Tecnologia

Green pass vaccinale, un pasticcio tutto italiano

L’Europa si esprime sul Green Pass cambiandogli denominazione e contraddicendo in qualche modo quanto fatto a oggi dal nostro Paese. Il 29 aprile 2021, infatti, il Parlamento europeo ha approvato la proposta di Regolamento, presentata dalla Commissione il 17 marzo scorso, su un “certificato digitale verde”, con l’obiettivo di ripristinare la libera circolazione nell’Unione.

I deputati europei hanno approvato diversi emendamenti a questo provvedimento sul nuovo “certificato Eu Covid-19” – che dovrebbe appunto sostituire la dicitura “certificato digitale verde” – evidenziando la necessità di assicurare forti garanzie di protezione dei dati personali e di sicurezza delle infrastrutture tecnologiche necessarie per mettere in atto i certificati di vaccinazione.

La proposta di un certificato per riaffermare il diritto alla libera circolazione in Europa durante la pandemia solleva importanti preoccupazioni in punto di protezione dei dati personali. Come sappiamo, la questione è già stata oggetto, nel nostro Paese, di un severo e corretto intervento dell’Autorità Garante per la protezione dei dati personali, che ha inviato un avvertimento formale ai ministeri competenti sul “pass vaccinale”, previsto dal Decreto Legge del 22 aprile 2021, n. 52 (cosiddetto Decreto Riaperture), rilevando “gravi criticità in grado di inficiare, se non interverranno opportune modifiche, la validità e il funzionamento del sistema per la riapertura degli spostamenti durante la pandemia”.

Il Garante ha osservato, in particolare, che i trattamenti connessi al rilascio e all’utilizzo del “pass vaccinale” non potrebbero essere validamente fondati sul dl 52/2021, ritenuto inidoneo a legittimare l’introduzione e l’utilizzo dei “certificati verdi” a livello nazionale. Senza considerare poi le gravi criticità a livello di sicurezza e rispetto dei principi di minimizzazione, trasparenza, esattezza e limitazione della conservazione, che dovrebbero essere integrati nel trattamento, in conformità ai principi di privacy by design e privacy by default stabiliti dall’articolo 25 del GDPR. Insomma, un pasticcio tutto italiano.

La frettolosa approvazione del progetto italiano ha sacrificato, ancora una volta, le esigenze di tutela del dato personale, trascurando, con incredibile leggerezza, la preventiva consultazione dell’Autorità Garante, come imposto dalla normativa (e come si è fatto, invece, in sede europea laddove la recente approvazione del Regolamento sul certificato Covid-19 è stata doverosamente preceduta dalla richiesta di parere del Garante europeo e del Comitato europeo per la protezione dei dati).

Ancora più fumoso è il quadro delle misure tecnologiche che il nostro Paese intende adottare per permettere il funzionamento del “pass vaccinale”. E, nella confusione generale, il Governo pensa di riesumare persino l’app Immuni (sulla quale sarebbe stato più corretto stendere un velo pietoso), visto anche quanto forse un po’ frettolosamente dichiarato dal ministro per l’Innovazione tecnologica e la transizione digitale in proposito e quanto sembrerebbe comunque confermato nel progetto italiano sul green pass. Il fallimentare progetto Immuni, che aveva già rivelato numerose falle e una preoccupante mancanza di trasparenza dei meccanismi posti a base del suo funzionamento, determinando una – condivisibile – mancanza di fiducia dei cittadini sul corretto utilizzo dei propri dati personali, verrebbe così incredibilmente riconvertito a strumento per il rilascio dei certificati Covid-19.

Il rilancio di Immuni, però, avverrebbe in uno scenario del tutto differente dal punto di vista della protezione dei dati personali, che sarebbero trattati per finalità differenti e con diversi impatti sui diritti e sulle libertà delle persone. Questo renderebbe necessario, quanto meno, sviluppare una nuova valutazione del rischio e apprestare misure di sicurezza che tengano conto anche del più ampio ambito di circolazione dei dati personali, su scala europea e non più nazionale.

Senza contare che, per poter essere usati efficacemente in un contesto transfrontaliero, gli strumenti di rilascio dei certificati Covid-19 devono essere pienamente interoperabili, compatibili, sicuri e verificabili. Sul punto, il Parlamento europeo ha espresso posizioni molto chiare, ribadendo l’importanza di sottoporre i certificati a un controllo continuo per evitare frodi e falsificazioni, così come di verificare l’autenticità dei sigilli elettronici inclusi nei documenti e di evitare che i dati personali dei cittadini europei siano conservati dagli Stati Membri di destinazione.

L’approccio che dovrebbe animare qualsiasi progetto di digitalizzazione a livello europeo, ancor più in un momento di delicata emergenza sanitaria, dovrebbe essere improntato alla cooperazione tra governi e alla condivisione di principi, norme tecniche e livello di protezione dei diritti fondamentali. L’Italia sembra essere partita con il piede sbagliato. Ma si può fare solo meglio di quanto annunciato.