Il Garante privacy approva l’App Immuni di contact tracing dell’emergenza da Covid-19 alla luce delle precauzioni adottate.
Il 29 aprile 2020 il Garante per la protezione dei dati personali ha emesso il proprio “Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19”, che fa seguito alla richiesta formulata dalla Presidenza del Consiglio dei Ministri di valutazione delle disposizioni volte a disciplinare il trattamento dei dati personali per finalità di tracciamento dei contatti nel contesto dell’emergenza sanitaria determinata dalla diffusione transfrontaliera del COVID-19.
In particolare, è ormai confermato che, nell’ambito delle strategie di contenimento della pandemia COVID-19, verrà implementata un’applicazione ad hoc (con software con licenza open source) in grado di rilevare eventuali contatti con utenti che – all’esito di test o diagnosi medica – risultino contagiati, in modo da consentire di adottare le necessarie misure di informazione e prevenzione sanitaria e, pertanto, arginare il perimetro del contagio.
L’app di contact tracing verrà installata su base volontaria dagli utenti e potranno essere registrati soltanto i contatti tra soggetti che abbiano parimenti scaricato l’applicazione; in ogni caso, il mancato utilizzo dell’applicazione non comporterà alcuna conseguenza pregiudizievole. Proprio alla luce delle specifiche finalità perseguite, il Garante rinviene “nell’esigenza di svolgimento di un compito di interesse pubblico, in particolare per esigenze di sanità pubblica” il presupposto del trattamento, effettuato nel caso in esame in base a norma di rango primario, senz’altro rientrante tra le “prevision[i] normativ[e] o disposizion[i] legislativ[e]” idonee a soddisfare i requisiti di cui all’articolo 9, par. 2, lett. i) del GDPR.
Titolare del trattamento sarà il Ministero della salute e le attività di trattamento effettuate mediante l’app includeranno soltanto i dati necessari ad avvisare gli utenti di rientrare tra i contatti stretti di altri utenti accertati positivi al Covid-19, in un contesto di reciproco anonimato. Le attività di tracciamento saranno basate sul trattamento di dati di prossimità dei dispositivi, resi anonimi o pseudonimizzati, con esclusione di ogni forma di geolocalizzazione dei singoli utenti; tali dati di prossimità saranno poi conservati soltanto per il periodo strettamente necessario, da valutarsi sulla base di parametri oggettivi, come il periodo di incubazione. In ogni caso, ogni trattamento di dati personali dovrà cessare al termine del periodo di emergenza, con conseguente cancellazione dei dati trattati, fatti salvi i trattamenti effettuati per finalità scientifiche o statistiche su dati in forma aggregata o anonimi.
Inoltre, il titolare si adopererà affinché, una volta installata l’applicazione, ma prima dell’attivazione della stessa, gli utenti vengano adeguatamente informati e garantirà altresì che i diritti degli interessati di cui al GDPR possano essere esercitati anche con modalità semplificate. D’altronde, con riferimento all’esigenza di tutela dei diritti e delle libertà degli interessati, verrà altresì effettuata una valutazione d’impatto – della quale si richiede il più ampio regime di conoscibilità – e il Garante verrà consultato in merito alle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi.
Alla luce di tutto quanto precede, il Garante rileva che la norma in esame tiene conto delle indicazioni dallo stesso fornite e che la disciplina appare altresì conforme ai criteri indicati dalle Linee Guida 04/2020 emesse lo scorso 21 aprile 2020 dall’European Data Protection Board (EDPB) e, pertanto, esprime parere favorevole alla proposta normativa.
Autore: DLA Piper
