Il Garante ritiene, allo stato, non rispettata la normativa privacy (delibera 23 aprile 2021 in Gazzetta Ufficiale n. 104/2021).

Il sistema introdotto dal DL 52/2021 configurerebbe:

1 Mancata consultazione del Garante

Considerando il trattamento sistematico di dati (sanitari) su larga scala, sarebbe stato sicuramente opportuno effettuare una preventiva valutazione di impatto.

2 Inidoneità base giuridica

Il decreto-legge non rappresenta una valida base giuridica ai sensi del GDPR.

3 Violazione principio di minimizzazione

Non essendo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità.

4 Violazione principio esattezza

Non essendo i dati esatti, aggiornati e agevolmente cancellabili o rettificabili.

5 Violazione principio di trasparenza

Non indicando in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi.

6 Violazione principi di limitazione, integrità e riservatezza

Non essendo i dati conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

In conclusione, il Garante ritiene che la disciplina della certificazione verde così come delineata risulta non proporzionata rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito.

Allavelli Legal

Risultando quindi urgente intervenire al fine di tutelare i diritti e le libertà degli interessati, il Garante ha avvertito tutti i soggetti coinvolti della potenziale violazione.