IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE,
«Regolamento generale sulla protezione dei dati» (di seguito
«Regolamento»);
Visto il Codice in materia di protezione dei dati personali,
recante disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del
27 aprile 2016, relativo alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto
legislativo n. 196 del 30 giugno 2003, di seguito «Codice»);
Visto il provvedimento del 23 aprile 2021, n. 156;
Ritenuto di intervenire, in via d'urgenza, in quanto l'ordinanza n.
17 del 6 maggio 2021 del Presidente della Regione Campania e' in fase
di imminente avvio;
Ritenuto quindi che ricorrano i presupposti per l'applicazione
dell'art. 5, comma 8, del regolamento n. 1/2000 sull'organizzazione e
il funzionamento dell'Ufficio del Garante, il quale prevede che «Nei
casi di particolare urgenza e di indifferibilita' che non permettono
la convocazione in tempo utile del Garante, il Presidente puo'
adottare i provvedimenti di competenza dell'organo, i quali cessano
di avere efficacia sin dal momento della loro adozione se non sono
ratificati dal Garante nella prima riunione utile, da convocarsi non
oltre il trentesimo giorno»;
Vista la documentazione in atti;
Premesso
Con l'ordinanza n. 17 del 6 maggio 2021 il Presidente della Regione
Campania ha introdotto sul territorio regionale «ulteriori misure per
la prevenzione e gestione dell'emergenza epidemiologica da COVID-19»,
finalizzate «alla ripresa in sicurezza delle attivita' economiche,
culturali e sociali».
Nella predetta ordinanza, il Presidente della Regione Campania
«demanda all'Unita' di crisi regionale la predisposizione, di
concerto con le associazioni di categoria rappresentative degli
operatori economici, dei protocolli attuativi/integrativi delle linee
guida approvate in data 28 aprile 2021, prevedendo regole certe di
prevenzione, proporzionate alla situazione epidemiologica e adeguate
misure per assicurare l'accoglienza sicura e la promozione della
fruizione in sicurezza dei diversi servizi - turistici, alberghieri,
di wedding, trasporti, spettacoli, etc. - anche attraverso
facilitazioni all'accesso dei servizi e/o deroghe alle misure di
sicurezza piu' restrittive, relative al contingentamento delle
presenze e al distanziamento interpersonale, per cittadini in
possesso di certificazione/smart card di completamento della
vaccinazione, fermo l'obbligo di utilizzo dei dispositivi di
protezione individuale e di osservanza delle altre misure di
prevenzione di base (frequente igienizzazione delle mani e degli
oggetti)».
Al riguardo, nella predetta ordinanza si rappresenta infatti che e'
stata ravvisata l'esigenza di dare mandato all'Unita' di crisi
regionale affinche', «analogamente a quanto attualmente previsto
dall'art. 2, commi 1 e 3 del decreto-legge n. 52/2021 in tema di
spostamenti tra regioni» «vengano (...) valutate facilitazioni
all'accesso dei servizi da parte dei cittadini che comprovino di
essere immunizzati all'esito della somministrazione delle dosi
vaccinali previste secondo le indicazioni del Ministero della salute,
nonche' deroghe alle misure di sicurezza piu' restrittive, anche
relative al contingentamento delle presenze e/o al distanziamento
interpersonale in caso di possesso di certificazione/smart card di
avvenuta vaccinazione».
La predetta ordinanza contiene anche un'indicazione di «indirizzo
ai direttori sanitari delle RSA e agli altri soggetti competenti: di
consentire l'accesso alle strutture, nel rispetto delle misure di
sicurezza fondamentali (obbligo di utilizzo dei dispositivi di
protezione individuale, frequente igienizzazione delle mani e degli
oggetti) ai visitatori che comprovino, attraverso esibizione di
certificazione/smart card, di aver completato la vaccinazione,
secondo quanto prescritto dalle indicazioni del Ministero della
salute; di adottare ogni ulteriore misura organizzativa idonea a
favorire nella massima sicurezza possibile gli accessi di familiari e
visitatori e le uscite programmate degli ospiti, tenendo conto del
possesso della certificazione vaccinale/smart card».
Con specifico riferimento alle predette smart card, l'ordinanza
precisa che «nella regione Campania e' gia' operativo un sistema di
rilascio di certificazione di avvenuta vaccinazione, in modalita'
cartacea nonche' telematica ed e' stata altresi' predisposta e
realizzata la produzione di una smart card, quale supporto durevole
rispondente ai requisiti di cui all'art. 9 del decreto-legge n.
52/2021 (...), che consente ai cittadini di comprovare lo stato di
vaccinazione nonche' di guarigione - in caso di pregressa infezione
da Covid-19 - e l'esito dei tamponi molecolari effettuati, con
relativa data di svolgimento».
Secondo quanto indicato nell'ordinanza, alla data del 6 maggio
2021, «sono state realizzate e risultano in consegna circa 250.000
smart card», e «entro dieci giorni dalla pubblicazione»
dell'ordinanza stessa le «ASL territorialmente competenti, con il
supporto - ove richiesto - della Protezione civile (...) (devono
provvedere alle) consegne delle smart card (...), nonche'
(al)l'adozione di ogni misura, di concerto con l'Unita' di crisi
regionale, finalizzata a programmare la consegna delle ulteriori
smart card direttamente al momento del completamento della
vaccinazione».
Osserva
Per i profili di competenza dell'Autorita', si rileva, in primo
luogo, che, con riferimento al sistema di rilascio delle
certificazioni verdi di cui all'art. 9 del decreto-legge n. 52/2021,
l'Autorita' ha recentemente adottato un provvedimento di avvertimento
nei confronti di tutti i soggetti coinvolti nel trattamento dei dati
connesso all'uso delle predette certificazioni verdi e, in
particolare, dei Ministeri della salute, dell'interno,
dell'innovazione tecnologica e della transizione digitale e
dell'economia e delle finanze, degli affari regionali e la Conferenza
delle regioni e delle province autonome, in merito al fatto che i
trattamenti di dati personali effettuati in attuazione di tale
decreto possono violare le disposizioni del regolamento di cui agli
articoli 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32 (provvedimento
del 23 aprile 2021, n. 156).
Si osserva inoltre che, per le ragioni di seguito riportate,
l'ordinanza del Presidente della Regione Campania del 6 maggio 2021,
n. 17 non rappresenta una valida base giuridica per prevedere
l'utilizzo, in ambito regionale, delle certificazioni verdi di cui al
decreto-legge n. 52 del 22 aprile 2021 per finalita' ulteriori
rispetto a quelle indicate nello stesso decreto-legge.
Su tale tematica, il 6 maggio 2021, il Presidente del Garante ha
effettuato un'audizione informale, presso le Commissioni riunite I,
II e XII della Camera dei Deputati, in cui ha rappresentato che il
predetto decreto legge «presenta varie carenze tra le quali rileva,
in primo luogo, l'indeterminatezza delle finalita' (incompatibile con
il principio di cui all'art. 5.1.b. del regolamento) che legittimano
la subordinazione di determinate attivita' all'ostensione del pass».
In tale occasione, e' stato ribadito come il fatto che «la norma, in
questi termini redatta, si presti a interpretazioni discrezionali e'
dimostrato anche dall'attuazione propostane a livello regionale, con
ordinanze che ne hanno esteso l'ambito applicativo e rispetto alle
quali, sinora in un caso, il Garante e' dovuto intervenire. La
riserva di legge statale sulle materie incise da queste misure
rischia cosi' di essere elusa, per effetto di norme carenti della
necessaria determinatezza».
A tal riguardo, il Presidente ha rappresentato quindi
l'opportunita' che sia introdotta «una precisazione che escluda
l'utilizzo dei pass per finalita' diverse da quelle espressamente
previste dal decreto-legge, auspicabilmente circoscrivendo
maggiormente ex-ante l'ambito rimesso alle determinazioni delle
linee-guida (sempre che non si ritenga preferibile rinviare, anziche'
ad atti di soft law, ad atti, almeno, amministrativi generali)».
A fronte di tali interventi l'Autorita' ha avviato
un'interlocuzione con il Governo e con le amministrazioni coinvolte
nella realizzazione della Piattaforma nazionale digital green
certificate, per l'emissione e validazione delle certificazioni verdi
Covid-19, al fine di superare le criticita' rilevate con il predetto
provvedimento di avvertimento del 23 aprile 2021, anche sulla base di
modifiche da apportare alle norme in sede di conversione in legge del
decreto.
Con specifico riferimento all'immediato uso delle certificazioni
verdi di cui all'art. 9 del decreto-legge n. 52/2021, si rappresenta
che, anche a seguito del predetto provvedimento di avvertimento, il
Ministro della salute ha fornito chiarimenti al Presidente della
Conferenza delle regioni e delle province autonome (nota del 6 maggio
2021, prot. n. 7754). In tale occasione e' stato specificato che le
cc.dd. certificazioni verdi sono state «concepite per favorire gli
spostamenti tra le regioni italiane in condizioni di sicurezza e nel
rispetto delle garanzie a protezione dei dati personali» e che le
stesse «sono esibite soltanto su iniziativa degli interessati che
intendano spostarsi nelle regioni "arancioni" e "rosse" per motivi
diversi da quelli di necessita', lavoro, salute». Il Ministro ha poi
rappresentato che si tratta di «un'opportunita' aggiuntiva su cui, su
base volontaria, tutti gli italiani potranno fare affidamento in
queste settimane, per il tempo strettamente necessario
all'implementazione del progetto per il rilascio, la verifica e
l'accettazione di certificazioni interoperabili a livello europeo».
Nella medesima nota il Ministro ha ulteriormente precisato che le
predette certificazioni «saranno esclusivamente esibite alle Forze di
polizia, al personale dei Corpi di polizia municipale munito della
qualifica di agente di pubblica sicurezza e al personale delle Forze
armate di cui si avvalga eventualmente il Prefetto per le verifiche
sugli spostamenti tra regioni, senza la possibilita' di raccolta,
conservazione e successivo trattamento».
Alla stregua dell'insieme delle considerazioni sopra riportate, si
ritiene pertanto che le disposizioni di cui all'ordinanza del
Presidente della Regione Campania del 6 maggio 2021, n. 17,
presentino le seguenti criticita':
1. Inidoneita' della base giuridica
In via preliminare si rappresenta che, con il predetto
provvedimento di avvertimento, il Garante ha ritenuto che il
decreto-legge n. 52/2021 non rappresenti, allo stato, una valida base
giuridica per l'introduzione e l'utilizzo dei certificati verdi a
livello nazionale in quanto risulta privo di alcuni degli elementi
essenziali richiesti dal regolamento (articoli 6, par. 2 e 9) e dal
Codice in materia di protezione dei dati personali (articoli 2-ter e
2-sexies).
Proprio la mancata specificazione, nel predetto decreto legge,
delle finalita' per le quali possono essere utilizzate le predette
certificazioni e' stata considerata dal Garante una delle principali
criticita' della norma in merito agli aspetti di protezione dei dati
personali, atteso che il principio di limitazione delle finalita',
previsto dall'art. 5, par. 1, lett. b) del regolamento, costituisce
l'elemento essenziale per valutare anche la minimizzazione e
l'esattezza dei dati, nonche' la limitazione della conservazione
degli stessi.
Tale indeterminatezza ha favorito inoltre, come e' avvenuto con
l'ordinanza in esame, un'interpretazione estensiva circa la
possibilita' di prevedere l'uso di tali certificazioni quali
condizioni per l'accesso a luoghi o a servizi o per l'instaurazione o
l'individuazione delle modalita' di svolgimento di rapporti
giuridici, allo stato non indicati nel decreto-legge.
Con la propria ordinanza del 6 maggio 2021, n. 17, il Presidente
della Regione Campania ha infatti ulteriormente esteso, in ambito
regionale, l'utilizzo delle certificazioni verdi anche oltre quanto
indicato nel decreto-legge n. 52/2021 («servizi turistici,
alberghieri, di wedding, trasporti, spettacoli, etc.»). Cio' anche
tenuto conto del contenuto del decreto legge 18 maggio 2021, n. 65
che ha introdotto ulteriori previsioni, in tema di certificazioni
verdi, con riferimento ad alcuni aspetti disciplinati anche nella
predetta ordinanza. In particolare, il decreto prevede infatti che i
partecipanti alle feste conseguenti alle cerimonie civili o religiose
siano muniti di una delle certificazioni verdi di cui all'art. 9
decreto-legge n. 52 del 2021 (art. 9), determinando anche nuovi
parametri per il rilascio e la validita' delle predette
certificazioni in relazione alla somministrazione della prima dose di
vaccino (art. 14).
La competenza in merito all'introduzione di misure di limitazione
dei diritti e delle liberta' fondamentali che implichino il
trattamento di dati personali ricade tuttavia, come evidenziato dal
Presidente del Garante nella predetta audizione informale alla Camera
del 6 maggio u.s., nelle materie assoggettate alla riserva di legge
statale (Corte cost., sent. n. 271/2005 sulla riserva di legge
statale sulla protezione dati; Corte cost., sent. n. 37/21).
A cio' si aggiunga che la Corte costituzionale ha recentemente
evidenziato che «la pandemia in corso ha richiesto e richiede
interventi rientranti nella materia della profilassi internazionale
di competenza esclusiva dello Stato ai sensi dell'art. 117, secondo
comma, lettera q), Cost.» (ordinanza n. 4/21).
Cio' appare ancor piu' evidente se si tiene conto che le
disposizioni sulla certificazione verde di cui al decreto-legge n.
52/2021 sono applicabili, in ambito nazionale, fino alla data di
entrata in vigore degli atti delegati per l'attuazione delle
disposizioni di cui al regolamento del Parlamento europeo e del
Consiglio in tema di rilascio, verifica e accettazione di
certificazioni interoperabili relativi alla vaccinazione, ai test e
alla guarigione per agevolare la libera circolazione all'interno
dell'Unione europea durante la pandemia di Covid-19 (art. 9, comma 9,
decreto-legge n. 52/2021).
Al fine di garantire un approccio ben coordinato, prevedibile e
trasparente all'adozione delle restrizioni alla liberta' di
circolazione, la Commissione europea ha infatti proposto di istituire
un quadro unitario di regole in merito all'utilizzo dei certificati
di vaccinazione all'interno dell'Unione europea, nel contesto di un
«certificato verde digitale» (cfr. Proposta di regolamento del
Parlamento europeo e del Consiglio sul certificato verde digitale
(2021/0068/COD) del 17 marzo 2021).
E' utile rilevare inoltre che, il 30 aprile 2021, anche il Comitato
nazionale per la bioetica, nel proprio documento su «Passaporto,
patentino, green pass nell'ambito della pandemia Covid-19: aspetti
bioetici», ha evidenziato che «un altro problema legato al "Pass
Covid-19" riguarda la possibilita' che le Regioni o i singoli comuni
possano richiedere certificazioni aggiuntive, non coincidenti,
aggravando il quadro discriminatorio in base alla provenienza
geografica». In questa prospettiva quindi il predetto Comitato
raccomanda che «al fine di evitare discriminazioni fra i cittadini
residenti nei diversi territori del Paese, l'adozione del "Pass
Covid-19" deve essere prevista a livello centrale e applicata in
termini omogenei su tutto il territorio nazionale».
Cio' stante, si rileva che l'individuazione della certificazione
verde quale condizione per l'accesso a «diversi servizi turistici,
alberghieri, di wedding, trasporti, spettacoli, etc.» non puo' essere
prevista in un'ordinanza regionale, ne' demandata all'Unita' di crisi
di una regione; cio' in quanto la competenza circa l'introduzione di
misure di limitazione dei diritti e delle liberta' fondamentali che
implichino il trattamento di dati personali ricade nelle materie
assoggettate alla riserva di legge statale e pertanto deve avvenire
attraverso una disposizione che abbia le caratteristiche richieste
dal regolamento (art. 6, par. 4), previa acquisizione del parere
dell'Autorita'.
2. Criticita' del sistema di rilascio delle certificazioni verdi
L'ordinanza del Presidente della Regione Campania del 6 maggio
2021, n. 17 prevede un «sistema di rilascio di certificazione di
avvenuta vaccinazione» ulteriore rispetto a quello indicato nel
predetto decreto-legge n. 52/2021, ovvero attraverso una smart card.
Al riguardo, si rileva dal predetto atto non si ricavano
indicazioni in merito alla tipologia di dati personali trattati
attraverso la predetta smart card, al rispetto del principio di
minimizzazione dei dati, al soggetto deputato al rilascio e alle
modalita' di lettura della smart card, nonche' alle modalita',
attraverso le quali, sarebbe assicurata l'interoperabilita' con la
Piattaforma nazionale digital green certificate prevista dal
decreto-legge n. 52/2021.
In merito si rappresenta inoltre che, seppur la predetta ordinanza
afferma che tali «smart card» possano essere considerate «quale
supporto durevole rispondente ai requisiti di cui all'art. 9 del
decreto-legge n. 52/2021», il suddetto decreto legge non prevede che
possano essere rilasciate certificazioni verdi con modalita' diverse
da quelle individuate nello stesso decreto.
Al contrario, invece, il predetto decreto legge prevede che le
caratteristiche delle predette certificazioni siano individuate con
decreto del Presidente del Consiglio dei ministri da adottare sentito
il Garante per la protezione dei dati personali. In tale decreto,
infatti, dovranno essere indicati, tra l'altro, i dati che possono
essere riportati nelle certificazioni verdi, le modalita' di
aggiornamento delle stesse, la struttura dell'identificativo univoco
e del codice a barre interoperabile che consentira' di verificarne
l'autenticita', la validita' e l'integrita', i tempi di conservazione
dei dati raccolti ai fini dell'emissione delle certificazioni e le
misure per assicurare la protezione dei dati personali contenuti
nelle stesse (art. 9, comma 10, decreto-legge n. 52/2021).
Al riguardo, si rileva inoltre che un sistema non coordinato a
livello nazionale per il rilascio e la verifica delle certificazioni
verdi rischierebbe di compromettere l'efficienza dell'intera misura
non potendo assicurare l'esattezza e l'aggiornamento dei dati (art.
5, par. 1, lett. d) del regolamento), nonche' la possibilita' per
l'interessato di utilizzare la predetta certificazione su tutto il
territorio nazionale.
Come gia' evidenziato dal Garante nel citato provvedimento di
avvertimento il requisito di esattezza dei dati si pone come
essenziale nella valutazione della proporzionalita' della limitazione
e della idoneita' della misura di contenimento e contrasto
dell'emergenza epidemiologica da Covid-19.
Alla luce di tali considerazioni e di quanto indicato dal Ministro
della salute nella predetta nota del 6 maggio 2021, si evidenzia che
le suddette smart card non appaiono essere conformi a quanto
richiesto a livello nazionale, anche in una prima fase di attuazione,
con riferimento al sistema di rilascio e di verifica delle
certificazioni verdi.
Nel progettare l'introduzione della certificazione verde, mediante
l'utilizzo di una smart card, quale misura volta a contenere e
contrastare l'emergenza epidemiologica da Covid-19, si ritiene che
non si sia, quindi, tenuto adeguatamente conto dei rischi che
l'implementazione della misura determina per i diritti e le liberta'
degli interessati, e, quindi, non siano state adottate le misure
tecniche e organizzative adeguate per attuare in modo efficace i
principi di protezione dei dati, integrando nel trattamento degli
stessi le garanzie necessarie a soddisfare i requisiti previsti dal
regolamento e a tutelare i diritti degli interessati (art. 25, par.
1, del regolamento).
3. Principio di trasparenza
In via preliminare, si rappresenta che l'Autorita' ha ritenuto che
il decreto-legge n. 52/2021 contrasti con il principio di trasparenza
in quanto non indica, in modo chiaro, le puntuali finalita'
perseguite, le caratteristiche del trattamento e i soggetti che
possono trattare i dati raccolti in relazione all'emissione e al
controllo delle certificazioni verdi (articoli 5, par. 1, lett. e) e
6, par. 3, lett. b) del regolamento).
Analogamente si rileva che la predetta ordinanza del Presidente
della Regione Campania non individua in modo puntuale i soggetti che
trattano le predette informazioni e che possono accedervi, nonche'
quelli deputati a controllare la validita' e l'autenticita' delle
certificazioni verdi, disponendo un sistema di rilascio e di
verifica, difforme da quello individuato a livello nazionale e su cui
sono stati forniti dei primi chiarimenti da parte del Ministero della
salute con la richiamata nota del 6 maggio 2021.
La predetta ordinanza risulta inoltre priva dell'indicazione della
titolarita' dei trattamenti effettuati ai fini dell'emissione e del
controllo delle predette certificazioni verdi e in particolare di
quelle emesse attraverso la smart card.
In considerazione del fatto che, alla luce di quanto indicato nella
predetta ordinanza, alla data del 6 maggio 2021 «sono state
realizzate e risultano in consegna circa 250.000 smart card»,
l'assenza di tali indicazioni, e in particolare della titolarita' del
trattamento, non consente - allo stato - agli interessati di
esercitare i diritti in materia di protezione dei dati personali
previsti dal regolamento (articoli 15 e ss. del regolamento).
4. Principi di limitazione della conservazione e di integrita' e
riservatezza
Analogamente a quanto rappresentato dal Garante con riferimento al
decreto-legge n. 52/2021, le disposizioni della predetta ordinanza
violano anche il principio di limitazione della conservazione,
secondo cui i dati devono essere conservati in una forma che consenta
l'identificazione degli interessati per un arco di tempo non
superiore al conseguimento delle finalita' per le quali sono trattati
(articoli 5, par. 1, lett. e) e 6, par. 3, lett. b) del regolamento).
Si rileva inoltre che, al pari di quanto gia' rappresentato nel
provvedimento di avvertimento, le disposizioni dell'ordinanza non
forniscono adeguata garanzia anche in merito al rispetto del
principio di integrita' e riservatezza, atteso che - anche con
specifico riferimento all'utilizzo delle predette smart card - non
sono indicate le misure che si intende adottare per garantire
un'adeguata sicurezza dei dati personali, compresa la protezione,
mediante misure tecniche e organizzative adeguate, da trattamenti non
autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno
accidentali (articoli 5, par. 1, lett. f) e 32 del regolamento).
5. Valutazione di impatto sulla protezione dei dati
Si segnala infine che l'introduzione delle certificazioni verdi nel
territorio campano con le modalita' indicate nella predetta ordinanza
determina un trattamento sistematico di dati personali, anche
relativi alla salute, su larga scala, che presenta un rischio elevato
per i diritti e le liberta' degli interessati in relazione alle
conseguenze che possono derivare alle persone con riferimento alla
limitazione delle liberta' personali. Tali condizioni rendono, in
ogni caso, necessario che sia effettuata una preventiva valutazione
di impatto ai sensi dell'art. 35, par. 10 del regolamento.
Ritenuto
Alla luce delle rilevanti criticita' sopra illustrate, che quanto
previsto in ordine all'utilizzo delle certificazioni verdi
nell'ordinanza del Presidente della Regione Campania del 6 maggio
2021, n. 17 non risulta conforme al regolamento in quanto:
fondato su una disposizione di legge rispetto alla quale
l'Autorita' ha adottato un provvedimento di avvertimento il 23 aprile
2021, evidenziando la possibile violazione degli articoli 5, 6, par.
3, lett. b), 9, 13, 14, 25 e 32 del regolamento;
individua misure per la prevenzione e gestione dell'emergenza
epidemiologica da Covid-19 che prevedono il trattamento di
informazioni, relative alla salute degli interessati, e incidono sui
diritti e liberta' degli stessi, che possono essere introdotte solo
da una norma del diritto dell'Unione o nazionale di rango primario
che abbia le caratteristiche richieste dal regolamento, previa
acquisizione del parere dell'Autorita';
introduce l'utilizzo di smart card come «sistema di rilascio di
certificazione di avvenuta vaccinazione» in violazione dei principi
di liceita' e correttezza e trasparenza, di privacy by design e by
default e senza prevedere misure adeguate a garantire la protezione
dei dati, anche appartenenti a categorie particolari, in ogni fase
del trattamento (articoli 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32
del regolamento).
Considerato che il regolamento attribuisce al Garante, tra gli
altri, il potere di rivolgere avvertimenti al titolare o al
responsabile del trattamento sul fatto che i trattamenti previsti
possono verosimilmente violare le disposizioni del regolamento (art.
58, par. 2, lett. a)) e che ricorre l'esigenza di intervenire, in via
d'urgenza, in quanto l'utilizzo della certificazione verde, con le
modalita' indicate nella predetta ordinanza, e' in fase di imminente
avvio, al fine di tutelare i diritti e le liberta' degli interessati
prima che le richiamate violazioni producano effetti.
Considerato quindi che risulta necessario avvertire la regione
Campania e tutti gli altri soggetti istituzionali coinvolti del fatto
che i trattamenti di dati personali effettuati nell'ambito
dell'utilizzo delle certificazioni verdi di cui all'ordinanza n. 17
del 6 maggio 2021 del Presidente della Regione Campania, in assenza
di interventi correttivi, possono violare le disposizioni del
regolamento di cui agli articoli 5, 6, par. 3, lett. b), 9, 13, 14,
25 e 32.
Ritenuto inoltre di comunicare il presente provvedimento al
Presidente del Consiglio dei ministri e alla Conferenza delle Regioni
e delle Province autonome, per le valutazioni di competenza anche al
fine di segnalare alle regioni e alle Province autonome il necessario
rispetto delle disposizioni in materia di protezioni dei dati
personali nell'ambito dei trattamenti effettuati attraverso il
sistema delle certificazioni verdi di cui al decreto-legge n.
52/2021.
Tutto cio' premesso, il Garante:
a) ai sensi dell'art. 58, par. 2, lett. a), del regolamento
avverte la regione Campania e tutti i soggetti coinvolti che i
trattamenti di dati personali effettuati in attuazione dell'ordinanza
n. 17 del 6 maggio 2021 del Presidente della Regione Campania, sulla
base delle motivazioni espresse in premessa, possono violare le
disposizioni del regolamento di cui agli articoli 5, 6, par. 3, lett.
b), 9, 13, 14, 25 e 32;
b) trasmette copia del presente provvedimento al Presidente del
Consiglio dei ministri e alla Conferenza delle Regioni e delle
Province autonome per le valutazioni di competenza;
c) ai sensi dell'art. 154-bis, comma 3, del Codice, dispone la
pubblicazione del presente provvedimento nella Gazzetta Ufficiale
della Repubblica italiana.
Roma, 25 maggio 2021
Il presidente: Stanzione