La settimana che stiamo vivendo verrà certamente ricordata come una delle più significative dell’ultimo anno. Da una parte lo stop and go sulla somministrazione dei vaccini Astrazeneca e dall’altra la proposta presentata dalla Commissione Europea per la creazione di un “Digital Green Certificate” o Green Pass (“passaporto vaccinale”, anche se come vedremo è definizione impropria), che rappresenta uno dei primi, veri, antefatti di ritorno alla normalità. Per poter tornare a viaggiare; con gli ovvi impatti non solo sulla libertà personale ma anche sull’economia dell’Europa.
Il debutto del “passaporto vaccinale”
La Presidente della Commissione UE Ursula von der Leyen, che aveva annunciato l’intervento legislativo con un tweet appena qualche settimana fa, ha fatto dunque subito seguire alle parole i fatti, mettendo sul tavolo una proposta di regolamento che dovrà ora passare al vaglio di Parlamento europeo e Consiglio.
Non mancheranno certo tempo e occasioni per discutere ampiamente della bontà e della completezza dell’azione europea in un ambito tanto urgente quanto delicato. Ciò che invece ritengo possa già emergere da una prima lettura del testo è la promessa mantenuta. La proposta, aveva twittato la leader della Commissione, rispetterà la protezione dei dati, la sicurezza e la privacy. E’ presto per dire se ed in che misura questi interessi e valori comunitari verranno rispettati e considerati in concreto, ma non si può dire che lo schema di regolamento non prenda in considerazione tali fondamentali profili.
Passaporto vaccinale via app? Scorza: “Ecco i gravi errori giuridici da evitare”
Il “Digital Green Certificate”, un “falso” passaporto vaccinale
Grazie a domande e risposte, schede informative e videoclip pubblicati dalla Commissione, anche il lettore meno attento saprà già che la proposta in discussione prevede la creazione di un “certificato verde digitale” con l’intento di facilitare la libera circolazione delle persone all’interno dell’Unione Europea. Non si tratterà di un passaporto digitale. E ciò sia perché parlando di “passaporto” potrebbe fraintendersi l’obiettivo dello strumento, ma soprattutto in quanto il Digital Green Certificate permetterà di attestare non solo l’avvenuta vaccinazione, ma anche di essere risultati negativi ad un test o di essere guariti dal Covid-19.
Per farla breve, ognuno di noi potrebbe presto – si spera – avere sul proprio smartphone e/o in formato cartaceo un certificato, rilasciato gratuitamente dalle autorità nazionali – altro passaggio cruciale che sgombra il campo dal rischio di proliferazione di c.d. passaporti delle compagnie aeree, delle agenzie di viaggio, dei gruppi multinazionali – contenente una serie di informazioni relative al suo possessore, un QR Code con le informazioni essenziali e una firma digitale a garantirne l’autenticità.
All’ingresso nel Paese di destinazione si procederà quindi a controllare esclusivamente la validità, l’autenticità e l’integrità del certificato, con le firme che saranno verificate tramite un gateway predisposto dalla stessa Commissione.
Digital green certificate: i principi generali
I brevi – e chiaramente non esaustivi – cenni ai contenuti della proposta di regolamento non sono stati selezioni in maniera casuale. Ho ritenuto infatti opportuno soffermarmi su alcuni di quei profili ove potrebbero emergere con più evidenza le possibili interferenze con i principi generali riconosciuti ad ogni individuo e ad ogni cittadino europeo. Del resto, appena poche settimane fa, in un articolo per questa testata analizzavo il tema dei pass e passaporti vaccinali proprio nell’ottica del rispetto dei principi di rango costituzionale.
Tra questi, ad assumere un ruolo di assoluta preminenza nel dibattito odierno è sicuramente il principio di non discriminazione. A tal riguardo, non può che apprezzarsi la scelta della Commissione di aprire le porte del Digital Green Certificate non solo ai vaccinati, ma anche a chi potrà attestare in forme differenti il proprio stato di salute: un tampone negativo; la prova di avere già avuto il Covid-19 ed essere guariti.
Risulta infatti di primaria importanza evitare che strumenti come quello qui in discussione determinino ingiustificate (e va da sé odiose) discriminazioni verso chi non voglia, non possa o non possa ancora vaccinarsi. E ciò vale all’ennesima potenza visto che in ballo vi è l’esercizio di diritti e libertà cruciali come la libera circolazione.
Ma, come si è detto in apertura, la Commissione ha cercato di affrontare sin da subito anche i profili attinenti ad un altro diritto fondamentale, quello alla protezione dei dati personali. In tal senso la proposta di regolamento si pone innanzitutto quale base giuridica per i trattamenti rilevanti nell’abito di tali certificati (cfr. articolo 1: «[…] It provides for the legal ground to process personal data necessary to issue such certificates and to process the information necessary to confirm and verify the authenticity and validity of such certificates»).
Un fatto che del resto era stato auspicato anche dalla Vice Presidente della nostra Autorità Garante per la Protezione dei Dati Personali, la costituzionalista Ginevra Cerrina Feroni
“Quanto all’Europa, sta entrando nel vivo la discussione sulle ipotesi di introdurre passaporti vaccinali, patentini sanitari o green pass per viaggiare tra Stati anche in vista della stagione estiva e di ovvie ragioni di rilancio del turismo. Ma qui il tema si fa ancora più complesso per tre concorrenti ragioni. La prima è che l’eventuale documento digitale che certifichi il vaccino dovrà essere compatibile per i diversi Paesi europei, anche sulla base dello stato di avanzamento dei piani vaccinali nazionali. La seconda è che pare necessaria una normativa europea vincolante per tutti gli Stati dato che si va a impattare proprio sul caposaldo dell’impianto europeo, ovvero la libertà di circolazione. La terza è che l’eventuale normativa dovrà essere costruita nell’osservanza dei principi del Regolamento europeo sulla protezione dei dati personali, tanto più cogenti in quanto si è in presenza di dati – quelli sanitari – che esigono, per la loro “sensibilità”, un più ampio grado di tutela”.
Passaporti vaccinali, serve una legge: siano fari etica e Costituzione
La proposta legislativa: privacy
- Entrando poi nello specifico della proposta legislativa, è l’articolo 9, interamente dedicato alla protezione dei dati personali, a fornire importanti chiarimenti. Innanzitutto con riferimento alle finalità del trattamento («The personal data contained in the certificates issued in accordance with this Regulation shall be processed for the purpose of accessing and verifying the information included in the certificate in order to facilitate the exercise of the right of free movement within the Union during the COVID-19 pandemic»).
- Il secondo paragrafo del medesimo articolo prevede poi che i dati personali inclusi nei certificati saranno trattati al solo fine di confermare e verificare lo stato di vaccinato, testato o guarito del titolare, nel rispetto del principio di minimizzazione e senza che sia prevista la conservazione in capo ai soggetti che effettueranno i controlli («The personal data included in the certificates referred to in Article 3 shall be processed by the competent authorities of the Member State of destination, or by the cross-border passenger transport services operators required by national law to implement certain public health measures during the COVID-19 pandemic, to confirm and verify the holder’s vaccination, testing or recovery status. For this purpose, the personal data shall be limited to what is strictly necessary. The personal data accessed pursuant to this paragraph shall not be retained»).
- Lo stesso articolo in commento include altresì alcune precisazioni sui tempi di conservazione dei dati («The personal data processed for the purpose of issuing the certificates referred to in Article 3, including the issuance of a new certificate, shall not be retained longer than is necessary for its purpose and in no case longer than the period for which the certificates may be used to exercise the right to free movement») e sui profili soggettivi del trattamento («The authorities responsible for issuing the certificates referred to in Article 3 shall be considered as controllers referred to in Article 4(7) of Regulation (EU) 2016/679»).
- Inoltre, all’Allegato 1 sono già indicati quali dovranno essere i dati da includere nei certificati coperti dalla proposta di regolamento.
- Completano poi il quadro le dichiarazioni rese dalla Commissione a chiarire che i dati dei titolari dei certificati non passeranno attraverso il gateway creato dalla medesima istituzione europea («The European Commission will build a gateway. Through this gateway, all certificate signatures can be verified across the EU. The personal data of the certificate holder does not pass through the gateway, as this is not necessary to verify the digital signature»).
Conclusioni
La proposta di introdurre un Digital Green Certificate è destinata sicuramente a cambiare le nostre vite, forse già nell’immediato futuro. La portata innovativa di un simile strumento impone quale prima, ineludibile, condizione per la sua applicabilità uno studio di compatibilità rispetto all’osservanza di principi generali, diritti e libertà fondamentali dei cittadini dell’UE.
L’impianto ad oggi costruito dalla Commissione sembra aver ben compreso l’importanza di questo delicato e cruciale assessment, così come pare chiara la volontà di intervenire con misure e garanzie effettive e preventive volte ad evitare discriminazioni o trattamenti di dati personali non conformi ai principi dettati in materia dalla normativa europea.
Nondimeno, la proposta di regolamento in commento è solo all’inizio del suo iter di adozione – che si auspica possa essere breve e privo di sorprese – e di certo una lettura lasciata maggiormente decantare potrà farne emergere in maniera più precisa tutti i pregi, ma anche gli eventuali, quanto inevitabili, difetti.
