Da Punto-Informatico.it :
Dopo i rischi per la privacy evidenziati dall’Avv. Guido Scorza, il Garante per la protezione dei dati personali ha inviato un avvertimento formale al governo. Il decreto legge n. 52 del 22 aprile 2021 (decreto Riaperture) presenta gravi criticità in merito alla creazione e gestione dei Certificati Verdi che serviranno per gli spostamenti tra regioni e province in zona rossa o arancione.
Il Garante avverte il governo: non ci siamo proprio
Il Garante elenca una serie di criticità riscontrate nel decreto che istituisce i Certificati Verdi. Innanzitutto rileva la violazione del GDPR (Regolamento generale sulla protezione dei dati), in base al quale è obbligatorio consultare l’autorità prima di approvare una norma che adotta uno strumento basato sull’uso dei dati personali.
Il tempestivo e necessario coinvolgimento dell’autorità, previsto anche durante l’elaborazione di una proposta di atto legislativo, oltre a evitare il vizio procedurale, avrebbe consentito all’autorità di indicare tempestivamente modalità e garanzie contribuendo all’introduzione di una misura necessaria al contenimento dell’emergenza epidemiologica, rispettosa della disciplina in materia di protezione dei dati personali fin dalla progettazione. Il carattere di urgenza della norma non costituisce condizione ostativa al preventivo coinvolgimento dell’autorità.
Il Garante osserva inoltre che
Il decreto Riaperture non garantisce una base normativa idonea per l’introduzione e l’utilizzo dei certificati verdi su scala nazionale, ed è gravemente incompleto in materia di protezione dei dati, privo di una valutazione dei possibili rischi su larga scala per i diritti e le libertà personali.
L’autorità evidenzia che il decreto non specifica le finalità del trattamento dei dati sulla salute dei cittadini e ciò non permette di valutare la compatibilità con la certificazione europea (Digital Green Certificate). Tra l’altro non è chiaro perché il governo italiano abbia adottato una certificazione provvisoria in attesa di quella approvata da Parlamento e Consiglio dell’Unione europea.
Nel decreto “non viene specificato chi è il titolare del trattamento dei dati, in violazione del principio di trasparenza, rendendo così difficile se non impossibile l’esercizio dei diritti degli interessati“. Il Garante sottolinea inoltre la violazione del principio di minimizzazione dei dati. L’adozione di tre modelli di certificazione per indicare avvenuta vaccinazione, guarigione e negatività ai test comporta un uso eccessivo di informazioni che potrebbero essere inesatti o non aggiornati.
L’autorità avverte infine il governo che non sono stati previsti tempi di conservazione dei dati né misure adeguate per garantire la loro integrità e riservatezza.
Le gravi criticità rilevate si sarebbero potute risolvere preventivamente e in tempi rapidissimi se, come previsto dalla normativa europea e italiana, i soggetti coinvolti nella definizione del decreto legge avessero avviato la necessaria interlocuzione con l’autorità, richiedendo il previsto parere, senza rinviare a successivi approfondimenti.
Il Garante ha segnalato queste criticità a tutti i soggetti coinvolti nella speranza di discutere e risolvere le problematiche rilevate. La soluzione migliore sarebbe bloccare sul nascere il certificato verde “fatto in casa” e attendere quello europeo.
Fonte Punto Informatico Source link