Andmekaitse järelevalveasutus asus seisukohale, et valitsus ei võtnud selle otsuse tegemisel arvesse andmesubjektide õiguste ja vabaduste riivet, mis ülaltooduga kaasnevad, ning jättis tarvitusele võtmata ka isikuandmete kaitseks vajalikud tehnilised ja korralduslikud meetmed.

Järelevalveasutuse seisukohad on kokkuvõtlikult järgmised:

1. Valitsus oleks isikuandmete töötlemistoimingute iseloomu arvestades pidanud enne õigusakti andmist tegema andmekaitsealase mõjuhinnangu. Seda aga miskipärast ei tehtud.
2. Valitsuse õigusakt ei sisalda GDPR artiklites 6(2) ja 9 ega ka Itaalia siseriiklikus isikuandmete kaitse seaduses sätestatud kohustuslikke elemente – puudub selgesõnaline ja ammendav selgitus “rohelise tõendi” kasutuselevõtu eesmärgi kohta, mis omakorda ei võimalda hinnata vastavate sätete proportsionaalsust.
3. Rikutud on võimalikult väheste andmete kogumise põhimõtet (minimaalsuse põhimõtet). Järelevalveasutuse hinnangul piisab tõendi kehtivuse kontrollimiseks isiku identifikaatorist, tõendi identifikaatorist ja kehtivusajast. Puudub tegelik vajadus kajastada tõendil andmesubjekti terviseandmeid (vaktsineeritus, läbipõdemine, negatiivne test).
4. Andmete õigsus on oluline piirangute proportsionaalsuse ja epidemioloogilise hädaolukorra kontrolli alla saamise aspektist – tõend aga ei võta arvesse isikute terviseseisundi võimalikke muutusi (nt negatiivsele testile järgneb uus positiivne test). See on vastuolus GDPR-s sätestatud andmete õiguse põhimõttega ning õõnestab kogu kõnealuse süsteemi tõhusust.
5. Valitsus on rikkunud läbipaistvuse põhimõtet ega ole kirjeldanud andmetöötluse eesmärke, töötlemistoiminguid ega nendes osalejaid. Valitsuse õigusakt ei maini, kes on terviseandmete vastutav töötleja ega ka seda, kes ja millal tohivad tõendi õigsust kontrollida. Samuti ei selgu roheliste tõendite platvormi majutusteenuse pakkuja. Taoline olukord mitte ainult ei ole vastuolus läbipaistvuse põhimõttega, vaid piirab ka andmesubjektide võimalusi oma õigusi tegelikult teostada.
6. Valitsuse õigusakt rikub andmete säilitamise piirangu põhimõtet, kuna ei maini isikuandmete säilitustähtaegu ega ka meetmeid, mida kavatsetakse isikuandmete tervikluse ja konfidentsiaalsuse tagamiseks rakendada.

Ülaltoodu alusel leidis Itaalia järelevalveasutus, et meetmed ei ole proportsionaalsed avaliku huvi suhtes, sest valitsuse otsus ei selgita “vaktsineerimispassi” eesmärke ega sätesta vaikimisi ja lõimitud andmekaitse meetmeid selleks, et tagada eriliigiliste isikuandmete kaitstus ning andmesubjektide õiglane ja läbipaistev kohtlemine.