Covid-19 e 'certificazioni verdi': perché violano il Gdpr
Perché i trattamenti di dati personali effettuati nell’ambito dell’utilizzo delle certificazioni verdi di cui al decreto legge del 22 aprile 2021, n. 52 possono violare il GDPR? Prima di addentrarci nelle questioni tecniche alcune considerazioni che ancora una volta denotano la scarsa attitudine ad affrontare i problemi con un approccio olistico, trascurando aspetti fondamentali che alla fine fanno solo perdere tempo a chi lavora con impegno e professionalità e fanno ulteriormente perdere credibilità ai proponenti.
Addirittura è stato necessario l'intervento del Garante che ha dovuto richiamare principi che avrebbero dovuto essere già noti...
La superficialità con cui si affrontano questioni così delicate sorprende.
In particolare non si è tenuto adeguatamente conto dei rischi per i diritti e le libertà degli interessati e non sono state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati e per tutelare i diritti e la libertà degli interessati.
Invito a studiare il Provvedimento del Garante di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per COvid-19 prevista dal d.l. 22 aprile 2021, n. 52 - 23 aprile 2021 [doc. web n. 9578184] - Registro dei provvedimenti n. 156 del 23 aprile 2021. 6 le criticità rilevate dal Garante:
1. Mancata consultazione del Garante
2. Inidoneità della base giuridica
3. Violazione del principio di minimizzazione dei dati
4. Violazione del principio di esattezza
5. Violazione del principio di trasparenza
6. Violazione del principio di limitazione della conservazione e di integrità e riservatezza.
Infine, l’introduzione della certificazione verde determina un trattamento sistematico di dati personali, anche relativi alla salute, su larga scala, che presenta un rischio elevato per i diritti e le libertà degli interessati in relazione alle conseguenze che possono derivare alle persone con riferimento alla limitazione delle libertà personali.
Tutti presupposti per rendere opportuno effettuare una preventiva valutazione di impatto ai sensi dell’art. 35, par. 10 del Regolamento.
(Nella foto: Flavia Montanile, business process improvement consultant e co-autrice del libro "Un modello per la sicurezza dei dati personali nell'era digitale")
Sintetizzando, il Garante osserva che la disciplina della certificazione verde non è proporzionata rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito, in quanto non individua puntualmente le finalità per le quali si intende utilizzare la certificazione verde e, in ossequio ai principi di privacy by design e by default, le misure adeguate per garantire la protezione dei dati, anche appartenenti a categorie particolari, in ogni fase del trattamento, e un trattamento corretto e trasparente nei confronti degli interessati.