Il Garante Privacy interviene sulle modalità con cui il Governo intende gestire le riaperture primaverili dopo il periodo di “zona rossa-arancione” appena trascorso. L’attenzione si concentra in particolare sul cosiddetto “green pass”, che dovrebbe assicurare ai cittadini la possibilità di spostamenti tra Regioni per ragioni diverse da quelle lavorative o legate a situazioni di necessità. Secondo quanto previsto, i cittadini sono liberi di muoversi tra Regioni a condizione di dimostrare di essere vaccinati, di essere guariti dal Covid-19 nei sei mesi precedenti, ovvero di avere un tampone negativo.

Il Garante lamenta anzitutto di non essere stato consultato dal Governo prima dell’introduzione del green pass. Questa formalità avrebbe permesso di svolgere una verifica preventiva sulle problematiche privacy connesse alla novità. Detto questo, il Garante ritiene che, alla luce del GDPR, le garanzie per la riservatezza dei cittadini sono carenti. I punti evidenziati sono molteplici:

– manca una chiara individuazione del responsabile del trattamento dei dati. Questo preclude la possibilità di fare un reclamo, soprattutto nel caso in cui i dati personali siano inesatti;

– manca una chiara indicazione delle finalità del trattamento. La conseguenza è che, potenzialmente, il trattamento dei dati potrebbe essere svolto anche con finalità diverse rispetto a quelle inizialmente previste;

– non viene rispettato il principio di minimizzazione. Le informazioni che vengono richieste all’interessato, infatti, sono sovrabbondanti rispetto alla finalità perseguita, che è semplicemente quella di garantire la circolazione. Secondo il Garante, sarebbe sufficiente prevedere la scadenza del green pass, anziché differenziare il modello sulla base delle varie opzioni (vaccino/guarigione/tampone) previste;

– periodo di conservazione dei dati: non è previsto un termine massimo di conservazione, al termine del quale i dati vadano cancellati;

– conservazione dei dati: non è fatto cenno alle misure di sicurezza adottate.

Il Garante osserva inoltre che non è stata effettuata una valutazione sui rischi derivanti da un simile trattamento, che si prospetta rilevante su larga scala.

Queste osservazioni sono state riportate dal Garante in un avvertimento formale, rivolto alle istituzioni, con cui si evidenzia la potenziale violazione del Regolamento Privacy Europeo.

Il link al provvedimento: https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9578184

(avv. Andrea Martinis)