Il Green pass della Regione Campania viola il GDPR: il Garante privacy è arrivato a questa conclusione al termine di una fase istruttoria che ha portato l’autorità ad emettere un provvedimento di avvertimento all’ente pubblico locale. Più in generale, la situazione si contestualizza nell’ambito delle iniziative locali legate alla certificazione di avvenuta vaccinazione, guarigione o negatività al Covid-19, dalle quali il Garante mette in guardia: “Disposizioni di questa natura, che condizionano diritti e libertà personali sono ammissibili, infatti, solo se previsti da una idonea normativa nazionale e non da un’ordinanza regionale”, spiega l’autorità in una nota.
Un provvedimento rilevante, considerando l’attualità come progetti di questo genere “introducono sistemi di rilascio e di verifica della vaccinazione difformi da quelli individuati a livello nazionale e, soprattutto, che mettono a rischio la stessa interoperabilità delle certificazioni a livello nazionale ed europeo, in contrasto proprio con la finalità di agevolare la libera circolazione all’interno dell’Unione Europea durante la pandemia di Covid-19”.
Indice degli argomenti
Perché per il Garante privacy il Green pass campano non è compliant al GDPR
L’avvertimento emesso dal Garante privacy rileva che “il sistema di certificazione di avvenuta vaccinazione, guarigione o negatività, promosso dalla Regione come condizione necessaria per la fruizione di innumerevoli servizi come quelli turistici, alberghieri, di wedding, trasporti e spettacoli, viola la normativa sulla privacy”, spiega l’autorità in una nota ufficiale.
Green pass: ostacoli tecnici e politici alla nascita del certificato verde digitale
Il sistema infatti è stato introdotto con un’ordinanza del Presidente della Campania “che demanda all’Unità di crisi regionale la definizione delle modalità operative e la distribuzione di smart card su cui saranno registrati i pass Covid regionali”, tuttavia spiega il Garante che manca una adeguata base giuridica in quanto provvedimenti di questo genere in grado di incidere sui diritti e le libertà dei cittadini possono trovare ragione d’essere solo se previsti da norme nazionali.
Smart card per il Green pass, serviva la DPIA
Il Garante privacy ha evidenziato inoltre che l’ordinanza campana introduce l’uso di smart card per il rilascio del Green pass regionale, tuttavia “senza specificare la titolarità del trattamento, chi può accedere e usare le informazioni, chi può controllare la validità e l’autenticità delle certificazioni. Il progetto si pone così in violazione di principi base del Regolamento Ue in materia di protezione dei dati personali come quelli di liceità, correttezza, trasparenza, privacy by design e by default”.
Oltretutto, realizzando il sistema regionale, si sarebbe dovuta effettuare una DPIA, la valutazione preventiva di impatto per rilevare eventuali rischi nel trattamento dei dati, in questo caso particolarmente delicati considerando che si tratta di informazioni sulla salute dei cittadini.
