Il 1° maggio 2020 è entrato in vigore il decreto-legge 30 aprile 2020, n. 281, il cui Art. 6, recante misure urgenti per l’introduzione del sistema di Allerta Covid-19, mira a fornire un dettagliato quadro normativo sul trattamento di dati personali di coloro che abbiano scaricato la c.d. App Immuni, ossia l’applicazione per il contact tracing dei soggetti risultati positivi al Covid-19.
La disciplina delineata dal decreto – sul cui schema aveva espresso parere positivo anche il Garante della privacy con provvedimento del 29 aprile2 – prevede la creazione di una “Piattaforma unica nazionale” volta a gestire il sistema di allerta dei soggetti che hanno volontariamente scaricato questa applicazione, al solo fine di “allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute” (Art. 6, co. 1 d.l. 28/2020).
Il download dell’App avverrà su base volontaria e, a tale proposito, proprio per attribuire in capo ai cittadini un reale potere di scelta, l’Art. 6, co. 4 stabilisce che “il mancato utilizzo dell'applicazione di cui al comma 1 non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento”: in altri termini, nessuna conseguenza negativa potrà ricadere in capo a colui che decida di non scaricare l’App Immuni.
La liceità di tale trattamento si fonda pertanto sul consenso dell’utente, in conformità con l’Art. 6, par. 1, lett. a) Gdpr il quale annovera, tra le molteplici cause di liceità, il consenso dell’interessato al trattamento dei propri dati per una o più finalità specifiche, e dell’Art. 9, par. 2, lett. a), il quale, in deroga al par. 1, consente il trattamento di dati sanitari solo se l’interessato abbia prestato il proprio consenso esplicito al trattamento di tali dati per una o più finalità specifiche. Il decreto-legge esclude, peraltro, il trattamento secondario dei dati così raccolti per fini diversi, salva la possibilità, ai sensi dell’Art. 6, co. 3, di utilizzo di tali dati, in forma anonima o aggregata, a fini statistici o di ricerca scientifica, in conformità con l’Art. 9, co. 2, lett. i) e j) Gdpr.
Sia la Piattaforma unica nazionale, sia l’App Immuni, inoltre, hanno carattere temporaneo: ai sensi dell’Art. 6, co. 5, infatti, il loro utilizzo e il trattamento dei dati raccolti si interromperanno al cessare dello stato di emergenza e, comunque, non oltre il 31.12.2020.
Il decreto individua nel Ministero della Salute il titolare del trattamento e prevede che lo stesso proceda ad una preliminare valutazione dell’impatto dei trattamenti sulla protezione dei dati personali; tale valutazione è invero imposta dall’Art. 35 Gdpr ogniqualvolta il trattamento presenti un rischio per i diritti degli interessati, stante “l'uso di nuove tecnologie” e “considerati la natura, l'oggetto, il contesto e le finalità del trattamento”.
All’esito di tale valutazione, il Ministero della Salute adotterà, previo parere del Garante per la privacy, una serie di misure “di dettaglio” circa il trattamento dei dati e le modalità di sicurezza, nel rispetto di alcune garanzie indicate nell’Art. 6, co. 2:
La disciplina delineata dal decreto – sul cui schema aveva espresso parere positivo anche il Garante della privacy con provvedimento del 29 aprile2 – prevede la creazione di una “Piattaforma unica nazionale” volta a gestire il sistema di allerta dei soggetti che hanno volontariamente scaricato questa applicazione, al solo fine di “allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute” (Art. 6, co. 1 d.l. 28/2020).
Il download dell’App avverrà su base volontaria e, a tale proposito, proprio per attribuire in capo ai cittadini un reale potere di scelta, l’Art. 6, co. 4 stabilisce che “il mancato utilizzo dell'applicazione di cui al comma 1 non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento”: in altri termini, nessuna conseguenza negativa potrà ricadere in capo a colui che decida di non scaricare l’App Immuni.
La liceità di tale trattamento si fonda pertanto sul consenso dell’utente, in conformità con l’Art. 6, par. 1, lett. a) Gdpr il quale annovera, tra le molteplici cause di liceità, il consenso dell’interessato al trattamento dei propri dati per una o più finalità specifiche, e dell’Art. 9, par. 2, lett. a), il quale, in deroga al par. 1, consente il trattamento di dati sanitari solo se l’interessato abbia prestato il proprio consenso esplicito al trattamento di tali dati per una o più finalità specifiche. Il decreto-legge esclude, peraltro, il trattamento secondario dei dati così raccolti per fini diversi, salva la possibilità, ai sensi dell’Art. 6, co. 3, di utilizzo di tali dati, in forma anonima o aggregata, a fini statistici o di ricerca scientifica, in conformità con l’Art. 9, co. 2, lett. i) e j) Gdpr.
Sia la Piattaforma unica nazionale, sia l’App Immuni, inoltre, hanno carattere temporaneo: ai sensi dell’Art. 6, co. 5, infatti, il loro utilizzo e il trattamento dei dati raccolti si interromperanno al cessare dello stato di emergenza e, comunque, non oltre il 31.12.2020.
Il decreto individua nel Ministero della Salute il titolare del trattamento e prevede che lo stesso proceda ad una preliminare valutazione dell’impatto dei trattamenti sulla protezione dei dati personali; tale valutazione è invero imposta dall’Art. 35 Gdpr ogniqualvolta il trattamento presenti un rischio per i diritti degli interessati, stante “l'uso di nuove tecnologie” e “considerati la natura, l'oggetto, il contesto e le finalità del trattamento”.
All’esito di tale valutazione, il Ministero della Salute adotterà, previo parere del Garante per la privacy, una serie di misure “di dettaglio” circa il trattamento dei dati e le modalità di sicurezza, nel rispetto di alcune garanzie indicate nell’Art. 6, co. 2:
- la messa a disposizione degli utenti di idonea informativa privacy, in conformità agli articoli 13 e 14 Gdpr e del principio di trasparenza che vi è sotteso, affinché detti utenti possano avere piena contezza delle finalità e delle operazioni di trattamento, delle tecniche di pseudonimizzazione utilizzate e dei tempi di conservazione dei dati, in modo da decidere consapevolmente se procedere all’attivazione dell’applicazione;
- l'applicazione dei principi di selettività e minimizzazione dei dati trattati, in conformità all'articolo 25 Gdpr, affinché i dati personali raccolti dall'applicazione siano, per impostazione predefinita, solo quelli necessari rispetto alle finalità del sistema, ossia l’individuazione di possibili contagi;
- l'anonimizzazione o pseudonimizzazione dei dati di prossimità dei dispositivi trattati per allertare i contatti, nonché l'adozione di misure adeguate ad evitare il rischio di reidentificazione degli interessati;
- l'esclusione della geolocalizzazione degli utenti che accedono alla App;
- la garanzia di riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento dei dati;
- la conservazione dei dati relativi ai contatti, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata sarà stabilita dal Ministero della salute e indicata espressamente, e la loro cancellazione automatica alla scadenza del termine;
- la possibilità di esercitare, anche con modalità semplificate, i diritti previsti dagli Artt. 15 - 22 Gdpr (quali, il diritto di accesso, di rettifica, di cancellazione...).
Sotto il profilo più strettamente pratico, l’App Immuni – sviluppata dalla società Bending Spoons – dovrebbe constare di due componenti. Da una parte, il c.d. contact tracing, ossia il processo di tracciamento dei contatti tramite sistema Bluetooth: il telefono di ogni utente che ha scaricato l’App emette costantemente un codice identificativo che viene captato dai dispositivi “prossimi” di coloro che hanno parimenti scaricato l’applicazione. Dall’altra parte, una sorta di diario clinico, in cui l’utente può inserire i dati relativi al proprio stato di salute. Invero, qualora un soggetto scopra di essere positivo al Covid-19, questi potrà inserire tale dato sull’App e il sistema, attraverso un sistema di notifiche, avviserà gli utenti che sono venuti in contatto con tale soggetto, senza che ne sia chiaramente rilevata l’identità (in conformità con i principi di anonimizzazione e pseudonimizzazione), in modo da informarle del potenziale contagio.
Occorre a questo punto sottolineare tre aspetti: in primo luogo, l’utente che dovesse risultare positivo al test Covid-19 dovrà prestare il proprio consenso in ordine al trattamento del dato relativo al suo stato di salute, per la finalità sopra richiamata, in conformità con l’Art. 9, par. 2, lett. a) Gdpr; in secondo luogo, non sono ancora chiare le concrete modalità di uploading del dato sanitario; in terzo luogo, ed infine, non vi sono indicazioni su come debba comportarsi l’utente che scopra – attraverso il sistema di notifiche – di essere venuto a contatto con qualcuno risultato positivo al Covid-19. Tali aspetti verranno con ogni probabilità chiariti dal Ministero della Salute attraverso l’adozione delle misure di dettaglio previste dall’Art. 6, co. 2 d.l. 28/2020, in conformità ai principi e alle garanzie sopra richiamate.
Occorre a questo punto sottolineare tre aspetti: in primo luogo, l’utente che dovesse risultare positivo al test Covid-19 dovrà prestare il proprio consenso in ordine al trattamento del dato relativo al suo stato di salute, per la finalità sopra richiamata, in conformità con l’Art. 9, par. 2, lett. a) Gdpr; in secondo luogo, non sono ancora chiare le concrete modalità di uploading del dato sanitario; in terzo luogo, ed infine, non vi sono indicazioni su come debba comportarsi l’utente che scopra – attraverso il sistema di notifiche – di essere venuto a contatto con qualcuno risultato positivo al Covid-19. Tali aspetti verranno con ogni probabilità chiariti dal Ministero della Salute attraverso l’adozione delle misure di dettaglio previste dall’Art. 6, co. 2 d.l. 28/2020, in conformità ai principi e alle garanzie sopra richiamate.
____________________
1 Decreto-legge 30 aprile 2020, n. 28 recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l'introduzione del sistema di allerta Covid-19”. [torna al testo]
2 Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19 - 29 aprile 2020 [9328050], reperibile alla seguente pagina web. [torna al testo]
1 Decreto-legge 30 aprile 2020, n. 28 recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l'introduzione del sistema di allerta Covid-19”. [torna al testo]
2 Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19 - 29 aprile 2020 [9328050], reperibile alla seguente pagina web. [torna al testo]