g-docweb-display Portlet

Certificazioni verdi: via libera del Garante, con adeguate garanzie. Disposto il blocco provvisorio per l’App IO









English version


Certificazioni verdi: via libera del Garante, con adeguate garanzie
Disposto il blocco provvisorio per l’App IO

Il Garante per la protezione dei dati personali, all’esito di lunghe e proficue interlocuzioni con il Ministero della salute, ha dato parere favorevole sullo schema di decreto attuativo, che attiva la Piattaforma nazionale-DGC per il rilascio del green pass, prevedendo adeguate garanzie per l’utilizzo delle certificazioni verdi. Il green pass, introdotto dal decreto “Riaperture” per consentire gli spostamenti tra Regioni e l’accesso a eventi pubblici e sportivi, è ora previsto, nelle zone gialle, anche per partecipare alle feste in occasione di cerimonie civili e religiose.

L’Autorità, che ha già avvertito il Governo sulle criticità dell’attuale versione del decreto “Riaperture”, ricorda la necessità di individuare con chiarezza, in sede di conversione in legge del decreto, i casi in cui può essere chiesto all’interessato di esibire la certificazione verde per accedere a luoghi o locali.

Proprio l’attuale indeterminatezza delle circostanze in cui è richiesta l’esibizione del green pass ha favorito l’adozione, da parte di alcune Regioni e Province autonome, di ordinanze che ne hanno imposto l’uso anche per scopi ulteriori rispetto a quelli previsti nel decreto riaperture e nei confronti delle quali il Garante è già intervenuto.

L’Autorità sottolinea, inoltre, che anche il Regolamento europeo sul green pass, attualmente in fase di adozione, prevede che lo stesso possa essere utilizzato dagli Stati membri per finalità ulteriori, rispetto agli spostamenti all’interno dell’Ue, ma solo se ciò è espressamente previsto e regolato da una norma nazionale.

L’Autorità - pur valutando positivamente, nel complesso, lo schema di Dpcm, che recepisce gran parte delle indicazioni fornite del Garante nel corso delle interlocuzioni con il Ministero della Salute - rileva alcuni profili sui quali ritiene necessario un intervento di modifica.

In particolare, il Garante chiede chiarezza sulle finalità per le quali potrà essere richiesto il green pass che dovranno essere stabilite con una norma di rango primario. Inoltre, la norma dovrà prevedere che le certificazioni possano essere emesse e rilasciate solo attraverso la Piattaforma nazionale-DGC e verificate esclusivamente attraverso l’App VerificaC19. Tale app infatti è l’unico strumento in grado di garantire l’attualità della validità della certificazione verde, in conformità ai principi protezione dei dati personali, garantendo inoltre che i verificatori possano conoscere solo le generalità dell’interessato, senza visualizzare le altre informazioni presenti nella certificazione (guarigione, vaccinazione, esito negativo del tampone).

Altra misura, chiesta e ottenuta dal Garante nel corso delle interlocuzioni con il Ministero della salute, è che i soggetti deputati ai controlli delle certificazioni verdi siano chiaramente individuati e istruiti.

Quanto alle modalità con le quali ottenere il green pass, lo schema di decreto prevede che venga messo a disposizione attraverso diversi strumenti digitali (sito web della Piattaforma nazionale-DGC; Fascicolo sanitario elettronico; App Immuni; App IO) che permetteranno agli interessati di consultare, visualizzare e scaricare le certificazioni. Inoltre gli interessati potranno rivolgersi anche al medico di famiglia e al farmacista per scaricare la certificazione verde.

In merito alle app per recuperare il green pass, il Garante ha autorizzato l’uso dell’App Immuni, ma ha rinviato l’impiego dell’App IO a causa delle criticità riscontrate in merito alla stessa.

Nella stessa riunione del Collegio, con distinto provvedimento, l’Autorità, in relazione a criticità di ordine generale sul funzionamento dell’App IO, ha ordinato in via d’urgenza alla società PagoPA di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la predetta app che prevedono l’interazione con i servizi di Google e Mixpanel, e che  comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso.

Profili sui quali l’Autorità aveva già richiamato l’attenzione con diversi provvedimenti del 2020 fornendo peraltro indicazioni per rendere conforme l’uso dell’app alla normativa sulla privacy.

Roma, 10 giugno 2021





Green Pass: Green light from the Italian SA subject to adequate safeguards
Use of the IO App to be limited temporarily

Following several fruitful exchanges with the Ministry of Health, the Italian SA (Garante per la protezione dei dati personali) issued a favourable opinion on the draft decree implementing the National DGC Platform for the release of digital green certificates, or ‘green passes’, and laid down adequate safeguards for the use of such certificates. The green pass was introduced by the ‘Italy Reopens’ decree to enable travelling between Italian regions and participating in public or sports events; in yellow areas of the country, the pass is now also required to join civil or religious functions.

The Italian SA had already highlighted the criticalities of the current text of the ‘Italy Reopens’ decree; on this occasion, it reminded the Government of the need for the law due to be enacted following the above decree to spell out the cases in which an individual would be required to produce a green pass in order to access certain premises or places.

Indeed, the lack of clear-cut guidance on the conditions for producing a green pass has led a few regions and provinces in Italy to issue orders mandating the use of a green pass for purposes other than those set out in the ‘Italy Reopens’ decree. The Italian SA has already stepped in with regard to such local orders.

Additionally, the Italian SA underlined that the EU green pass draft regulation also envisages that the green pass may be used in Member States for purposes other than intra-EU movements – on condition this is explicitly provided for and regulated by national law.

The draft decree, to be issued by the Prime Minister’s office, was received on the whole favourably by the Italian SA as it took on board most of the recommendations and guidance provided by the Garante during the exchanges with the Ministry of Health. However, there remain a few areas for which amendments are needed in the Italian SA’s view.

In particular, the Italian SA is requesting that the purposes for which producing a green pass may be required should be laid down clearly by way of primary legislation. Such legislation will have to provide that a green pass may only be issued and released through the national DGC platform and verified only through the ‘VerificaC19’ app. The latter app is the only tool that can ensure the current validity of a green pass in line with data protection principles; furthermore, checks based on this app will only disclose the data subject’s name without displaying any other information contained in the green pass – i.e., whether the individual recovered from, was vaccinated against, or tested negative for Covid-19.

A further measure to be implemented following the requests made by the Italian SA to the Ministry of Health envisages that only dedicated, trained staff will have to be deployed for checking green passes.

As for obtaining a green pass, the draft decree envisions the use of various digital tools – including the website of the national DGC platform, the personal e-health file, the ‘Immuni’ app, and the ‘IO’ app. All of them will enable data subjects to access, display and download the respective certificates. Data subjects will also be able to apply to their family doctors or to pharmacies in order to download their green passes.

Regarding, in particular, the apps for obtaining one’s green pass, the Italian SA authorised the Immuni app but did not give its green light to the IO app, for the time being, on account of the criticalities that were found.

More specifically, a separate urgent decision adopted by the Italian SA on the same day addressed more general shortcomings of the IO app. In this connection, the PagoPA company [which manages payment transactions involving public bodies] was ordered to provisionally limit certain data processing activities as performed via the said app since they entail interactions with services by Google and Mixpanel and result accordingly into transfers to third countries (USA, India, Australia) of data that are highly sensitive including information on cashback transactions and payment tools. Those transfers have been performed without adequately informing users and enabling them to give their consent.

It should be recalled that the Italian SA had already drawn the Government’s attention to these shortcomings by way of several decisions issued in 2020, where guidance had also been provided to bring the use of the app into line with data protection law.

Rome, 10 June 2021