• Privacy - Dati sanitari -Istruzione, sanità e servizi sociali

30 ottobre 2023

Trattamento dati personali in tema di vaccinazioni contro Covid-19

di Marta Miccichè

La Corte di Giustizia dell’UE si è pronunciata su una domanda di rinvio pregiudiziale proposta alla Corte suprema amministrativa della Repubblica ceca avente ad oggetto l’interpretazione dell’articolo 2, paragrafo 1, e dell’articolo 4, punto 2, del regolamento (UE) 2016/679 (GDPR), con riferimento alla verifica della validità dei “certificati COVID digitali dell’UE” rilasciati ai sensi del regolamento (UE) 2021/953.


La domanda di rinvio pregiudiziale è stata presentata nell’ambito di una controversia avente ad oggetto l’adozione di una misura eccezionale che ha disciplinato l’accesso delle persone a taluni luoghi ed eventi, al fine di proteggere la popolazione dalla diffusione dell’epidemia di COVID-19.

Con la sua questione il giudice del rinvio chiede, in sostanza, se la nozione di «trattamento» di dati personali, di cui all’articolo 4, punto 2, del GDPR, debba essere interpretata nel senso che essa include la verifica, mediante un’applicazione mobile nazionale, della validità di certificati COVID-19 interoperabili di vaccinazione, di test e di guarigione, rilasciati ai sensi del regolamento 2021/953 e utilizzati da uno Stato membro a fini nazionali.

La Corte di Giustizia, con la sentenza del 5 ottobre 2023 (causa C‑659/22), ritiene pacifico che molte delle informazioni alle quali la persona incaricata di effettuare il controllo accede al momento della verifica della validità di un certificato COVID digitale dell’UE, come illustrate al punto 15 della sentenza, costituiscono «dat[i] personal[i]», ai sensi dell’articolo 4, punto 1, del GDPR. Da tale disposizione risulta, infatti, che la nozione di «dat[i] personal[i]» designa «qualsiasi informazione riguardante una persona fisica identificata o identificabile» e che tale identificazione può risultare, in particolare, dall’uso del nome dell’interessato.

A quest’ultimo riguardo, è sufficiente constatare che l’articolo 5, paragrafo 2, lettera a), l’articolo 6, paragrafo 2, lettera a), e l’articolo 7, paragrafo 2, lettera a), del regolamento 2021/953 dispongono, rispettivamente, che il certificato di vaccinazione, il certificato di test ed il certificato di guarigione contengono l’identità del titolare.

Ciò precisato, la Corte ha rilevato che l’articolo 4, punto 2, del GDPR definisce la nozione di «trattamento» come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali». In un elenco non tassativo, introdotto dalla locuzione «come», tale disposizione menziona, quali esempi di trattamento, la consultazione e l’uso di dati personali. Dalla formulazione di detta disposizione, in particolare dall’espressione «qualsiasi operazione», risulta dunque che il legislatore dell’Unione ha inteso attribuire alla nozione di «trattamento» una portata ampia [v., in tal senso, sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), C‑175/20, punto 35].

Tale interpretazione ampia delle nozioni di «dati personali» e di «trattamento» è conforme all’obiettivo di garantire l’effettività del diritto fondamentale alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale, menzionato al considerando 1 del GDPR, che presiede all’applicazione di tale regolamento.

Orbene, nel caso di specie un’applicazione mobile nazionale, quale è l’applicazione «čTečka», scansiona il codice QR che compare sul certificato COVID digitale dell’UE, al fine di convertire i dati personali contenuti in tale codice in un formato leggibile dalla persona incaricata di verificare la validità di detto certificato. Così facendo, una tale applicazione consente alla persona incaricata di effettuare il controllo, di consultare, al termine di un processo automatizzato, vale a dire la scansione, taluni dati personali e di utilizzarli al fine di accertare se la situazione dell’interessato sia conforme alle regole di validazione, ossia ai requisiti sanitari applicabili. Anche il risultato di tale valutazione è automatizzato, poiché sul telefono cellulare del verificatore appare una spunta verde quando sono soddisfatti i requisiti sanitari, mentre in caso contrario compare una croce rossa.

Si deve quindi ritenere che la verifica, mediante l’applicazione «čTečka», della validità di certificati COVID-19 interoperabili di vaccinazione, di test e di guarigione, rilasciati ai sensi del regolamento 2021/953, costituisca un «trattamento», ai sensi dell’articolo 4, punto 2, del GDPR e rientri, conformemente all’articolo 2, paragrafo 1, di tale regolamento, nell’ambito di applicazione materiale di quest’ultimo.

L’interpretazione di cui al punto 29 della sentenza è corroborata dal regolamento (UE) 2021/953, il quale prevede che l’attuazione del certificato COVID digitale dell’UE costituisca un trattamento ai sensi dell’articolo 4, punto 2, del GDPR. L’articolo 1, paragrafo 2, del regolamento 2021/953 enuncia, infatti, che tale regolamento «fornisce la base giuridica per il trattamento dei dati personali necessari per rilasciare tali certificati e per il trattamento delle informazioni necessarie per verificare e comprovare l’autenticità e la validità di tali certificati nel pieno rispetto del [GDPR]». Inoltre, dal considerando 48 del regolamento 2021/953 risulta, da un lato, che il GDPR si applica al trattamento dei dati personali effettuato nel quadro del regolamento 2021/953 e, dall’altro, che quest’ultimo stabilisce la base giuridica per il trattamento dei dati personali, ai sensi dell’articolo 6, paragrafo 1, lettera c), e dell’articolo 9, paragrafo 2, lettera g), del GDPR, necessario per il rilascio e la verifica dei certificati interoperabili previsti dal regolamento 2021/953. L’articolo 10, paragrafo 1, di tale regolamento conferma parimenti che al trattamento dei dati personali effettuato in sede di attuazione del regolamento 2021/953 si applica il GDPR.

Spetterà, di conseguenza, al giudice del rinvio verificare se il trattamento introdotto dalla misura eccezionale, da un lato, sia conforme ai principi relativi al trattamento dei dati elencati all’articolo 5 del GDPR e, dall’altro, risponda a uno dei principi relativi alla liceità del trattamento elencati all’articolo 6 di tale regolamento [v., in particolare, sentenze del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, punto 96, e del 4 maggio 2023, Bundesrepublik Deutschland, C‑60/22, punto 57].

Alla luce delle considerazioni che precedono, la Corte di Giustizia ha dichiarato che la nozione di «trattamento» di dati personali, di cui all’articolo 4, punto 2, del regolamento (UE) 2016/679deve essere interpretata nel senso che:

"essa include la verifica, mediante un’applicazione mobile nazionale, della validità di certificati COVID-19 interoperabili di vaccinazione, di test e di guarigione, rilasciati ai sensi del regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021, su un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell’UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19, e utilizzati da uno Stato membro a fini nazionali".


Avv. Marta Miccichè