Il già commentato Regolamento UE2021/953, relativo al quadro di agevolazioni uniformi per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di guarigione e di test in relazione alla COVID-19  rispetto alla libera circolazione delle persone durante la pandemia, nonché finalizzato ad agevolare la revoca graduale delle misure restrittive imposte dagli Stati Membri, a breve diverrà applicabile e lo rimarrà a tempo prestabilito, ossia sino al 30 giugno 2022.

Va subito precisato che si tratta di un Regolamento relativo alla salute umana: quindi è uno strumento normativo di coordinamento e completamento della legislazione degli Stati membri poiché, difatti, muove (ed esclusivamente può muovere) dall’ambito di operatività allo stesso concessa dall’art. 6 del TFUE (Trattato sul Funzionamento dell’Unione) che, come noto agli “addetti ai lavori”, non prevede in tale ambito la competenza normativa esclusiva (cfr. ad es. l’art. 3 TFUE in materia di concorrenza), né concorrente (si cfr. l’art. 4 TFUE ad es. per il mercato interno), bensì, appunto, solo quella di mero coordinamento e completamento.  

Sicché, sotto questo profilo, chi si attendeva una normativa derogativa rispetto a quelle nazionali, ovvero chi si è pubblicamente lamentato della scarsa “impositività” di questo Regolamento verso gli Stati membri (poiché “lasciati disgraziatamente liberi di imporre maggiori restrizioni”), ha compiuto un errore valutativo di fondo.

Gli Stati membri, invero, proprio perché la questione delle c.d. certificazioni digitali europee è riconducibile alla salute umana, mantengono “da sempre” (e da quando esiste il detto Trattato UE) ampie prerogative per mezzo delle quali, ove giustificate – in quanto necessarie e proporzionali –, gli stessi Stati possono imporre limitazioni e restrizioni ad alcuni diritti fondamentali, ivi compreso il diritto alla libera circolazione delle persone (se dai governi ritenute utili a contenere la pandemia); e ciò proprio perché non esiste una competenza esclusiva o concorrente della UE che li possa ab initio condizionare, così come accade invece per altre materie.

Ciò non significa affatto che il Regolamento 953/2021, seppur in tale ambito di coordinamento, non disponga prescrizioni cogenti per gli Stati membri. Ad esempio ed infatti esso, expressis verbis (cfr. art. 1, capoverso II del medesimo Reg.) costituisce la base giuridica (ossia il fondamento legittimante) che consente, alla condizioni dallo stesso indicate, il lecito trattamento dei dati personali necessari per rilasciare i certificati e per il trattamento delle informazioni indispensabili per verificare e comprovare l’autenticità e la validità degli stessi nel rispetto del Regolamento Generale UE 2016/679 (che, come risaputo, si occupa della sempre più importante materia attinente al trattamento e alla circolazione dei dati personali delle persone fisiche ed è conosciuto con l’acronimo di GDPR).

E avuto quindi riguardo a tale ultimo angolo visuale, l’art. 10 del nuovo Regolamento in commento (n. 953/2021), difatti, è interamente dedicato alla regolamentazione del trattamento dei dati personali, o meglio, alla loro protezione che, ovviamente, coincide con la protezione delle persone fisiche alle quali i dati trattati si riferiscono.

La norma è molto interessante ed esordisce ponendo (e imponendo) agli Stati il rispetto del Reg. UE 679/2016, ossia la piena osservanza della citata normativa generale che disciplina la materia del trattamento dei dati personali con riferimento all’applicazione del nuovo Reg. 953/2021.

Tale disciplina chiede di rispettare non pochi princìpi e una serie di procedure che, di fatto, collegano tra loro i vari protagonisti di ogni trattamento al fine di stabilire un prevedibile e riconoscibile quadro d’insieme che permetta di comprendere chi fa cosa e come rispetto ai dati personali e, soprattutto, chi dovrà farsi carico delle relative responsabilità ultime per il caso in cui il trattamento sia posto in essere in modo scorretto, ovvero divenga dannoso per le persone fisiche. Si immagini un qualsiasi “incidente” di generazione, rilascio, comunicazione e/o falsificazione, dispersione o cancellazione delle informazioni contenute nei detti certificati e che potrebbe comportare serie compressioni dei diritti della persona, ad es. l’impossibilità (o dei ritardi) rispetto alla circolazione desiderata; l’alterazione delle informazioni di carattere sanitario; l’attribuzione di somministrazioni non avvenute o di test non effettuati e così via.  

Al proposito e in primo luogo l’art. 10 del Reg. 953/2021 stabilisce che i dati personali figuranti nei certificati siano trattati unicamente al fine di accedere alle informazioni incluse nel certificato e di verificarle per agevolare la libera circolazione e che dopo la fine del periodo di applicazione del Regolamento non si possa più procede ad alcun ulteriore trattamento (quindi non oltre il 30-06-2022). In secondo luogo che i dati personali inclusi nei certificati e trattati dalle autorità competenti degli Stati membri, o dagli operatori di servizi di trasporto passeggeri transfrontalieri (in base alle norme nazionali autorizzative) siano consultabili esclusivamente per verificare la certificazione (che può dipendere da una vaccinazione, da un test o dalla guarigione) e solo per il tempo strettamente necessario ma, soprattutto, senza alcuna conservazione.

Quindi le autorità competenti e gli operatori autorizzati dei trasporti incontrano tre (cautelanti) limiti inderogabili nel verificare le dette certificazioni e, di correlata conseguenza, nel trattare i dati personali che le stesse contengono:

  1. la finalità unica di trattamento;
  2. il tempo di trattamento ridotto al minimo necessario;
  3. l’impossibilità di conservazione dei dati.

E fin qui, pertanto, non sorgono particolari perplessità o preoccupazioni (almeno teoriche) in ordine ai nostri diritti fondamentali di protezione dei dati che ci potrebbero riguardare.

Alcune perplessità, invece, sorgono rispetto ai soggetti che vengono indicati dal Regolamento 953/2021 (in primis) quali Titolari del trattamento, ossia come coloro che, ai sensi dell’art. 4.7 del GDPR (il cit. Reg. UE 679/2016), determinano le finalità e i mezzi del trattamento, ovvero sono già indicati quali Titolari dal diritto nazionale o, come in questo caso, dal diritto dell’Unione.    

Tali soggetti (divenuti) Titolari, ai sensi della norma in commento, sarebbero da ricondurre all’art.3.2 del medesimo Regolamento 953/2021 il quale, difatti, si riferisce agli Stati membri o agli organismi designati che “agiscono per conto” degli Stati quali (ex art. 10.4) unici soggetti che possono conservare i dati personali generati dalle certificazioni ma nonpiù a lungo del tempo strettamente necessario rispetto al loro scopo e, come accennato, in nessun caso oltre il periodo durante il quale i certificati possono essere utilizzati per esercitare il diritto di libera circolazione.

Ed è qui che, invece, sorgono alcuni problemi, sia di natura interpretativa che di applicazione degli obblighi e, soprattutto, delle qualificazioni di ruolo per come indicati o previsti dalla normativa.

Invero non è ben chiaro chi, effettivamente, possa essere considerato Titolare del Trattamento (figura cardine di ogni corretto e responsabile trattamento) oltre a ogni singolo Stato membro che rilascia i certificati e che, difatti, la normativa individua piuttosto chiaramente come Titolare.

Al di fuori di tale individuazione, al fine di qualificare i vari possibili titolari del trattamento, si dovrà pertanto ricorrere, quale ipotesi più probabile, alla nomina disposta dalla normativa nazionale (se ed in quanto sussistente), ovvero, quale seconda ipotesi più complessa, ad una valutazione fattuale per valutare chi, in concreto, decide le finalità ed i mezzi del trattamento ed è quindi da ritenersi Titolare del trattamento.

Oltretutto la medesima norma diviene ancora meno chiara quando la stessa si riferisce alle “autorità competenti o altri organismi designati per il rilascio dei certificati di cui all’articolo 3, paragrafo 1, [che] sono considerati titolari del trattamento quali definiti all’articolo 4, punto 7, del regolamento (UE) 2016/679”). Ma l’art. 3.2 del Regolamento 953/2021 fa riferimento agli “Stati membri o gli organismi designati che agiscono per conto degli Stati membri” senza altre specificazioni o indicazioni e, in tal modo, lasciando l’interprete in difficoltà.

E peraltro nel leggere la suddetta locuzione, ossia “gli organismi designati per conto degli Stati”, verrebbe subito da pensare al differente concetto (e diverso ruolo) di Responsabile del Trattamento quale soggetto che, difatti, ex art. 28 del GDPR, tratta i dati solo per conto e su designazione del Titolare del Trattamento ed in base alle prescrizioni dallo stesso ricevute. Qui precisando di nuovo che il Titolare ed il responsabile del trattamento sono figure diverse e che svolgono ruoli ben differenti  assumendo delle responsabilità che il GDPR disciplina in maniera differenziata.  

Vieppiù, il paragrafo 7 del citato art. 10  prevede in assonanza con tale concetto di Responsabile del trattamento che

“La persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organismo che ha somministrato un vaccino anti COVID-19 o ha effettuato il test per il quale deve essere rilasciato un certificato trasmette alle autorità o altri organismi designati responsabili del rilascio dei certificati i dati personali necessari per completare i campi di dati di cui all’allegato”.

Tanto viene previsto lasciando quindi il lettore (o l’interprete non a torto libero di) pensare che, in tale descritto rapporto di ruoli, vi siano i seguenti soggetti quali attori del trattamento: lo Stato, o altri organismi competenti preposti titolati al rilascio del certificato da una parte e, dall’altra, tutta una serie di possibili ulteriori soggetti designati responsabili del trattamento (da parte degli anzidetti Titolari) che somministrano i vaccini o effettuano i test.

E che la nomina a responsabile del trattamento vi sia è naturalmente un dato assodato nelle necessità di erogazione dei servizi di vaccinazione e di test (notoriamente effettuati su larga scala da tutta una serie di soggetti), nonché ulteriormente confermato dal paragrafo 8 dell’art. 10 in parola, il quale dispone che

“quando un titolare del trattamento di cui al paragrafo 6 ricorre a un responsabile del trattamento, in applicazione dell’articolo 28, paragrafo 3, del regolamento (UE) 2016/679, non vi è trasferimento di dati dal responsabile del trattamento a un paese terzo”.

Tale generale descrizione prescrittiva, tutt’altro che limpida nella pre-individuazione ed indicazione dei ruoli, ove calata in una qualsiasi realtà nazionale – che tutti noi osserviamo da mesi – caratterizzata dall’intricata organizzazione in cui le vaccinazioni ed i test sono ogni giorno dispensati con disinvoltura, non gioca affatto a favore della chiarezza dei ruoli quali presupposti chiave e, soprattutto, responsabilizzanti gli attori che dovrebbero assicurare il corretto e protettivo trattamento dei dati personali di ogni individuo.

Necessaria definizione di ruoli che, essendo collegata all’assunzione di precise responsabilità di cui ad un diritto fondamentale della persona umana, non può essere affatto considerata secondaria: non in sé e non relativamente agli incombenti che il GDPR impone ad ogni Titolare e Responsabile del Trattamento ma pur sempre previa loro indispensabile individuazione.

Avv. LORENZO TAMOS

  • 2629 Sostenitori attivi
    di 10000
  • 2627 Sostenitori