tutela dati personali

App «Immuni», per l’ok trasparenza informativa e privacy da garantire

Nell’articolo 6 del Dl dello scorso 28 aprile tutte le indicazioni da rispettare, dall’anonimizzazione all'esclusione della geolocalizzazione degli utenti

di Fabio Nardoni

default onloading pic
(Michaela Begsteiger - stock.adobe.com)

Nell’articolo 6 del Dl dello scorso 28 aprile tutte le indicazioni da rispettare, dall’anonimizzazione all'esclusione della geolocalizzazione degli utenti


4' di lettura

Il “Sistema di allerta Covid-19”, noto come App “Immuni”, è stato regolamentato, con particolare attenzione ai profili privacy, nel Dl dello scorso 30 aprile in materia di giustizia (Dl 28 del 30 aprile 2020 “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l'introduzione del sistema di allerta Covid-19”).
Nell'articolo 6 del Dl sono state, infatti, disposte specifiche «misure urgenti per l'introduzione del sistema di allerta Covid-19» basato su una App per smartphone, che potrà essere scaricata su base esclusivamente volontaria e che opererà su una piattaforma unica nazionale (di titolarità pubblica e realizzata solo con infrastrutture localizzate sul territorio nazionale).
Alla facoltatività dell'App, viene peraltro affiancato il principio di non discriminazione per il quale il mancato utilizzo della stessa non dovrà comportare alcuna conseguenza pregiudizievole, dovendosi assicurare il rispetto del principio di parità di trattamento.
L'unica finalità del sistema sarà di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi (individuati secondo criteri stabiliti dal ministero della Salute) e tutelarne la salute attraverso le previste misure di prevenzione.
Risulterà così agevolata l'eventuale adozione di misure di assistenza sanitaria, fermo restando che tale modalità operativa resta complementare alle ordinarie modalità in uso nell'ambito del Servizio sanitario nazionale.
Particolare attenzione è stata riservata all'impatto privacy del sistema, in sostanziale conformità con il parere richiesto al Garante per la protezione dei dati personali e dallo stesso fornito con provvedimento 79 del 29 aprile 2020 (“Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da Covid-19”).
Il ministero della Salute, in qualità del titolare del trattamento dei dati personali nell'ambito del sistema di allerta, dovrà anzitutto effettuare un'apposita valutazione di impatto privacy, in base all'articolo 35 del Gdpr, e adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il parere del Garante per la protezione dei dati personali, secondo l'articolo 36, paragrafo 5, del Gdpr e dell'articolo 2-quinquiesdecies del Codice Privacy (Dlgs 196 del 30 giugno 2003 e successive modifiche e integrazioni).
Con ilministero della Salute si coordineranno, in qualità di responsabili del trattamento in base all’articolo 28 del Gdpr, anche soggetti operanti nell'ambito del Servizio nazionale della protezione civile, l'Istituto superiore di sanità e, anche per il tramite del Sistema Tessera Sanitaria, le strutture pubbliche e private accreditate che operano nell'ambito del Servizio sanitario nazionale, nel rispetto delle relative competenze istituzionali, per gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l'adozione di correlate misure di sanità pubblica e di cura.
Le disposizioni di cui all'articolo 6 in esame prevedono espressamente una serie di tutele per i diritti degli interessati che dovranno essere adottate, quali:
-la messa a disposizione degli utenti di idonea informativa privacy, secondo gli articoli 13 e 14 del Gdpr, affinché gli stessi possano avere, prima dell'attivazione dell'applicazione, piena consapevolezza delle finalità e delle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati;
-l'applicazione del principio di minimizzazione dei dati trattati in conformità all'articolo 25 del Gdpr, affinché per impostazione predefinita i dati personali raccolti dall'applicazione siano esclusivamente quelli necessari rispetto alle finalità del sistema (sopra ricordate);
-l'anonimizzazione o pseudonimizzazione dei dati di prossimità dei dispositivi trattati per allertare i contatti e l'adozione di misure adeguate ad evitare il rischio di reidentificazione degli interessati;
-l'esclusione della geolocalizzazione dei singoli utenti;
-la garanzia di permanente riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;
-la conservazione dei dati relativi ai contatti anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento (la cui durata sarà stabilita dal Ministero della salute e indicata espressamente), e la loro cancellazione automatica alla scadenza del termine;
-la possibilità di esercizio anche con modalità semplificate dei diritti riconosciuti agli interessati dal Gdpr (articoli da 15 a 22 di tale Regolamento europeo).
Al di fuori delle finalità del trattamento sopra descritte, i dati raccolti attraverso l'App potranno essere utilizzati, esclusivamente in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica (ai sensi degli articoli 5, paragrafo 1, lettera a) e 9, paragrafo 2, lettere i) e j), del Gdpr).
L'utilizzo dell'applicazione e della piattaforma e ogni trattamento di dati personali dovranno terminare alla cessazione dello stato di emergenza e comunque non oltre il 31 dicembre 2020 (con cancellazione o definitiva anonimizzazione di tutti i dati personali trattati).
Le dettagliate tutele disposte in materia di protezione dei dati personali per il “Sistema di allerta Covid-19” (in adesione alle linee guida indicate dal Garante privacy) sembrano fare da contraltare alle “Disposizioni sul trattamento dei dati personali nel contesto emergenziale” introdotte in sede di conversione del Dl 18 del 17 marzo 2020 (Cura Italia) con la legge 27/2020 (pubblicata in Gazzetta Ufficiale il 29 aprile scorso) che, utilizzando il margine di compressione dei diritti degli interessati consentito da specifiche norme del Gdpr, hanno legittimato il trattamento di dati personali anche relativi alla salute e a condanne penali e reati con modalità semplificate e garanzie ridotte «per motivi di interesse pubblico nel settore della sanità pubblica».
Tenuto conto della facoltatività dell'applicazione e del principio di non discriminazione di coloro che non la utilizzeranno, è da rilevare che l'efficacia del sistema di allerta elaborato sembrerebbe legata tanto alla percentuale di popolazione che deciderà di aderire, quanto alla diffusione dei controlli clinici funzionali all'accertamento delle positività al virus, in base alle quali dovrebbero essere rilevati i contatti a rischio.

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti