Lo scorso primo marzo, è apparso sul sito del Garante un video intitolato “i tuoi dati sono un tesoro”. Lo scopo è quello di mostrare al grande pubblico come la privacy sia un diritto fondamentale, e come questa pervada ogni aspetto della nostra vita, anche quelli che non ci appaiono interessati da questa tutela. Lo stesso giorno, attraverso un comunicato stampa, il Garante ha avanzato le sue preoccupazioni sulla possibile adozione di un pass vaccinale, di cui si sta diffusamente parlando di recente. Tale pass vorrebbe consentire ai soli soggetti vaccinati l’accesso a locali o la fruizione di servizi come aeroporti, hotel, palestre o ristoranti. Non entrando nel merito dell’efficacia di questa misura (che pure è oggetto di un acceso dibattito), nella nota dell’autorità ne vengono esaminate le possibili conseguenze sotto un profilo squisitamente giuridico, e di cui è bene tenere conto.
Come bilanciare il delicato rapporto tra sanità pubblica e individuo
La prima considerazione del Garante riguarda l’importanza dei dati relativi allo stato vaccinale dell’individuo. Questi rientrano nella categoria dei “dati particolari”, eredi dei più conosciuti “dati sensibili”, per cui si prevede una tutela più attenta. Questi infatti “sono particolarmente delicati e un loro trattamento non corretto può determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone: conseguenze che, nel caso di specie, possono tradursi in discriminazioni, violazioni e compressioni illegittime di libertà costituzionali.” Con questa osservazione, il Garante riporta in auge la questione connessa al delicato rapporto tra dimensione pubblica e individuale sottesa all’art. 32 della Costituzione, dove si sancisce che il diritto alla salute assume sia il ruolo di diritto fondamentale per il singolo cittadino che di interesse per la collettività. Il bilanciamento fra questi due valori è da realizzarsi per mezzo di una Legge nazionale: si prevede dunque una riserva di Legge rinforzata in materia. Per questa ragione, il Garante afferma che “il trattamento dei dati relativi allo stato vaccinale dei cittadini ai fini di accesso a determinati locali o di fruizione di determinati servizi, deve essere oggetto di Legge nazionale”. L’autorità preposta vieta così che eventuali disposizioni locali (regionali, provinciali o comunali) o l’autonomia dei privati cittadini possano richiedere un certificato che contenga l’informazione sull’essere o meno vaccinati come condizione per accedere o fruire del servizio.
Anche la Legge deve rispettare alcune garanzie: il ruolo cardine del GDPR
Altro punto importante è che un’eventuale previsione da parte del legislatore nazionale di questo genere di Pass, dovrebbe comunque garantire un elevato livello di tutela per la privacy, ai sensi del GDPR. In particolare, dovrebbero essere garantiti i fondamentali princìpi di proporzionalità, finalità e minimizzazione. Il trattamento sarà idoneo se limitato a quanto strettamente necessario per raggiungere gli scopi espressi dalla Legge stessa. Importanti saranno anche gli strumenti tecnici utilizzati. Il ricorso a un certificato cartaceo non appare una soluzione percorribile. Sarebbe infatti tendenzialmente più semplice da contraffare, rispetto ad una misura tecnologica. Anche quest’ultima però dovrà essere oggetto di studi da parte del Garante, che potrebbe rilevare rischi per la privacy. Al termine della comunicazione, il Garante afferma che si riserva di pronunciarsi sulla compatibilità delle eventuali scelte del legislatore con il GDPR.
Un cenno ai rapporti tra titolare e lavoratore
Con l’inizio della campagna vaccinale, si sono posti dei dubbi sulle informazioni che potesse raccogliere il datore di lavoro sui suoi dipendenti. Il Garante è intervenuto con delle Faq, spiegando come il datore non possa acquisire, neanche con il consenso del dipendente o tramite il medico compente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali. Ancora una volta, quindi, la tutela di dati personali così significanti non può essere considera di secondaria importanza.
La proposta europea del Pass Verde Digitale
Ipotesi da tenere distinta da quella precedente è la previsione, da parte dell’Unione europea di un vero e proprio Passaporto vaccinale (o meglio Pass Verde Digitale o Digital Green Pass, per usare l’espressione utilizzata in Europa). Nell’attuale contesto pandemico, che vede un numero sempre maggiore di paesi adottare restrizioni anti COVID-19 più stringenti, il Digital Green Pass “dovrebbe facilitare la vita dei cittadini dell’Unione, lo scopo è quello di permettere loro di muoversi in sicurezza in Europa e all’estero per ragioni di lavoro, ma anche per turismo”. Dal tweet di Ursula von der Leyen si evince chiaramente lo scopo di questa proposta: sostenere la ripresa della libera circolazione dei cittadini vaccinati, con indubbi vantaggi per l’economia e per il ripristino di un senso di normalità da tempo anelato.
Chi potrebbe ottenere il Digital Green Pass
Stando a quanto dichiarato da Ursula von der Leyen in un altro tweet, il pass conterrà: o la prova dell’avvenuta vaccinazione; o il risultato negativo del tampone per coloro che non hanno potuto o che non possono vaccinarsi e la certificazione di guarigione. In questo modo si pensa di evitare discriminazioni fra coloro ai quali, perché considerati a rischio, sia già stato somministrato il vaccino e coloro che risultino ancora in attesa o che per motivi medici non possano essere vaccinati.
L’opinione della Vicepresidente del Garante in merito al pass europeo
Ginevra Cerrini Feroni spiega che il Digital Green Pass, affinché sia efficace nella misura auspicata dalle istituzioni europee, dovrà rispettare alcune accortezze. La Vicepresidente si auspica infatti che, come strumento normativo, venga utilizzato il regolamento. Questo, infatti, è il solo strumento normativo comunitario ad avere efficacia immediatamente vincolante per tutti i paesi membri. Tale aspetto è doppiamente rilevante se si valutano i benefici dati dalla maggiore velocità con la quale si implementerebbe il Pass Europeo e si valuta l’ambito in cui la norma incide: il caposaldo comunitario della libertà di circolazione. Ovviamente, anche questo regolamento dovrà essere costruito nell’osservanza dei princìpi del GDPR, mostrando, ancora una volta, come i dati personali “siano un tesoro” da proteggere, anche in Europa.
Daniele Dhoor Singh