Passaporto vaccinale via app? Scorza: "Ecco i gravi errori giuridici da evitare" | Agenda Digitale

l'analisi

Passaporto vaccinale via app? Scorza: “Ecco i gravi errori giuridici da evitare”

L’Italia accarezza l’idea di dare libertà di movimento solo a chi si vaccina al covid e poi lo attesti tramite un’app. Il passaporto vaccinale. Ma è almeno dubbio che si possa privare una persona dell’esercizio di un diritto o di una libertà sulla base del trattamento di un dato personale inesatto o incompleto

04 Gen 2021

All’indomani dell’arrivo dei vaccini anti-Covid-19 in tutto il mondo si discute dell’opportunità di iniziare a usare, per tornare a viaggiare e, più in generale, per recuperare la normalità perduta, cosiddetti passaporti vaccinali (o “patentino”).

Accade anche in Europa, Italia inclusa. E iniziano a diffondersi le prime soluzioni tecnologiche che danno forma e sostanza all’idea.

Ma temo che si siano sottovalutate importanti implicazioni privacy e di diritto, che se sottovalutate possono portare a gravi errori.

Common Pass, app come passaporto vaccinale

Intanto ci sono già app, come Common Pass, che rispondono all’esigenza di rendere l’informazione relativa all’avvenuta o meno vaccinazione di un soggetto o, in taluni casi, all’avvenuto o meno esito positivo di un tampone, facilmente spendibile in una serie di contesti diversi come aeroporti, hotel, treni, palestre ecc.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

CommonPass, ad esempio, traduce l’informazione in questione in un QR-Code archiviato sullo smartphone dell’utente che, quindi, può dimostrare di essersi vaccinato, semplicemente avvicinando il telefonino a un lettore a infrarossi di quelli che già leggono la nostra carta di imbarco negli aeroporti.

Una soluzione tecnologicamente semplice, estremamente usabile e con un’interfaccia accattivante come decine di app che, proprio grazie a tali caratteristiche ci hanno conquistato e sono diventate parte integrante del nostro quotidiano.

Le foto e i video che mostrano la semplicità di uso dell’app ci consegnano una meravigliosa sensazione di leggerezza e normalità ritrovata.

L’Italia che vuole un passaporto vaccinale covid

Compagnie aeree, fornitori di servizi turistici e catene di esercizi commerciali, in giro per il mondo, hanno già annunciato l’intenzione di adottare queste soluzioni e restringere l’accesso ai loro locali o la fruizione dei loro servizi ai soli consumatori e utenti che esibiranno un passaporto vaccinale digitale che dimostri che si sono vaccinati o sono risultati negativi a un tampone.

E non mancano in Italia, in Europa e in giro per il mondo esponenti politici e decisori pubblici che strizzano l’occhio a queste soluzioni e le considerano una valida alternativa alla problematica e divisiva decisione di rendere obbligatorio il vaccino.

La semplicità della soluzione in termini tecnologici e di processo nasconde, tuttavia, problemi di straordinaria complessità.

Sono in gioco i nostri diritti fondamentali

In gioco, infatti, ci sono diritti fondamentali degli uomini e dei cittadini, pari ordinati rispetto al diritto alla salute che con queste soluzioni si mira a tutelare, che rischiano di essere ignorati e travolti, a cominciare dal diritto alla privacy.

Ci sono tanti possibili approcci al problema: quello politico, quello costituzionale, quello etico o quello di protezione dei dati personali.

Qui, per ora, mi limito a poche considerazioni sintetiche e a caldo, necessariamente da approfondire, su quest’ultimo profilo, considerazioni che, naturalmente, non riguardano solo CommonPass ma tutti i passaporti vaccinali digitali e non dei quali si discute.

Per i profili costituzionali rinvio a un bell’articolo della collega Ginevra Cerrina Feroni su Il Dubbio di qualche giorno fa.

Ecco alcune delle principali questioni che vale la pena tenere presenti nell’affrontare il problema per evitare di commettere errori dalle conseguenze irreparabili.

Gli errori gravi da evitare

Ecco la prima.

Dati sensibili da tutelare

Lo stato vaccinale è, naturalmente, un dato particolare, uno di quelli che una volta si chiamavano dati sensibili, dati il cui trattamento la disciplina europea in materia di protezione dei dati personali sottopone a un regime particolarmente rigoroso, limitando il novero delle basi giuridiche sulle quali il loro trattamento può essere fondato.

Tenuto conto che l’utilizzo di questi passaporti ha, per necessaria conseguenza, che il fornitore del servizio che decidesse di identificare l’avvenuta vaccinazione come condizione per la fruizione del servizio dovrebbe trattare il dato relativo allo stato vaccinale dei suoi utenti è facile concludere che, almeno in Europa, tale soggetto – si tratti di un compagnia aerea, di una società di trasporto, del gestore di un hotel, un ristorante o un parco divertimenti – per farlo avrebbe bisogno di una delle basi giuridiche per i trattamenti di dati particolari di cui all’articolo 9 del Regolamento.

E, a scorrerle, c’è poco spazio per la fantasia.

In un caso d’uso come quelli che si stanno ipotizzando, l’unica base giuridica utile sembra la legge perché non appare sostenibile ancorare il trattamento dei dati in questione al consenso dell’interessato giacché dovendo il consenso essere e restare libero, non si sarebbe poi in grado di negare la fruizione del servizio a chi legittimamente negasse il consenso e rifiutasse di usare o mostrare il passaporto vaccinale.

L’utilizzo generalizzato – ovvero come presidio alla fruizione di servizi pubblici di largo consumo o l’accesso a luoghi aperti al pubblico – dei passaporti vaccinali e delle app che li incorporano, dunque sembra dover esser preceduto dall’approvazione di una legge.

Ogni “fuga in avanti” di singoli soggetti privati, allo stato e salvo miglior approfondimento e valutazione caso per caso, sembrerebbe claudicante almeno sotto il profilo della protezione dei dati.

La seconda considerazione è la seguente.

I vincoli del GDPR per il passaporto vaccinale

Le leggi, come è noto, non sono sottratte al rispetto dei principi del GDPR.

In un caso come questo – sempre al netto di una miglior valutazione – una legge, in Europa ovviamente, potrebbe stabilire l’obbligo di esibizione di un passaporto vaccinale ai fini della fruizione di un servizio o dell’esercizio di un’altra qualsiasi attività solo laddove ciò rappresentasse una soluzione necessaria al perseguimento della finalità perseguita attraverso la legge medesima.

Proporzionalità e necessità del trattamento rispetto alla finalità perseguita, infatti, costituiscono vincoli di protezione dei dati personali invalicabili anche per Parlamento e Governo.

Ora il nodo, eventualmente, da sciogliere sarebbe questo: se un Parlamento o un Governo optano per un regime di vaccinazione facoltativo e non obbligatorio è poi legittimo – sotto un profilo di protezione dei dati personali – che impongano un trattamento di dati volto a distinguere i cittadini vaccinati da quelli non vaccinati ai fini dell’esercizio di diritti e libertà, anche fondamentali, come, ad esempio, quella di movimento?

La prima risposta alla domanda, a caldo, sembra dover essere negativa perché le scelte riguardo al vaccino di entrambe le categorie di cittadini sono egualmente legittime e, quindi, a tutti i cittadini andrebbero garantiti eguali diritti e libertà con la conseguenza che il trattamento di dati personali in questione risulterebbe non necessario.

Ovviamente queste considerazioni non riguardano l’ipotesi nella quale una legge dovesse imporre, in maniera selettiva, l’obbligo di vaccinazione per l’esercizio di talune attività e, poi, legittimamente stabilire l’obbligo di provare, eventualmente anche attraverso l’esibizione di un passaporto vaccinale, di aver adempiuto all’obbligo di chi deve o vuole svolgere tale attività.

Ma i vaccini sono diversi

La terza considerazione: i vaccini disponibili in giro per il mondo sono diversi e hanno percentuali di efficacia diversa, non tutti quelli che vorrebbero vaccinarsi potranno farlo – a alcuni soggetti e precluso per particolari condizioni di salute – e, certamente non tutti potranno farlo nell’immediato.

Il dato binario vaccino si, vaccino no, insomma, rischia di non essere sufficiente a rappresentare in maniera integrale, esatta e corretta la situazione del singolo.

Un passaporto che attesti la circostanza che un soggetto si è vaccinato in un determinato Paese nel quale si usa un certo vaccino con una più limitata efficacia non attesta una condizione omogenea rispetto a quella di chi si è vaccinato in un Paese e con un vaccino diverso e, in ipotesi, più efficace.

Se non vaccinarsi non è una scelta

E, egualmente, sono diverse le condizioni di chi ha scelto di non vaccinarsi, di chi non ha ancora potuto vaccinarsi e di chi non potrà mai vaccinarsi.

Tale situazione ha, inesorabilmente, conseguenze rilevanti sul versante della protezione dei dati personali.

In conclusione

È almeno dubbio che si possa privare una persona dell’esercizio di un diritto o di una libertà sulla base del trattamento di un dato personale inesatto o incompleto o, comunque, incapace di riflettere in maniera integrale un’informazione che lo riguarda o, almeno, non lo si può fare senza offrirgli un’alternativa equivalente.

Guai, naturalmente, a bocciare senza prova d’appello l’idea dei passaporti vaccinali digitali ma, al tempo stesso guai, a considerare semplice una soluzione di enorme complessità.

WEBINAR
[WEBINAR, 4 maggio] Operatori ICT: ruolo chiave nella protezione dei dati per le aziende
Sicurezza
Trade
@RIPRODUZIONE RISERVATA

Articolo 1 di 3