autorità:
1. Quantità industriale di informazioni inutili rispetto al fine perseguito.
Secondo il Garante basterebbe certificare il “basso rischio” in cui si trova il cittadino – sia per sé che per gli altri – a nulla rilevando il motivo per il quale può essere considerato non pericoloso (aver fatto il vaccino, aver avuto il covid, aver fatto il tampone).
2. Non si capisce in maniera chiara e puntuale a chi appartenga la titolarità dei trattamenti effettuati ai fini dell’emissione e del controllo delle certificazioni. E’ la struttura sanitaria, la farmacia, il medico?
3. Oltre a non aver identificato chi, fra il marasma di soggetti che si troveranno ad emettere tali documentazioni sia titolare, non sono state definite le misure tecniche ed organizzative cui questi devono attenersi per scongiurare possibili trattamenti non autorizzati, illeciti, eventuali perdite e distruzioni erronee.
4. Non è stata svolta una valutazione di impatto (per i neofiti: un’analisi che aiuta il titolare a capire quali sono i rischi di quel trattamento rispetto ai diritti e alle libertà delle persone fisiche e a determinare le attività per far loro fronte). Adempimento che, in ragione della mole di informazioni che saranno processate – anche di tipo particolare – si considera obbligatorio per il Regolamento.
5. Non si spiega perché il Governo abbia “frammentato” la normativa con il rischio di creare contrasti e confusioni.
Le certificazioni verdi avranno validità non per sempre ma sino al momento in cui sarà abilitata la piattaforma nazionale DIGITAL GREEN CERTIFICATE (piattaforma identica a quelle presenti negli altri Stati Membri e che attraverso uno scambio di informazioni tra le stesse consentiranno ai cittadini europei di viaggiare in sicurezza). Questo significa che si debba rifare tutto da capo.
Il Garante ha poi concluso rendendosi disponibile ad istaurare un dialogo con tutti gli attori finalizzato al superamento delle criticità evidenziate. Ebbene, alla dati di oggi – martedì 27 aprile 2021 – di un dibattito non c’è neanche l’ombra ed è verosimile che il primo certificato verde sia stato già stampato.
Una gran bella figura
Nessuno intende puntare il dito contro il nuovo Esecutivo. Nessuno intende mettere in discussione le sue scelte, chi scrive non può certo avere la presunzione di ritenere di fare di meglio. Ciò che, semplicemente, si vuole sottolineare è la poca, se non nulla, attenzione verso questa materia; verso la protezione dei dati personali.
Tutti si sono indignati, e lo abbiamo fatto anche noi, quando Tik Tok ha dimostrato di essere, evidentemente, più interessato ai soldi che alla privacy di bambini e ragazzini.
Adesso l’ha fatto il Governo e quando è lo Stato a dimenticarsi di dover rispettare delle norme, beh, allora non ti monta su solo la rabbia ma una profondissima tristezza a nulla rilevando e giustificando ‘interesse più alto che si vuole perseguire. Ci si chiede, senza troppo fronzoli, come si può anche solo pretendere che il cittadino si conformi alle prescrizioni, sanzionandolo giustamente nel momento in cui le viola, quando il primo a non rispettarle è chi quelle norme le partorisce?
