Oggi, il Parlamento europeo vota il testo di compromesso interistituzionale sul regolamento(i) sul certificato COVID digitale dell'UE (EU DCC, noto anche come certificato verde digitale e pass verde europeo). La legislazione proposta regola il "quadro per il rilascio, la verifica e l'accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione" per agevolare la libera circolazione durante la pandemia di COVID-19.
Liberties e il suo partner epicenter.works, si aspettano l'approvazione della legislazione. Il testo di compromesso finale, in linea con la maggior parte delle nostre raccomandazioni, è una chiara vittoria per i diritti umani e i diritti digitali.
Risultati chiave
1. L’accesso ai test sarà facilitato per evitare società a due livelli
Il testo del regolamento principale (di seguito ‘il testo’) sottolinea la necessità di un accesso universale, rapido ed economico ai vaccini e ai test COVID-19. Per sostenere la capacità di test degli Stati membri, la Commissione ha mobilitato 100 milioni di euro per acquistare oltre 20 milioni di test antigenici rapidi. Altri 35 milioni di euro sono stati mobilitati attraverso un accordo con la Croce Rossa per aumentare la capacità diagnostica negli Stati membri attraverso servizi di test mobili.
Liberties ha ripetutamente espresso preoccupazione per il rischio di creare una società a due livelli in cui le persone vaccinate godono di pieni diritti, mentre coloro che non sono vaccinati affrontano ostacoli inutili per godere di diritti simili. Liberties ha raccomandato agli Stati membri di facilitare l’accesso ai test (sia geograficamente che finanziariamente) per coloro che non sono vaccinati.2. Certificati cartacei per coloro che non hanno uno smartphone
Secondo il testo, "al fine di garantire l'interoperabilità e la parità di accesso, anche per le persone vulnerabili, come le persone con disabilità, e per le persone con un accesso limitato alle tecnologie digitali, gli Stati membri dovrebbero rilasciare i certificati per il Certificato COVID digitale dell'UE in formato digitale o cartaceo, o entrambi. I futuri titolari dovrebbero avere il diritto di ricevere il certificato nel formato di loro scelta" (punto 14).
Liberties ed epicenter.works erano preoccupati che secondo le proposte della Commissione, gli Stati membri avevano la possibilità di decidere come rilasciare i certificati e non erano obbligati a farlo nel modo più accessibile per l'utente finale. Il formato digitale è destinato ad essere visualizzato e memorizzato su dispositivi mobili. Tuttavia, emettendo solo certificati digitali, gli Stati membri potrebbero esacerbare le disuguaglianze e l'esclusione sociale. Liberties ha proposto che gli Stati membri rilasciano i certificati in entrambi i formati o, se vogliono emettere il certificato solo in formato digitale, di garantire che chiunque abbia un dispositivo in grado di memorizzarlo e visualizzarlo.
3. Una fine in vista
Il testo contiene una clausola di caducità. Il regolamento si applicherà per 12 mesi dopo la sua entrata in vigore. Questo è un miglioramento importante, poiché qualsiasi restrizione dei diritti fondamentali con l'obiettivo di combattere la crisi COVID-19 non dovrebbe continuare dopo la pandemia. Seguiremo da vicino l'attuazione di questa proposta negli Stati membri e gli obblighi di rendicontazione della Commissione europea e insisteremo, una volta terminato il periodo di scadenza, che il sistema venga chiuso.
Liberties ed epicenter.works hanno insistito sulla necessità di stabilire condizioni chiare per interrompere l'uso dei certificati. L'obbligo di certificare il nostro stato di salute quando ci spostiamo in Europa non può diventare parte della vita normale.
4. Protezione delle cartelle cliniche
I certificati conterranno solo i dati personali strettamente necessari "al fine di facilitare l'esercizio del diritto alla libera circolazione nell'Unione durante la pandemia COVID-19" (punto 38). Un certificato separato sarà rilasciato per ogni vaccinazione, test o guarigione - in modo che nessuna storia medica del titolare sarà raccolta ai fini del certificato COVID digitale europeo.
Sia epicenter.works che Liberties erano preoccupati per il trattamento dei dati sanitari sensibili nell'ambito di questa proposta e per il modo in cui queste informazioni sono esposte a terzi. In particolare, i certificati di recupero potrebbero indicare uno svantaggio a lungo termine di un individuo (COVID duraturo). Poiché gli Stati membri non hanno una buona esperienza nell'essere sufficientemente attenti ai rischi dell'introduzione di nuove tecnologie per controllare i rischi che la pandemia COVID-19 può comportare, eravamo preoccupati per la mancanza di dettagli sulla protezione dei dati personali nella proposta della Commissione.
5. Prevenire la sorveglianza
Sarà garantito che "la verifica di un certificato deve avvenire offline e senza informare l'emittente o qualsiasi altra terza parte della verifica. Il quadro di fiducia deve essere basato su un'infrastruttura a chiave pubblica con una catena di fiducia dalle autorità sanitarie degli Stati membri o altre autorità di fiducia alle singole entità che rilasciano i certificati" (punto 15). Inoltre, i verificatori non potranno conservare i dati personali ottenuti dal certificato. Questo è quanto la legislazione europea potrebbe fare. Gli Stati membri che vanno oltre il regolamento, utilizzando questo sistema per controllare l'accesso a negozi e ristoranti a livello nazionale, dovranno adottare una legislazione nazionale con garanzie equivalenti.
Epicenter.works ha avvertito del pericolo di un architettura centralizzata per la verifica dei certificati. Tale verifica online crea la possibilità di sorveglianza da parte dell'autorità emittente, generando serie di dati ogni volta che un cittadino attraversa un confine. Questo problema si amplifica quando i paesi usano questo sistema anche per regolare l'accesso a spazi o servizi per persone vaccinate, testate o guarite, generando, di fatto, la possibilità di osservare la loro vita sociale. Pertanto, epicenter.works ha insistito che il regolamento deve chiarire che solo una verifica offline attraverso un'infrastruttura a chiave pubblica aderisce ai principi della privacy. Quando si verifica un certificato, l'emittente non deve essere a conoscenza del processo di verifica e delle sue circostanze.
Resta ovviamente da vedere se l'attuazione del regolamento soddisferà i più alti standard dei diritti umani. Liberties ed epicenter.works continueranno a monitorare gli sviluppi nei prossimi mesi.Ma oggi festeggiamo.
La proposta di regolamento: una breve storia
Già nel marzo 2020, gli Stati membri dell'UE hanno adottato diverse misure per limitare la diffusione del coronavirus e proteggere la salute pubblica. Alcune di queste riguardavano il diritto dei cittadini dell'UE di muoversi e risiedere liberamente nel territorio degli Stati membri. Nell'estate 2020, quando i tassi di incidenza sono diminuiti in Europa, ma i vaccini non erano nemmeno all'orizzonte, si sperava che le app interoperabili di tracciamento dei contatti potessero rilanciare i viaggi intereuropei. Questo non è successo per diverse ragioni: il portale di tracciamento dei contatti è entrato in funzione troppo tardi, e il tasso di download delle app è stato troppo basso nella maggior parte dei paesi per servire come un mezzo efficiente per combattere la pandemia.
All'inizio del 2021, poco dopo l'inizio delle campagne di vaccinazione in Europa, diversi leader europei hanno espresso la volontà di emettere certificati di vaccinazione da utilizzare sia al livello nazionale che internazionale. Nel marzo 2021, la Commissione ha annunciato il suo piano per introdurre un lasciapassare per certificare non solo lo stato di vaccinazione dei titolari, ma anche i loro recenti risultati dei test o lo stato di guarigione. In un policy brief del 12 marzo 2021, Liberties ha presentato una serie di raccomandazioni su come un tale lasciapassare dovrebbe essere sviluppato in modo che non comporti disparità di trattamento, esacerbare le disuguaglianze o violazioni della privacy.
Il 17 marzo, la Commissione europea ha presentato una proposta di regolamento sui certificati interoperabili di vaccinazione, diagnosi e recupero per i cittadini europei e i loro famigliari, e una proposta parallela che regola l'accesso a questi certificati per i cittadini di paesi terzi legalmente presenti o residenti nell'UE. Liberties ha ritenuto che, sebbene le proposte della Commissione mostrassero buone intenzioni, non garantivano che le autorità emittenti non potessero abusare del certificato ai fini di sorveglianza, e né che si prevenisse l'esclusione sociale. Liberties, quindi, in un secondo policy brief ha proposto ai legislatori una serie di emendamenti.
Il 26 aprile, Liberties, epicenter.works e altre 26 organizzazioni per i diritti umani e i diritti digitali hanno inviato una lettera aperta ai membri del Parlamento europeo, esortandoli ad affrontare le nostre preoccupazioni sopra descritte con emendamenti appropriati e garantire che entrambi i regolamenti fossero in linea con i valori dell’Unione.
Il 28 aprile, il Parlamento europeo ha adottato la sua posizione, e i negoziati interistituzionali sono passati alla cosiddetta fase di trilogo. Le versioni adottate dal Parlamento contenevano miglioramenti fondamentali rispetto alle proposte originali, specialmente nell'enfasi sulla non discriminazione dei non vaccinati e sulla privacy. Il 3, 11, 18 e 20 maggio si sono tenuti triloghi politici informali tra il Parlamento, la Commissione e il Consiglio (che ha adottato la propria versione delle proposte il 12 aprile). In un policy brief che mirava a fornire un input di queste discussioni, Liberties (ed epicenter.works) hanno analizzato i vari emendamenti proposti e spiegato quali meritano il sostegno della comunità dei diritti umani e digitali e perché.
Al quarto trilogo politico del 20 maggio, è stato raggiunto un accordo provvisorio sul testo di entrambi i regolamenti.Oggi, il Parlamento dovrebbe adottare il testo concordato nel quarto trilogo. Anche se alcune delle nostre preoccupazioni non sono pienamente soddisfatte, Liberties ed epicenter.works credono che i testi che saranno decisi oggi mostrano un grande miglioramento rispetto alla proposta originale e rappresentano una vittoria per i diritti umani e digitali che dovrebbe essere celebrata.
Thomas Lohninger è direttore esecutivo della ONG per i diritti digitali epicenter.works a Vienna, Austria. Liberties ed epicenter.works stanno lavorando insieme per assicurare che i certificati COVID-19 in Europa non siano usati per la sorveglianza e non portino alla discriminazione.