Il Governo non ha consultato l’Autorità Garante per la protezione dei dati sui due decreti leggi con cui ha introdotto il green pass e l’obbligo vaccinale per i sanitari.
Ma l’esecutivo è obbligato dal GDPR a coinvolgere il Garante Privacy.
Quindi è stato impedito al Garante di indicare tempestivamente modalità e garanzie necessarie per il rispetto della disciplina in materia di protezione dei dati personali.
L’Autorità aveva già inviato un avvertimento formale al Governo (con Provvedimento del 23 aprile 2021), nel quale aveva precisato, innanzitutto, che il cosiddetto “decreto riaperture” non garantisce una base normativa idonea per l’introduzione e l’utilizzo dei certificati verdi su scala nazionale, ed è gravemente incompleto in materia di protezione dei dati, privo di una valutazione dei possibili rischi su larga scala per i diritti e le libertà personali.
Poi il Garante della Privacy spiega cosa non va allo stato attuale nel Green Pass:
“Così com’è, la norma non circoscrive sufficientemente l’ambito di utilizzo dei pass, con il rischio di interpretazioni, magari in buona fede, che però abbiano l’effetto di estenderne indebitamente il perimetro.
Nella norma è assente una chiara definizione dei protagonisti del trattamento (titolare e responsabile in particolare) necessaria invece per l’esercizio, da parte degli interessati, dei diritti loro riconosciuti dalla disciplina privacy.
Altro punto debole è la previsione di due modelli diversi di pass a seconda che si tratti di tampone negativo/guarigione o, invece, da vaccino: andrebbe sostituita dall’indicazione della sola scadenza temporale del certificato.
Mancano infine garanzie adeguate alla natura dei dati trattati, che sono sensibili“.