ALLEGATO
DL 52/2021: Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19 (C. 3045 Governo).
PARERE APPROVATO
La II Commissione (Giustizia),
esaminato per le parti di competenza il disegno di legge di conversione in legge del decreto-legge 22 aprile 2021, n. 52, recante «Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19» (Governo C. 3045);
considerato che:
il decreto-legge n. 52 del 2021 prevede in particolare – nel contesto di una situazione sanitaria in positiva evoluzione a seguito del rallentamento della curva dei contagi e dell'accelerazione della campagna vaccinale – una serie di misure dirette a disciplinare l'allentamento delle limitazioni agli spostamenti sul territorio nazionale e la progressiva riapertura delle diverse attività soggette a limitazioni od a chiusure durante il periodo di maggior diffusione dei contagi da Covid-19;
rilevato che:
l'articolo 9, insieme con il relativo allegato 1, disciplina l'istituto delle certificazioni verdi COVID-19, che è rilevante (ai sensi dei commi 1 e 3 dell'articolo 2) nell'ambito della disciplina sugli spostamenti territoriali delle persone nonché per specifiche ipotesi di spettacoli, eventi sportivi e fiere;
i citati certificati attestano in particolare la sussistenza della vaccinazione contro il COVID-19 ovvero la guarigione dalla medesima malattia ovvero l'effettuazione di un test molecolare o di un test antigenico rapido con risultato negativo;
la certificazione verde, quale misura volta a contenere e contrastare l'emergenza epidemiologica da Covid-19, determina un trattamento sistematico di dati personali, anche relativi alla salute, su larga scala, che incide sui diritti e sulle libertà degli interessati considerata la limitazione delle libertà personali;
ritenuto che:
debbano essere attentamente valutate le considerazioni espresse dal Garante per la protezione dei dati personali nel provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per COVID-19, in particolare:
l'assenza nel decreto-legge degli elementi essenziali richiesti dal Regolamento (articoli 6, paragrafo 2, e 9) e dal codice in materia di protezione dei dati personali (articoli 2-ter e 2-sexies), quali l'indicazione esplicita e tassativa delle specifiche finalità perseguite e l'individuazione puntuale delle fattispecie in cui la certificazione verde può essere utilizzata, considerato che la puntuale indicazione delle finalità della disposizione, oltre a costituire un elemento essenziale ai fini della valutazione della proporzionalità della norma richiesta dall'articolo 6 del Regolamento, consentirebbe inoltre di apprezzare il livello di compatibilità delle certificazioni introdotte con quanto previsto a livello europeo, tenuto peraltro anche conto che il loro utilizzo sembrerebbe essere temporaneo in attesa dell'adozione delle analoghe certificazioni individuate dall'Unione europea;
Pag. 60l'opportunità che le certificazioni riportino esclusivamente i dati anagrafici necessari a identificare l'interessato, l'identificativo univoco della certificazione e la data di fine validità della stessa, in base al principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (articolo 5, paragrafo 1, lettera c) del citato Regolamento);
la necessità di una norma, all'interno dell'articolo 9, tale da assicurare che i dati vengano «conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità» (articolo 5, paragrafo 1, lettera e) e 6, paragrafo 3, lettera b) del Regolamento), in conformità al principio di limitazione della conservazione dei dati dettato dal sopracitato Regolamento;
l'opportunità di indicare nel rispetto del principio di integrità e riservatezza dei dati, le misure che si intende adottare per garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (articolo 5, paragrafo 1, lettera f) e 32 del Regolamento);
il contrasto con il principio di esattezza dei dati (articolo 5, paragrafo 1, lettera d) del Regolamento) della norma transitoria di cui al comma 10 dell'articolo 9, secondo cui, nelle more dell'adozione del decreto attuativo che istituisce la piattaforma nazionale DGC (Digital Green Certificate), è consentito l'utilizzo delle certificazioni verdi rilasciate a decorrere dalla data di entrata in vigore del decreto-legge redatte sulla base dell'allegato 1 al decreto medesimi, considerato che tale sistema transitorio non consente di verificare l'attualità delle condizioni attestate nella certificazione, perché non può tener conto, in assenza della richiamata piattaforma, delle eventuali modificazioni delle condizioni relative all'interessato (sopraggiunta positività) successive al momento del rilascio della stessa, ponendo inoltre significativi rischi in ordine alla reale efficacia della misura di contenimento e alla compromissione indebita dei diritti e delle libertà fondamentali dell'interessato;
la necessità di individuare l'Ente presso il quale sarà istituita la predetta piattaforma, specificando la connessa titolarità dei trattamenti dei dati personali effettuati attraverso tale sistema informativo, al fine di consentire agli interessati di esercitare i diritti in materia di protezione dei dati personali previsti dal citato Regolamento (articolo 15 e seguenti);
osservato che:
l'articolo 13 reca la disciplina sanzionatoria delle violazioni del decreto-legge e prevede tanto sanzioni amministrative pecuniarie, per la violazione delle disposizioni sul contenimento del contagio, quanto sanzioni penali, per le falsità in atti relative alle certificazioni verdi Covid-19;
richiamando una disposizione che già da tempo trova applicazione per la violazione delle restrizioni agli spostamenti, il comma 1 dell'articolo 13 prevede che alle condotte di violazione delle misure di contenimento del contagio previste dagli articoli da 1 a 8 del decreto-legge, si applichi l'articolo 4 del decreto-legge n. 19 del 2020, confermando pertanto la natura di illecito amministrativo di tali violazioni, sanzionate con il pagamento di una somma da 400 a 1.000 euro;
il secondo periodo del comma 1 dell'articolo 13 del decreto legge, nel richiamare il rispetto dell'articolo 2, comma 2-bis, del decreto-legge n. 33 del 2020, disciplina la devoluzione dei proventi delle sanzioni amministrative pecuniarie prevedendone la devoluzione allo Stato o alle regioni, alle province e ai comuni a seconda se l'illecito sia accertato da funzionari, ufficiali ed agenti dello Stato, oppure delle regioni, delle province e dei comuni;
il comma 2 dell'articolo 13 prevede che le condotte di alterazione o falsificazione, Pag. 61 aventi ad oggetto le certificazioni verdi Covid-19, previste dall'articolo 9, comma 2, costituiscano illeciti penali, sanzionati con le pene previste dal codice penale per i delitti di falsità in atti;
esprime
PARERE FAVOREVOLE
con la seguente osservazione:
valuti la Commissione di merito l'opportunità di tenere conto dei rilievi avanzati dal Garante per la protezione dei dati personali espressi in premessa.