Il “sì” del Garante Privacy alla digitalizzazione dei certificati di esenzione da vaccino anti Covid-19.

di Francesca Zanovello -

Con l’art. 9-bis, comma 3, del d.l. 22 aprile 2021, n. 52, convertito con modificazioni dalla l. 17 giugno 2021, n. 87, sono state introdotte le certificazioni di esenzione dalla vaccinazione anti Covid-19 per i soggetti che, in ragione di condizioni mediche, non possono ricevere o completare la vaccinazione e quindi ottenere la relativa certificazione verde.

La norma ha anche previsto che, con decreto del Presidente del Consiglio dei ministri, adottato di concerto con i Ministri della salute, per l’innovazione tecnologica e la transizione digitale, e dell’economia e delle finanze, sentito il Garante per la protezione dei dati personali, siano individuate le specifiche tecniche per trattare in modalità digitale le certificazioni di esenzione alla vaccinazione, al fine di consentirne la verifica digitale e assicurare contestualmente la protezione dei dati personali in esse contenuti. Nelle more dell’adozione del predetto decreto è stato autorizzato (e più volte prorogato con un susseguirsi di circolari del Ministero della salute) l’utilizzo di certificazioni rilasciate in formato cartaceo che non devono contenere altri dati sensibili del soggetto interessato quali le motivazioni cliniche dell’esenzione.

Considerata l’estensione dell’uso delle certificazioni verdi Covid-19 per accedere a determinati luoghi e dell’obbligo vaccinale, si è palesata l’estrema urgenza di adottare il suddetto decreto per la digitalizzazione delle certificazioni di esenzione nel rispetto della disciplina sulla protezione dei dati personali.

Come già evidenziato dal Garante Privacy (cfr. parere dell’11 ottobre 2021, doc. web n. 9707431 e provvedimento del 13 dicembre 2021) infatti la presentazione di un documento cartaceo di esenzione alla vaccinazione anti Covid-19, diverso dalla certificazione verde, rivela inevitabilmente a terzi la sussistenza di una condizione di salute dell’interessato che gli impedisce, in via temporanea o definitiva, di sottoporsi alla predetta vaccinazione. Conseguentemente, è prioritaria l’introduzione di un documento digitale dotato di QR Code che, attraverso l’uso dei sistemi di verifica previsti dalla normativa vigente, riveli le medesime informazioni delle certificazioni verdi Covid-19, ovvero quelle relative all’autenticità, alla validità e all’integrità della certificazione e alle generalità dell’interessato, senza che siano anche visibili le informazioni che ne hanno determinato l’emissione. Il soggetto deputato al controllo della certificazione digitale di esenzione non deve, quindi, venire a conoscenza non solo della condizione di salute alla base della quale è stata emessa la certificazione di esenzione e data di fine della validità della stessa, ma soprattutto che trattasi di una certificazione diversa da quella verde.

Sulla scorta delle indicazioni del Garante è stato adottato lo schema di decreto del Presidente del Consiglio dei Ministri (di cui al sopra menzionato art. 9-bis) che introduce la digitalizzazione delle certificazioni di esenzione dalla vaccinazione anti Covid-19.

Sullo schema di decreto si è pronunciato in senso favorevole l’Autorità Garante per la protezione dei dati personali con Parere del 27 febbraio 2022 – doc. web n. 9742129 (consultabile sul sito del Garante Privacy www.garanteprivacy.it) come reso noto con comunicato stampa del 2 febbraio 2022.

Il Garante sottolinea come, nella definizione del decreto, particolare attenzione sia stata posta su una serie di delicati aspetti come le modalità di accesso al Sistema Tessera Sanitaria (TS); la messa a disposizione delle certificazioni dell’interessato direttamente o tramite i soggetti intermediari (portale della Piattaforma nazionale-DGC, Fascicolo Sanitario Elettronico, App Immuni, App IO e Sistema TS); le modalità automatizzate previste per l’impiego delle certificazioni verdi in ambito scolastico e lavorativo.

In particolare, si pone l’accento sul fatto che nella facciata delle certificazioni di esenzione che include il QR code vadano riportati i medesimi dati presenti nelle certificazioni verdi Covid-19 (nome e cognome, data di nascita e identificativo univoco) e che gli ulteriori dati di dettaglio siano indicati nelle facciate interne della stessa, al fine di garantire che il soggetto deputato al controllo della certificazione digitale di esenzione non venga a conoscenza della condizione di salute alla base della quale è stata emessa la certificazione di esenzione (art. 3 dello schema di decreto e allegato A). Lo schema di decreto prevede inoltre che la facciata esterna delle certificazioni di esenzione abbia lo stesso layout grafico di quella delle certificazioni verdi Covid-19, al fine di assicurare che il verificatore non possa distinguere se trattasi di certificazione di esenzione o di certificazione verde per avvenuta vaccinazione o guarigione o esito negativo di test anti Covid-19 (art. 3 dello schema di decreto). Lo schema precisa inoltre che il codice univoco esenzione vaccinale (CUEV) vada riportato esclusivamente nella facciata interna della certificazione al fine di consentire al farmacista/operatore sanitario di verificare la sussistenza dei requisiti per usufruire dei tamponi antigenici gratuiti.

Lo schema di decreto approfondisce poi altri profili, sui quali il Garante esprime adesione, quali il rilascio della certificazione su istanza dell’interessato; la revoca nei medesimi casi previsti per le certificazioni verdi (sopraggiunta positività e acquisizione/rilascio fraudolento), nonché quando venga meno la specifica condizione clinica che giustifica l’esenzione; puntuale indicazione dei soggetti che trattano i dati delle certificazioni di esenzione, specificando la tipologia dei dati trattati per ciascuna finalità perseguita (sanità pubblica, aggiornamento delle anagrafi regionali vaccinali, epidemiologiche, profilassi o di monitoraggio sulla correttezza, veridicità e congruità dei dati); definizione dei ruoli di titolare e di responsabile del trattamento dei dati relativi alle certificazioni digitali di esenzione trattati nella Piattaforma nazionale-DGC; determinazione dei tempi di conservazione, delle modalità per l’esercizio dei diritti degli interessati e per fornire agli stessi le informazioni di cui agli artt. 13 e 14 del Regolamento UE 679/2016; uniformazione dei dati trattati per la generazione delle certificazioni di esenzione rispetto a quelli relativi alle certificazioni di guarigione, al fine di assicurare la parità di trattamento e l’uniformità delle misure di garanzia per i medesimi soggetti interessati.