La proposta del Digital Green Certificate della Commissione europea e le regole per il trattamento dei dati personali ivi contenuti

Nell’attuale contesto emergenziale causato dalla pandemia da Covid-19, la libertà di circolazione delle persone fisiche all’interno dell’Unione europea non è più immediata, ma condizionata dal rispetto di specifiche misure di sicurezza istituite da ciascun Stato membro per limitare la diffusione del virus, tra le quali la richiesta di certificati medici, i risultati di test diagnostici o le auto-dichiarazioni.

Le differenti misure adottate dagli Stati membri e l’inesistenza di documenti standardizzati validi e riconosciuti su tutto il territorio dell’Unione, hanno generato altresì diversi problemi connessi agli spostamenti dei cittadini, senza contare il ricorso sempre più frequente all’utilizzo di documenti falsi.

Proprio per superare tali ostacoli, lo scorso 17 marzo 2021, la Commissione europea (“Commissione”) ha reso nota la sua proposta di creare un Digital Green Certificate (“DGC” o il “Cartificato”) al fine di agevolare la libera circolazione dei cittadini all’interno dell’UE durante la pandemia di Covid-19.

Il quadro giuridico del DGC è costituito da due proposte legislative: la prima riguarda i cittadini dell'UE e i loro familiari (“Proposal for a Regulation on interoperable certificates on vaccination, testing and recovery (Digital Green Certificate)”) (“Regolamento DGC”), mentre la seconda riguarda i cittadini di Paesi terzi che risiedono o soggiornano regolarmente nel territorio di uno Stato membro o di uno Stato che aderisce all’area Schengen (“Proposal for a Regulation on Digital Green Certificates for third-country nationals legally staying or residing in the EU”).

Come precisato dalla Commissione, se il DGC sarà valido e accettato da tutti gli Stati membri dell’UE, la sua implementazione contribuirà sia alla libera circolazione all'interno dell'UE, sia alla riduzione in maniera coordinata delle restrizioni attualmente in vigore nei diversi Stati membri. Le proposte legislative prevedono infatti che, laddove uno Stato membro intenda continuare a imporre ai titolari di un DGC l'obbligo di quarantena o di effettuare un test volto a rilevare la presenza del virus, lo stesso dovrà comunicarlo alla Commissione e a tutti gli altri Stati membri e giustificare tale decisione.

Ma andiamo con ordine. Cosa è il DGC?

Il DGC è una prova digitale attestante che una persona:

• è stata vaccinata contro il Covid-19;
• ha ottenuto un risultato negativo al test volto a rilevare la presenza del virus; oppure
• è guarita dal Covid-19.

Il Certificato sarà disponibile gratuitamente sia in formato digitale sia cartaceo e includerà un codice QR e una firma digitale, apposta dalle rispettive autorità nazionali competenti (ad esempio, ospedali, autorità sanitarie, centri che effettuano i test, ecc.), al fine di impedirne la falsificazione.

Le firme digitali saranno conservate in appositi database nazionali e potranno essere verificate grazie a un “gateway” realizzato dalla Commissione.

Infine, è previsto che la Commissione supporterà gli Stati membri nello sviluppo di un apposito software da utilizzare per il controllo dei codici QR da parte delle autorità.

Al fine di facilitare la comprensione del funzionamento del DGC e del processo sotteso al suo utilizzo, si riporta di seguito un breve schema tratto dalla scheda informativa pubblicata dalla Commissione[1]:

Il DGC e il trattamento dei dati personali

Considerando che il DGC ha lo scopo di fornire evidenza del fatto che un individuo sia stato vaccinato contro il Covid-19, abbia ottenuto un risultato negativo al test diagnostico, oppure sia guarito dal Covid-19, è inevitabile che l’adozione e l’implementazione del DGC comporti il trattamento di dati personali (ivi inclusi i dati sanitari) e dunque l’applicazione del Regolamento UE 2016/679 (“GDPR”).

Ricordiamo che il GDPR impone precise regole in materia di trattamento dei dati personali, tra cui l’applicazione dei principi dettati dall’art. 5 del GDPR. La disposizione prevede infatti che i dati personali debbano essere:

• trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
• raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (cd. “limitazione delle finalità”);
• adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (cd. “minimizzazione dei dati”);
• esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (cd. “esattezza”);
• conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (cd. “limitazione della conservazione”);
• trattati in maniera da garantire un’adeguata sicurezza dei dati personali.

Premesso quanto sopra, l’art. 9 del Regolamento DGC disciplina il trattamento dei dati personali e fornisce importanti chiarimenti sul punto.

In primo luogo, vengono chiarite le finalità del trattamento dei dati personali contenuti del DGC, ossia l’accesso alle informazioni incluse nel DGC e la verifica delle stesse per agevolare l'esercizio del diritto di libera circolazione all'interno dell'Unione durante la pandemia di COVID-19.

Successivamente, si prevede che i dati inclusi nel DGC siano trattati per comprovare e verificare lo stato di vaccinazione, test o guarigione del cittadino, nel rispetto del principio di minimizzazione e senza che sia previsto l’obbligo di conservazione degli stessi da parte delle autorità deputate ad effettuare i controlli.

La Commissione ha difatti chiarito che le autorità nazionali si limiteranno a controllare solo ed esclusivamente la validità e l'autenticità del DGC, verificando da chi è stato rilasciato e da chi è stato firmato, ma non potranno in nessun caso conservare i dati personali del cittadino proveniente da un altro Stato membro.

Con specifico riferimento alla conservazione dei dati, è infine previsto che i dati personali non siano conservati più a lungo del necessario rispetto allo scopo perseguito, e in nessun caso oltre il periodo durante il quale i DGC possano essere utilizzati per esercitare il diritto di libera circolazione.

Sul punto, la Commissione ha infatti precisato che il DGC è una misura strettamente connessa alla pandemia Covid-19 e che, non appena l'Organizzazione Mondiale della Sanità (“OMS”) dichiarerà la fine dell'emergenza sanitaria internazionale, il sistema dei DGC verrà sospeso.

Parimenti, qualora l'OMS dichiarasse una nuova emergenza sanitaria internazionale causata dal Covid-19, da una sua variante o da una malattia infettiva simile, il sistema potrebbe essere riattivato.

Il Parere condiviso dell’EDPB e dell’EDPS

Dal momento che la proposta di DGC della Commissione comporta la realizzazione di un sistema di documenti fondati sul trattamento dei dati personali dei cittadini europei e che la stessa può avere impatto consistente sui diritti e sulle libertà delle persone in relazione al trattamento dei loro dati personali, lo scorso 6 aprile 2021, lo European Data Protection Board (“EDPB”) e lo European Data Protection Supervisor (“EDPS”) hanno adottato il parere condiviso sulla proposta del DGC della Commissione (“Parere”).

Attraverso il loro Parere, l’EDPB e l’EDPS hanno invitato i legislatori europei a far sì che il DGC sia in linea con la normativa europea in materia di protezione dei dati personali e in particolar modo con il GDPR. A tal fine, l’EDPB e l’EDPS hanno sottolineato la necessità di mitigare i rischi per i diritti fondamentali dei cittadini e dei residenti dell’UE che possono derivare dal rilascio del DGC, ivi inclusi i possibili usi ulteriori rispetto a quello concordato e hanno sottolineato che l’utilizzo del predetto Certificato non deve in alcun modo comportare una discriminazione diretta o indiretta degli individui e deve essere pienamente in linea con i principi fondamentali di necessità, proporzionalità ed efficacia. Pertanto, data la natura delle misure proposte dalla Commissione europea nel Regolamento DGC, l’EDPB e l’EDPS ritengono che l’introduzione del DGC debba essere accompagnato da un quadro giuridico completo.

In particolare, l’EDPB e l’EDPS hanno evidenziato che la proposta debba prevedere espressamente che, una volta terminata la pandemia, l'accesso e il successivo utilizzo dei dati personali dei cittadini in possesso del DGC da parte degli Stati membri dell'UE, non sia più consentito. Ciò significa che l'applicazione del Regolamento DGC proposto dalla Commissione debba quindi essere strettamente limitata all'attuale emergenza sanitaria da Covid-19.

Infine, il Parere include raccomandazioni specifiche per ulteriori chiarimenti sulle categorie di dati impattati dal Regolamento DGC (meglio descritti dall’allegato 1 dello stesso), sull’archiviazione dei dati personali raccolti, sugli obblighi di trasparenza e sull’identificazione dei titolari del trattamento e dei responsabili del trattamento.

Prossimi passi

Affinché tale sistema di Certificati entri in funzione nei prossimi mesi, è necessario che la proposta di Regolamento DGC della Commissione venga approvata dal Parlamento europeo e dagli Stati membri dell'UE. Contemporaneamente, gli Stati membri dovranno organizzarsi per garantire l'attuazione tempestiva del DGC, la loro interoperabilità e il pieno rispetto della protezione dei dati personali.

In ogni caso, gli Stati membri hanno sottolineato il loro impegno a far sì che l’implementazione del DGC possa partire in concomitanza con l'estate del 2021.

[1] Commissione UE, “Digital Green Certificate factsheet”, https://ec.europa.eu/commission/presscorner/detail/en/fs_21_1208