Passaporto Vaccinale e Protezione dei Dati personali

Il Parere delle istituzioni europee sul Digital Green Certificate

L’avvento del “certificato vaccinale” o Digital Green Certificate rappresenta un evento molto atteso, tenuto conto della imponente mole di dati personali coinvolti e considerata anche la loro natura, nonché i potenziali rischi per la sicurezza dei diritti e delle libertà fondamentali dei cittadini europei.

Il 6 aprile lo European Data Protection Board (EDPB) e lo European Data Protection Supervisor (EDPS) hanno pubblicato un Parere condiviso sulla proposta di regolamento pubblicata dalla Commissione il 17 marzo.

In base a quanto sancito all’interno del Parere, la proposta di regolamento della Commissione necessita di essere integrata per una migliore e più precisa definizione delle finalità per le quali verrà introdotto il Digital Green Certificate.

L’EDPB e l’EDPS hanno ritenuto che nel caso in cui gli Stati membri cerchino di utilizzare il Digital Green Certificate per scopi ulteriori (es. come requisito necessario per entrare in negozi, ristoranti, luoghi di culto) rispetto a quanto dichiarato nella Proposta, potrebbero incorrere in conseguenze e rischi per i diritti fondamentali dei cittadini europei. Hanno inoltre sottolineano che l’ulteriore utilizzo del Digital Green Certificate, effettuato in base alla normativa nazionale, non dovrebbe mai portare a discriminazioni sulla base dell’essere stati o meno vaccinati.

Gli eventuali ulteriori utilizzi, da parte degli Stati membri, dovranno avvenire in maniera compatibile con la finalità primaria citata e nel rispetto delle normative europee e, in particolare, dei principi di pertinenza, necessità, proporzionalità del trattamento.

La normativa nazionale sarà chiamata dunque ad indicare con precisione le caratteristiche del trattamento e quindi la base giuridica, la finalità, le categorie di soggetti coinvolti nel trattamento e le misure di sicurezza adottate per prevenire un utilizzo abusivo del certificato.

In merito al periodo di conservazione dei dati, L’EDPB e l’EDPS hanno chiesto di integrare la Proposta, presentata dalla Commissione, definendo in modo preciso i tempi di conservazione o, alternativamente, stabilendo i criteri in base al quale determinarli.

Quanto alle misure di sicurezza la Commissione Europea è stata invitata a specificare le misure che obbligatoriamente dovranno essere adottate. Il Titolare del trattamento sarà chiamato ad implementare sia le misure di sicurezza obbligatorie per legge, sia quelle individuate in base ad un approccio risk based.

Particolare attenzione per quanto riguarda il tema del trasferimento dati al di fuori dello Spazio Economico Europeo. Si tratta di una circostanza che potrebbe facilmente verificarsi e che porta con sé una buna dose di ulteriori rischi per il trattamento dei dati. Nel Parere viene evidenziata la necessità di chiarire esplicitamente se e quando sono previsti tali trasferimenti di dati personali e di definire misure di garanzia idonee ad assicurare che i dati saranno utilizzati solo ed esclusivamente per le finalità indicate dalla Commissione Europea e specificate nella Proposta.

Fonte: cybersecurity360.it