L’8 aprile 2021, il governo della Repubblica di Croazia ha istituito un gruppo di lavoro per lo sviluppo di una soluzione tecnica per i certificati verdi digitali interoperabili transfrontalieri, i cosiddetti “Passaporti covid”, che dovrebbero facilitare la circolazione delle persone verso l’UE durante la pandemia Covid-19. I membri del gruppo di lavoro sono anche rappresentanti dell’Agenzia per la protezione dei dati personali, che parteciperanno attivamente alla parte relativa al campo della protezione dei dati personali.
Nel suo lavoro, l’Agenzia per la protezione dei dati personali sarà guidata dal parere congiunto dell’EDPB e del GEPD 04/2021 sulla proposta di regolamento del Parlamento europeo e del Consiglio su un quadro per l’emissione, la verifica e l’accettazione di vaccinazioni e test interoperabili e certificati di recupero movimenti durante la pandemia COVID-19 ( certificato verde digitale ) alla cui promulgazione ha anche partecipato.
Il parere del Comitato europeo per la protezione dei dati (EDPB) e del Garante europeo della protezione dei dati (GEPD) ha affermato che la proposta mira a facilitare l’esercizio del diritto alla libera circolazione all’interno dell’UE durante la pandemia COVID-19 stabilendo un quadro comune per rilascio, verifica e accettazione di certificati interoperabili su vaccinazione, test e recupero contro la malattia COVID-19 denominato “certificato verde digitale”.
L’introduzione del certificato verde digitale faciliterebbe la libera circolazione sicura delle persone all’interno dell’UE durante la pandemia Covid-19 e il cosiddetto passaporto covid sarebbe la prova che una persona è stata vaccinata contro il Covid-19, e che ha ricevuto quindi un risultato negativo del test o che ha superato la malattia. Il certificato conterrebbe un codice QR contenente le informazioni di base necessarie e una firma digitale per garantirne la sicurezza e l’autenticità e sarebbe disponibile gratuitamente, in formato digitale o cartaceo.
L’EDPB e il GEPD riconoscono che l’attuale emergenza causata dalla pandemia COVID-19 ha portato a rischi reali e importanti, sia per l’esercizio del diritto alla libera circolazione all’interno degli Stati membri che per la salute pubblica a causa della mancanza di accesso comune a certificati. Inoltre, come affermato da Europol, vi è un alto rischio associato alla contraffazione e alla vendita illegale di falsi certificati di prova COVID-19. Secondo la Proposta, il certificato verde digitale riduce questi rischi armonizzando la documentazione e adottando una serie di misure di sicurezza ad essa correlate.
Allo stesso tempo, va tenuto presente che l’introduzione di un certificato verde digitale non eliminerà il rischio di ‘falsificazione’, e dovrà quindi essere accompagnata dall’adozione di misure tecniche e organizzative adeguate a tutela da manomissioni e falsificazioni di il certificato.
Inoltre, l’EDPB e il GEPD sottolineano che la proposta limita chiaramente l’ambito e l’uso del certificato verde digitale solo per facilitare l’esercizio della libertà di circolazione tra gli Stati membri dell’UE. Sottolineano inoltre che la base giuridica della presente proposta non consente e non deve portare alla creazione di una banca dati centrale sui dati personali a livello dell’UE con il pretesto di istituire un quadro per i certificati verdi digitali.
Di conseguenza, dovrebbe essere attentamente analizzato il rispetto dei principi di necessità e proporzionalità delle misure introdotte dalla Proposta, che in particolare dovrebbe trovare un giusto equilibrio tra gli obiettivi di interesse generale sostenuti dal certificato verde digitale e il rispetto dei diritti fondamentali alla privacy, ai dati protezione e non discriminazione e altre libertà fondamentali, come la libertà di circolazione e di soggiorno.
L’EDPB e il GEPD ritengono che se gli Stati membri iniziano a utilizzare il certificato verde digitale ai sensi del diritto nazionale per qualsiasi ulteriore uso diverso dallo scopo previsto di facilitare la libera circolazione all’interno degli Stati membri dell’UE, ciò potrebbe portare a conseguenze e rischi non intenzionali per i diritti fondamentali di Cittadini dell’UE. Infatti, è già stato proposto di estendere l’applicazione del certificato verde digitale ad altre situazioni al fine di alleviare le attuali restrizioni, ed è possibile utilizzarlo per altri scopi come entrare in negozi, ristoranti, locali o palestre.
Qualsiasi ulteriore utilizzo del certificato verde digitale e del relativo quadro in conformità con la base giuridica nazionale non dovrebbe portare, legalmente o di fatto, a discriminazioni sulla base della vaccinazione o del recupero dalla malattia COVID-19. Per tale motivo, deve rispettare gli articoli 7 e 8 della Carta e deve rispettare il GDPR, compreso l’articolo 6, paragrafo 4, del GDPR.
Ciò implica la necessità di una base giuridica adeguata nella legislazione degli Stati membri, che deve rispettare i principi di efficacia, necessità e proporzionalità, comprese garanzie forti e specifiche attuate dopo un’adeguata valutazione d’impatto, in particolare per evitare il rischio di discriminazione e vietare la conservazione dei dati nel contesto del processo di verifica.