Kant ha scritto che “Il diritto non dovrebbe mai adeguarsi alla politica, poiché sarebbe la politica che in ogni tempo dovrebbe adeguarsi al diritto”.
Leggendo questo aforisma si potrebbe sostenere che anche lo strumento dei green pass italiani è sfuggito al principio kantiano?
Non basta rispondere di sì. Bisogna cercare di fornire qualche argomentazione.
Il compito è disgraziatamente agevole.
Lo strumento del green pass italiano, sebbene contenente dati di salute, è in primo luogo di problematica collocazione rispetto alle finalità da cui lo stesso pare muovere. Più che uno strumento di non limitazione della libertà di circolazione in ambito UE, il green pass italico è tramutato nell’unico strumento d’esercizio di molte libertà di base che spaziano dal diritto al lavoro al diritto di movimento e di frequentazione della più parte degli ambienti pubblici e privati.
Se le vaccinazioni fossero un trattamento sanitario che troverebbe “giustificazione” nell’art. 32 della Costituzione, le certificazioni verdi costituite da dati personali e, principalmente, da dati personali attinenti alla salute, non costituirebbero un trattamento sanitario. Il sistema dei green pass, dunque, troverebbe un mordente e, al contempo, un limite giuridico, nella normativa in materia di trattamento dei dati personali posto che, l’assenza di coerenza e di chiarezza da parte delle istituzioni del nostro paese non ha permesso l’attivazione delle deroghe previste dalla normativa per i casi di messa a rischio della sicurezza nazionale: sicché, oggi, sembrerebbe persino lecito dubitare che sia mai esistita una concreta messa a rischio di tale sicurezza causata dalla Sars-Cov-2.
Molte sono state le disposizioni specifiche in tema di c.d. “data protection” travolte dall’utilizzo del sistema dei green pass a partire dall’art. 5 del GDPR che, come noto, le tocca quasi tutte ivi sintetizzando i principi cardine di ogni buon trattamento per la protezione dei dati delle persone fisiche ove dallo stesso coinvolte. E molti sono stati i gravi effetti sociali, anche divisivi, che si sono fatti sentire, si sentono e, senza dubbio, avranno effetti di lungo periodo di una certa non attualmente prevedibile portata.
Già con provvedimento in data 01-03-2021, il Garante avvertiva invero che «I dati relativi allo stato vaccinale, infatti, sono dati particolarmente delicati e un loro trattamento non corretto può determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone: conseguenze che, nel caso di specie, possono tradursi in discriminazioni, violazioni e compressioni illegittime di libertà costituzionali».
Del resto, la finalità dello strumento del green pass italiano sembra aver da tempo virato verso una esclusiva funzione di persuasione a sostegno della vaccinazione di massa, in tal modo perdendo le sue caratteristiche originarie speculari a quelle del certificato interoperabile UE basato sulla trilogia di possibilità di ottenimento dello stesso, ossia: a) da tampone genico o molecolare; b) da comprovata guarigione; c) da vaccinazione. Possibilità di scelta che, tra l’altro ed appunto, evitava ogni individuazione della situazione personale sottostante alla stessa certificazione evitando di discriminare l’esercizio dei diritti personali in base al tipo di green pass ottenuto.
Anche il Garante italiano, nel provvedimento 9 giugno 2021 aveva, non a caso, evidenziato «l’opportunità che sia normativamente previsto che la presentazione della certificazione verde, come misura di sanità pubblica, non operi per quelle attività che comportano l’accesso a luoghi in cui si svolgono attività quotidiane (es. ristoranti, luoghi di lavoro, negozi, ecc.) o a quelli legati all’esercizio di diritti e libertà fondamentali (es. diritto di riunione, libertà di culto, ecc.) (sul punto cfr. anche la richiamata deliberazione della CNIL del 7 giugno 2021)», per poi la medesima autorità precisare anche, con rispetto alla conformità dell’app “VerificaC19”, che «Il soggetto deputato al controllo non viene, quindi, a conoscenza della condizione (vaccinazione, guarigione, esito negativo di un test Covid-19) alla base della quale è stata emessa la certificazione».
Eppure, ben poche sono state le considerazioni del Garante che hanno poi trovato patria nei provvedimenti normativi attinenti al green pass, anche se il percorso di tale strumento è stato pressoché costantemente accompagnato da severi moniti della medesima autorità di controllo (che, però, inspiegabilmente, ad oggi, non ha spiccato sanzioni verso l’organizzazione governativa) e da un tiepido ammonimento UE.
Garante che anche con provvedimento del 23-04-2021, a proposito del DL n. 52/2021, aveva ammonito circa il fatto che «in via preliminare, si rileva che, in violazione dell’art. 36, par. 4, del Reg., il DL del 22 aprile 2021, 52, è stato adottato senza che il Garante sia stato consultato» e che esso «non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice in materia di protezione dei dati personali (artt. 2 ter e 2 sexies)»; nonché precisato che «L’impianto normativo non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalità della norma, richiesta dall’art. 6 del Reg., anche alla luce di quanto affermato dalla Corte Costituzionale nella sentenza n. 20 del 21-02-2019, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita»; ed infine che «// il decreto legge viola il principio di trasparenza non indicando in modo chiaro le puntuali finalità perseguite» (etc.).
Il 09-06-2021, il Garante aveva altresì contestato l’«indeterminatezza delle finalità (incompatibile con il principio di cui all’art. 5.1.b. del Regolamento)”, “per le quali è richiesta all’interessato l’esibizione della certificazione verde”, l’“indeterminatezza delle finalità della disposizione relativa alla introduzione delle certificazioni verdi» chiedendo i necessari interventi correttivi, almeno in sede di conversione in legge del Decreto.
Tanto è accaduto sebbene il GDPR imponesse la consultazione preventiva del Garante in tali casi e l’art. 8.2 della carta di Nizza (CDFUE) prevedeva, ancora più a monte, che la finalità fosse sempre specifica e determinata. Infatti, in relazione alle finalità, «L’EDPB e il GEPD ritengono che una descrizione dettagliata della/delle finalità della misura prevista non solo sia un prerequisito per il criterio di proporzionalità, ma contribuisca anche a dimostrare la conformità con il primo requisito dell’articolo 52, paragrafo 1, della Carta, ossia la qualità della legge», in quanto ove manchi una precisazione delle finalità non sarebbe consentito valutare la proporzionalità e, dunque, la necessità della norma che impatta, o può riguardare, il trattamento dei dati personali e la sua compatibilità rispetto all’art. 52 della CDFUE (detta anche Carta di Nizza).
Al suddetto riguardo pare quindi d’obbligo riportare il paragrafo 1 dell’art. 52 della CDFUE: «1. Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui».
Sicché, alla luce di tale fondamentale principio, lo strumento del green pass avrebbe dovuto rispondere alle seguenti domande che muovono dall’art. 52 della CDFUE: il green pass è una misura strettamente necessaria e idonea a conseguire uno scopo preciso? Vi erano altri mezzi e misure meno invasive per perseguire lo scopo? Le libertà fondamentali ed i diritti che lo stesso strumento comprime sono state valutate e proporzionalmente sacrificate? Il contenuto almeno essenziale di detti diritti e libertà è stato rispettato?
A tutte queste domande è difficile dare una risposta affermativa e, soprattutto, è arduo ritenere che le stesse siano state mai prospettate e, perciò, realmente risposte (in modo trasparente, documentale, verificabile) da parte dei titolari del trattamento che, in disparte le criticità attinenti alla loro corretta individuazione, si deve ritenere siano, in primis, i Governi ed i Ministeri coinvolti dalla misura.
Solo mediante il D.L. n. 111 del 6-08-2021 (e con il D.L. 10-09-2021, n. 122) il Governo ha introdotto la «finalità di tutelare la salute pubblica», ovvero quella di «prevenire la diffusione dell’infezione». Finalità che, oltre a tradursi in sintetiche enunciazioni astratte e di mero stile, sono rimaste prive di ogni giustificazione e spiegazione della motivazione in base alla quale le stesse sono state introdotte e, dunque, “valutate”, dopo l’inizio del trattamento dei dati personali della popolazione italiana e senza dare evidenza alcuna delle presunte ragioni scientifico mediche poste a base delle stesse. In buona sostanza simili finalità non argomentano circa la capacità del green pass (in particolare vaccinale) di tutelare la salute pubblica. Né sono mai state offerte delle spiegazioni governative (men che meno scientificamente serie e documentate) circa una “intercorsa” comparazione tra differenti misure di protezione individuale ovvero attivazione di presidi e cure mediche alternativi alla ospedalizzazione, ovvero ancora attinenti alla rivisitazione dei protocolli per la diffusione delle cure di prossimità.
E a fronte di tali carenze, di cui alle apparse “finalità di tutela della salute”, lo strumento più idoneo a rilevare la presenza del contagio personale, sarebbe stato, appunto, un tampone genico o molecolare che, però, è stato ostacolato, seppur più affidabile rispetto all’uso del green pass che, ovviamente, non nasce quale strumento diagnostico, bensì come ritenuta (politicamente) accettabile presunzione normativa di sussistenza di una certa situazione personale che permette la circolazione. Tant’è che nessuno ha mai escluso l’effettuazione di un test da tampone anche da parte dei soggetti che avessero completato il ciclo vaccinale. Del resto, a marzo 2021, l’Istituto superiore di sanità affermava non a caso che «non è ancora noto se la vaccinazione sia efficace anche nella prevenzione dell’acquisizione dell’infezione e/o della sua trasmissione ad altre persone». E in data 31-03-2021, l’EDPB e l’EDPS, quali autorità della UE, precisavano pure che «si dovrebbe operare una distinzione chiara tra i termini certificato di vaccinazione, che indica l’attestato rilasciato a una persona che ha ricevuto un vaccino anti COVID-19, e certificato di immunità».
A tutto ciò si aggiunga infine che sino all’entrata in vigore del DPCM del 17-12-2021 molte persone certificate, ma positive, hanno potuto circolare liberamente poiché munite di green pass ancora valido e non tecnicamente revocabile e ciò, pertanto, pure con buona pace delle misure adeguate e preventive di protezione di cui, in particolare, all’art. 25 del GDPR, qui a voler mettere in disparte la non compiuta valutazione d’impatto specifica prevista dall’art. 35 dello stesso regolamento (la c.d. DPIA) ove si volesse tornare al tema del corretto trattamento dei dati personali coinvolti dal sistema delle certificazioni verdi.
Ma nonostante tutto ciò, così come accade a molti bei principi teorici contenuti nella ns Costituzione, pure avuto riguardo alla tematica domestica dei green pass, il divario tra il mondo del diritto ideale e quello del diritto reale è, e ad oggi rimane, all’evidenza incolmabile e, quel ch’è peggio, solo astrattamente tutelabile.
Avv. Lorenzo TAMOS
Avv. Lorenzo TAMOS – del Foro Milanese; patrocinatore presso le giurisdizioni nazionali superiori e internazionali; esperto nella materia del diritto delle nuove tecnologie; esperto della materia del trattamento dei dati personali (c.d. “privacy”) nonché avuto riguardo alla regolamentazione e all’uso dell’intelligenza artificiali; avvocato amministrativista e del diritto pubblico dell’economia; DPO di importanti realtà pubbliche e private sia nazionali che internazionali; Presidente di importi organismi di vigilanza ex Dlgs 231/2001 nel settore socio sanitario para pubblico; ex ufficiale della Guardia di Finanza e componente di comitati scientifici di associazioni nazionali di polizia e della sicurezza partecipata; commentatore, scrittore e saggista giuridico.
