Continuano a far discutere la gestione dei pass vaccinali che, mai come in questo caso, mette in luce tutte le contraddizioni delle autonomie regionali. Dopo il richiamo del Garante privacy al Governo nel mese scorso, reo – secondo l’Autorità guidata da Pasquale Stanzione – di non prevedere abbastanza tutele sotto il profilo della riservatezza dei dati degli utenti al c.d. “green pass”, adesso è il turno della Regione Campania.
Nella giornata di mercoledì, infatti, l’Autorità per la protezione dei dati personali ha disposto un provvedimento formale con il quale ha “avvertito” la Regione Campania che il sistema di certificazione di avvenuta vaccinazione, guarigione o negatività al Covid-19 – promosso dalla Regione come condizione necessaria per la fruizione di innumerevoli servizi come quelli turistici, alberghieri, trasporti e spettacoli – viola la normativa sulla privacy.
Il pass vaccinale ideato dal Governatore Vincenzo De Luca si basa su una smart card su cui saranno registrate le informazioni sanitarie (soprattutto l’avvenuta vaccinazione) che però, in base all’istruttoria avviata dal Garante, è priva di una idonea base giuridica. Disposizioni di questa natura che condizionano diritti e libertà personali, ha precisato il Garante, sono ammissibili solo se previsti da una idonea normativa nazionale e non da un’ordinanza regionale come nel caso di specie. Tale ordinanza, peraltro, travalica le stesse indicazioni del cosiddetto “Decreto riaperture” – che già presentava specifiche criticità già segnalate dall’Autorità al Governo, come dato conto qualche giorno fa da LabParlamento.
L’ordinanza regionale campana risulta – al momento – fallace in più punti, come l’assenza dell’indicazione del titolare del trattamento dei dati vaccinali inseriti nella smart card, le indicazioni concernenti chi può accedere e usare le informazioni, su chi può controllare la validità e l’autenticità delle certificazioni. Il progetto campano, secondo l’Autorità di Piazza Venezia, si pone in aperta violazione di principi base del Regolamento Ue in materia di protezione dei dati personali come quelli di liceità, correttezza, trasparenza, privacy by design e by default. Il sistema adottato dalla Regione, avrebbe richiesto, in ogni caso, che venisse effettuata una preventiva valutazione di impatto volta a implementare misure adeguate a garantire la protezione dei dati, anche particolarmente delicati come quelli sulla salute delle persone.
L’Autorità non ha esitato a precisare come progetti di questo tipo introducono sistemi di rilascio e di verifica della vaccinazione difformi da quelli individuati a livello nazionale e, soprattutto, mettono a rischio la stessa interoperabilità delle certificazioni a livello nazionale ed europeo, in contrasto proprio con la finalità di agevolare la libera circolazione all’interno dell’Unione Europea durante la pandemia di Covid-19. Nessuno, infatti, sa al momento garantire se tale smart card può essere letta e accettata al di là del Garigliano, figurarsi oltre le Alpi.
L’ “avvertimento” formale adottato nei confronti della Regione Campania è stato comunicato anche al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome, per le valutazioni di competenza. Al momento non si conosce come tale vicenda si concluderà. Forse sarà una questione di privacy.