Il 14 febbraio 2022, con altri giuristi, cresciuti via via di numero, abbiamo depositato presso il Garante per la protezione dei dati personali una segnalazione-esposto contro il trattamento di dati personali “certificazione verde” (green pass).
Abbiamo chiesto che fosse dichiarato illecito e fosse esercitato, per l’effetto, il potere di limitazione definitiva e divieto di trattamento, espressamente previsto dall’art. 58, par. 2, lett. f) GDPR. Abbiamo usato parole nette. Di seguito il perché della nostra posizione e che cosa ci attendiamo.
Green pass e privacy, la finalità mai dichiarata o apertamente contraddetta
Lasciamo l’approfondimento delle motivazioni alla lettura della segnalazione-esposto, siano solo qui permessi due flash, su altrettanti punti decisivi: carenza di finalità e mancata DPIA.
Obbligo Green pass in Italia, le novità sul filo della costituzione
Procediamo con ordine. Il green pass riguarda eventi sanitari collegati al SARS-CoV-2, ci troviamo dunque, per definizione, nell’ampio settore della salute pubblica. Questo è il quadrante di riferimento, ma la finalità del pass esattamente qual è? Tradotto in termini terra-terra, finalità vuol dire: “parliamo di salute pubblica, ma a che ti serve esattamente il pass?”, “perché lo hai introdotto?”, “che cosa c’entra con la salute pubblica?”.
L’art. 8.2 della Carta dei diritti fondamentali dell’Unione, o CDFUE, impone non solo che la finalità sia espressa ma anche che sia “determinata”, eppure la finalità difetta qui vistosamente. Non lo scriviamo noi: il Garante lo aveva già stigmatizzato nei provvedimenti 23 aprile 2021 [9578184] e del 9 giugno 2021 [9668064], cui basterebbe dare continuità per chiudere il ragionamento.
Chi ha introdotto il pass non ha ritenuto di esplicitare una finalità determinata né nel DL 52/2021 né in sede di conversione né dopo. O, per essere corretti, ci sono solo due disposizioni del decreto, due sole, tardivamente introdotte, in cui la finalità è espressa in quella di “prevenire la diffusione dell’infezione da SARS-CoV-2”. A questo servirebbe cioè la certificazione verde nella sua attuale declinazione, a impedire la diffusione del contagio. Parliamo degli artt. 9-quinquies e 9-septies, e ciò solo varrebbe a caducare il resto delle disposizioni sul pass contenute nel DL 52/2021, che restano avvolte in nebulosa incertezza quanto alla loro esatta relazione con la salute pubblica.
È tuttavia un fatto che la vaccinazione non previene il contagio, come dimostrano ampiamente notizie di cronaca, fatti notori, la letteratura scientifica e soprattutto i bollettini dell’ISS. Anche dall’ultimo Report esteso datato 16 febbraio 2022 (Report COVID-19 ISS) risulta che i casi di positività accertata nei vaccinati siano stati in Italia oltre 2 milioni in un mese, cfr. tabella 4A, ultima riga, peraltro in un contesto in cui sono relativamente infrequenti le occasioni nelle quali un vaccinato, disponendo del pass, ha necessità di verificare la sua carica virale. Del resto, nell’esperienza di chiunque è di piana evidenza che i vaccinati, anche quelli “rafforzati”, contagiano e si contagiano. Ma restiamo ai dati dell’ISS. Non possiamo cioè assolutamente escludere che un soggetto sottoposto a vaccinazione non sia portatore del patogeno. Se il QR viene generato da vaccinazione, questo QR non offre alcuna garanzia di bloccare la diffusione del contagio.
La finalità effettiva
A che serve il pass e perché è stato introdotto, mantenuto e addirittura rafforzato? Sussistono dichiarazioni istituzionali che chiariscono il perché: il pass aumenta la quota di vaccinati, attraverso un meccanismo punitivo/premiale. Sono dichiarazioni pubbliche, ripetute, note, non celate. In realtà, è questa la finalità sottotraccia del pass[1], ma la finalità di un trattamento non può mai essere sottotraccia. Il GDPR impone di dire quello che si fa coi dati personali e di fare quello che si dice.
Si è voluto introdurre – apprendiamo – un meccanismo punitivo/premiale di coercizione alla vaccinazione, laddove un t.s.o. sarebbe stato invece possibile solo ad esito di una legge vaccinale, come impone la chiara formulazione dell’art. 32 Costituzione e come si è sempre fatto in passato. Questa volta no: per difetto delle condizioni per procedervi o della volontà politica, si è scelto il pass come strumento surrettizio per giungere dove non si poteva arrivare.
Nella segnalazione-esposto abbiamo riportato un campione di queste pubbliche dichiarazioni dell’arco governativo. Aggiungiamone un’altra, recente, del coordinatore del CTS, resa in data 6 febbraio 2022: “Manterrei la premialità associata al green pass: ha senso che resti anche oltre quella data [giugno 2022, n.d.r.]”. Non sfugge a nessuno che il premio elargito è espresso in una valuta che si chiama “diritti fondamentali”, di volta in volta sottratti o concessi (come se potessero essere oggetto di concessione statale).
Meccanismi di punizione/premio costituiscono modalità consentite nell’addestramento cinofilo, ma degradanti e bandite se applicate ad esseri umani. Paradossalmente, l’attuale sistema certificato verde nazionale sembra più drastico e afflittivo del sistema di credito sociale cinese. Quantomeno infatti nel sistema cinese l’asportazione dei diritti segue una gradualità di punteggio. Affinché sia interdetto l’uso di treni ad alta velocità o di aerei occorre, nel sistema del credito sociale, avere accumulato varie infrazioni a comportamenti ritenuti commendevoli. Nel nostro sistema nazionale, ne basta una e l’interdizione agli spostamenti è radicale, riguardando anche il “trasporto pubblico locale o regionale”, cfr. art. 9-quater, comma 1, lett. e-ter) DL 52/2021.
Inoltre – sia permesso continuare con onestà intellettuale il confronto – il nostro sistema di “certificazione verde” punisce addirittura in maniera aperta i soggetti disallineati ai desiderata governativi, vale a dire quella parte degli interessati che, pur essendo formalmente liberi di non vaccinarsi, non si adeguano alle “raccomandazioni” vaccinali del Governo o non vi si adeguando in toto avendo magari rifiutato l’ultima dose di update.
Ha recentemente dichiarato un sottosegretario alla Salute, dunque soggetto integrale del titolare del trattamento: “Vi renderemo la vita difficile come stiamo facendo perché il non vaccinato e chi non rispetta le regole è pericoloso”, si osservi il verbo al plurale. Chiediamo a noi stessi e chiediamo al lettore: di quali “regole” qui parliamo? A quale mancato rispetto di regole è associato il non vaccinato, se è vero, come è vero, che per la maggioranza degli italiani la vaccinazione è assolutamente facoltativa, tanto da richiedere un modulo di consenso informato ai sensi dell’art. 3 CDFUE?
Quelle che sono rispettate non sono dunque “regole”, sono raccomandazioni, desiderata governativi. Però, a trasgredirle, si viene puniti con uno svuotamento di diritti fondamentali. Il lettore che affronti il ragionamento con spirito laico e senza preconcetti converrà, crediamo, che il pass introdotto nel nostro Paese rischia di somigliare a un certificato di obbedienza. Punisce i non allineati o i non completamente allineati alle raccomandazioni dell’Esecutivo, li qualifica come “pericolosi”, come è pericoloso chiunque “non rispetta le regole” . Non possono sfuggire le implicazioni di sistema del meccanismo che è stato costruito.
Abbiamo qui certamente passato non una sola, ma una serie di linee rosse. Come si sia arrivati a tale esito in uno Stato aderente all’Unione Europea occorre che sia materia di esauriente approfondimento, se vogliamo evitare future ripetizioni.
Green pass e privacy: la DPIA
Veniamo alla preventiva valutazione dell’impatto del trattamento sulla persona, ossia alla DPIA. Appare fortemente improbabile che una valutazione di impatto condotta ai sensi dell’art. 35 GDPR possa giustificare il descritto sistema afflittivo/premiale. Peraltro, non risultandoci notizie di una valutazione d’impatto, o “DPIA”, svolta del Legislatore, dunque non parendo applicabile quanto contemplato dall’art. 35.10 GDPR, l’incombente è tutto a carico del Ministero della Salute, quale titolare del trattamento.
Ovviamente, della DPIA non ci interessa – qui almeno – la parte sulla sicurezza informatica della piattaforma DGC. Ci interessa invece il nocciolo, ossia la rigorosa esposizione che avrebbe dovuto valutare, motivare e avallare l’effetto del trattamento su quella combinazione fragilissima di corpo, psiche e dignità che è la persona umana. L’art. 35, paragrafo 7 GDPR prescrive che la valutazione d’impatto contenga “almeno”: “una descrizione sistematica delle finalità del trattamento”, “una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità” (quali? Quelle punitive/premiali?), “una valutazione dei rischi per i diritti e le libertà degli interessati”, le misure e i meccanismi per attenuare i rischi.
Chiediamo, e abbiamo chiesto al Garante, qual è mai la DPIA che ha permesso di valutare necessario e proporzionato che qualcuno, potenzialmente contagioso, possa ballare un’intera serata sulla pista di una discoteca senza mascherina e qualcun altro si veda precluso l’accesso con mascherina a un ufficio postale per il tempo dell’invio di una raccomandata, se non previo accertamento diagnostico ad personam, ossia previo tampone negativo?
Ancora, qual è mai la DPIA che ha permesso che i datori di lavoro vengano investiti del compito di verificare se i loro dipendenti ultra-cinquantenni si sono vaccinati, con un’evidente intromissione del datore di lavoro in scelte del lavoratore figlie di convinzioni personali, come tali non rilevanti nel rapporto di lavoro e potenzialmente foriere di discriminazione?
Addirittura neppure l’evidenza diagnostica di assenza di virus (tampone negativo) permette di salire su mezzi di linea. Qual è mai la DPIA ad esito della quale è stato valutato che il non vaccinato sano abbia solo due alternative per spostarsi sul territorio nazionale con mezzi pubblici: infettarsi di Covid o accettare il trattamento sanitario?
Green pass Ab origine illecito?
Riteniamo che l’aggiramento dell’art. 32 Cost. fosse riscontrabile fin dall’inizio: non riusciamo a fare una legge vaccinale, perché non ce ne sono le condizioni, allora introduciamo il meccanismo coercitivo green pass. Se così non fosse, il trattamento sarebbe nato fin da subito con una finalità esplicita. Si è invece scelto di darsi “carta bianca”, precostituendosi uno strumento a elevata flessibilità, che lasciasse libere cioè le mani. Ha dato piena conferma della carenza di finalità espressa il Garante con provvedimento 23 aprile 2021 [9578184]. A ciò si aggiungono le ulteriori osservazioni effettuate dall’Autorità nello stesso provvedimento sull’assenza di DPIA, adempimento che in base al GDPR deve avere luogo prima di iniziare un trattamento, pubblico o privato che sia, che presenta rischi elevati per le persone cui i dati personali sono riferiti.
Scrivevano già il 31 marzo 2021 l’EDPB e GEPD, ossia le due massime autorità dell’Unione in materia di protezione dei dati personali nel parere congiunto n. 4, § 11: “L’EDPB e il GEPD sottolineano che si dovrebbe operare una distinzione chiara tra i termini ‘certificato di vaccinazione’, che indica l’attestato rilasciato a una persona che ha ricevuto un vaccino anti COVID-19, e ‘certificato di immunità’”.
Che cosa ci proponiamo con la segnalazione-esposto
Pur consapevoli del grande lavoro già effettuato dal Garante, talvolta silenziosamente, per riportare la legislazione e gli strumenti dell’emergenza sanitaria in un alveo di legalità, abbiamo presentato l’esposto per vedere applicato il principio della primazia del diritto eurounitario, secondo l’orientamento consolidato della Corte di Giustizia, confermato in molteplici arresti, ad es. con sentenza 4 dicembre 2018, Minister for Justice and Equality e Commissioner of An Garda Síochána, C‑378/17, EU:C:2018:979, punti 38 e 39:
“38 Come stabilito in più occasioni dalla Corte, tale obbligo di disapplicare una disposizione nazionale contraria al diritto dell’Unione incombe non solo sui giudici nazionali, ma anche su tutti gli organismi dello Stato, ivi comprese le autorità amministrative, incaricati di applicare, nell’ambito delle rispettive competenze, il diritto dell’Unione (v., in tal senso, sentenze del 22 giugno 1989, Costanzo, 103/88, EU:C:1989:256, punto 31; del 9 settembre 2003, CIF, C‑198/01, EU:C:2003:430, punto 49; del 12 gennaio 2010, Petersen, C‑341/08, EU:C:2010:4, punto 80, e del 14 settembre 2017, The Trustees of the BT Pension Scheme, C‑628/15, EU:C:2017:687, punto 54).
39 Ne consegue che il principio del primato del diritto dell’Unione impone non solo agli organi giurisdizionali, ma anche a tutte le istituzioni dello Stato membro di dare pieno effetto alle norme dell’Unione”.
La Corte ha, altresì, precisato che “[…G]li organismi incaricati di applicare, nell’ambito delle rispettive competenze, il diritto dell’Unione, hanno l’obbligo di assumere tutte le misure necessarie al fine di garantire la piena efficacia di tale diritto, disapplicando all’occorrenza qualsiasi disposizione o giurisprudenza nazionali che siano contrarie a tale diritto. Ciò implica che, per garantire la piena efficacia del diritto dell’Unione, detti organismi non devono chiedere né attendere la previa soppressione di una siffatta disposizione o giurisprudenza in via legislativa o mediante qualsiasi altro procedimento costituzionale” (ivi, punto 50).
A nostro avviso, in applicazione di questi principi, sia il Ministero della Salute, titolare del trattamento “certificazione verde”, sia la stessa Autorità garante devono cioè procedere a disapplicare le disposizioni nazionali incompatibili con il diritto dell’Unione, tanto più ove sussista espresso mandato di garantire l’applicazione del diritto dell’Unione nel settore del trattamento dei dati personali.
Lo scenario europeo
Auspichiamo che l’Autorità garante vorrà fornire una risposta sulle rilevanti criticità di diritto esposte, perché appaiono, a nostro avviso, gravi, senza precedenti. Alcuni anni fa, anche in contesti di emergenza sanitaria, sarebbero state impensabili in ambito di protezione dei dati personali.
È nostra opinione che sia stata posta in essere dal Governo una sospensione del GDPR e del soprastante sistema dei Trattati (la CDFUE, sia permesso notare, ha “lo stesso valore giuridico dei Trattati”, art. 6.1 TUE), comparabile sotto molti aspetti a quella, invece esplicita, annunciata mesi fa dall’Ungheria. In quella occasione, l’EDPB insorse con una dichiarazione datata 2 giugno 2021, auspichiamo possa fare altrettanto oggi, per simmetria e coerenza. In altre parole, sembra inevitabile l’approdo delle questioni sollevate ai tavoli dell’Unione, anche perché appare in seria discussione il primato del diritto eurounitario e la stessa applicazione di quei diritti fondamentali che distinguono il nostro sistema giuridico da territori inesplorati che segniamo nelle nostre mappe culturali con hic sunt leones.
Note
[1] Per completezza, occorre ricordare che – solo con riferimento all’obbligo di vaccinazione per gli ultra-cinquantenni – il recente DL 1/2022 ha indicato come finalità «tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza nell’erogazione delle prestazioni di cura e assistenza». Mai la legislazione sul green pass ha adottato questi termini. Se lo avesse fatto, avrebbe reso esplicito lo scopo di usare il green pass come pressione al vaccino, considerato come l’unico argine a forme gravi di malattia e ad elevate ospedalizzazioni, dunque al rischio di collasso del sistema sanitario. Quand’anche la finalità fosse stata dichiarata in tutta la legislazione sul green pass come avvenuto per l’obbligo vaccinale, ci sarebbero stati gravi problemi di proporzionalità dei mezzi rispetto al fine e di carenza di misure a tutela della dignità delle persone. Forse, però, ci sarebbe stata maggiore trasparenza.