Parere congiunto delle autorità UE di protezione dei dati sulle proposte di certificati verdi digitali
Il comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (GEPD) hanno adottato un parere congiunto sulle proposte di certificato verde digitale. Con il certificato verde digitale si intende facilitare l’esercizio del diritto di libera circolazione nell’UE durante la pandemia di COVID‑19 istituendo un quadro comune per il rilascio, la verifica e l’accettazione di certificati COVID‑19 di vaccinazione, test e guarigione interoperabili.
Con questo parere congiunto l’EDPB e il GEPD invitano i co-legislatori a fare in modo che il certificato verde digitale sia pienamente conforme alle norme UE di protezione dei dati personali. Le autorità garanti della protezione dei dati di tutti i paesi dell’UE e dello Spazio economico europeo sottolineano la necessità di attenuare i potenziali rischi a carico dei diritti fondamentali dei cittadini e dei residenti dell’UE derivanti dal rilascio del certificato verde digitale, compresi possibili utilizzi secondari indesiderati. L’EDPB e il GEPD sottolineano che l’uso del certificato verde digitale non può in alcun modo dar luogo a discriminazioni dirette o indirette nei confronti delle persone e deve essere pienamente in linea con i principi fondamentali di necessità, proporzionalità ed efficacia. Data la natura delle misure proposte, l’EDPB e il GEPD ritengono che l’introduzione del certificato verde digitale dovrebbe essere corredata di un quadro giuridico completo.
Andrea Jelinek, Presidente dell’EDPB, ha dichiarato: “Un certificato verde digitale accettato in tutti gli Stati membri può segnare un grande passo verso la riapertura dei viaggi nell’UE. Tutte le misure prese a livello nazionale o dell’UE che implichino trattamento di dati personali devono rispettare i principi generali di efficacia, necessità e proporzionalità. Per questo l’EDPB e il GEPD raccomandano che l’uso che faranno gli Stati membri del certificato verde digitale abbia un’appropriata base giuridica negli stessi Stati membri e che siano applicate tutte le garanzie del caso.“
Wojciech Wiewiórowski, il Garante europeo, ha dichiarato: “Va chiarito che la proposta non consente – né deve portare a creare – nessun genere di banca dati centrale di dati personali a livello dell’UE. Occorre inoltre garantire che i dati personali non siano trattati più a lungo di quanto strettamente necessario e che, finita la pandemia, non sia più consentito accedere o usare questi dati. Continuo a sottolineare che le misure prese nella lotta contro la COVID‑19 sono temporanee e che è nostro dovere garantire che non perdurino dopo la crisi.“
Nell’attuale emergenza causata dalla pandemia l’EDPB e il GEPD insistono sul rispetto dei principi di efficacia, necessità, proporzionalità e non discriminazione e ribadiscono che, al momento in cui è scritto questo comunicato, non è ancora scientificamente provato che il vaccino contro la COVID‑19 (o la guarigione dalla COVID‑19) garantisca l’immunità né quanto possa durare un’eventuale immunità. Le prove scientifiche aumentano comunque di giorno in giorno
mentre rimane ignota la serie di fattori correlati all’efficacia della vaccinazione nel ridurre la trasmissione. La proposta dovrebbe stabilire norme chiare e precise che disciplinino la portata e l’ambito di applicazione del certificato verde digitale e introdurre garanzie adeguate: gli interessati avranno così la ragionevole certezza che i loro dati personali saranno protetti con efficacia dal rischio di potenziali discriminazioni.
La proposta deve indicare espressamente che, quanto sarà finita la pandemia, gli Stati membri non potranno più accedere né trattare ulteriormente i dati degli interessati. L’EDPB e il GEPD sottolineano anche che l’applicazione del regolamento proposto deve essere strettamente limitata all’attuale crisi di COVID‑19.
Il parere congiunto riporta raccomandazioni specifiche perché siano chiarite le categorie di dati oggetto della proposta, l’archiviazione dei dati, gli obblighi di trasparenza e l’identificazione dei titolari e dei responsabili del trattamento.
Chi rilevasse evidenze di diversa applicazione di quanto disposto dall’Autorità Europea, sovrana in tutti gli stati membri, può effettuare una segnalazione direttamente attraverso il modulo contatti messo a disposizione nel sito ufficiale della Comunità Europea al seguente indirizzo web
https://edpb.europa.eu/about-edpb/more-about-edpb/contact-us_en