Si è tanto parlato negli ultimi giorni dell’introduzione di una APP per il tracciamento dei contagi da Coronavirus, scelta dal Governo italiano nell’APP “Immuni”, sviluppata dall’italiana Bending Spoons, e che sarà disponibile per il download dal play store Android e dall’Apple store per dispositivi Ios probabilmente da fine maggio.

In attesa di sapere concretamente come sarà e come funzionerà e di informazioni tecniche e pratiche più complete e chiare, vediamo in modo semplice cosa prevede oggi la Legge e cosa pensa il Garante italiano per la protezione dei dati della norma.

Cosa prevede la norma attuale introdotta dal Governo?

Con l’art.6 del Decreto Legge n.28 del 30 aprile 2020, il Governo ha previsto l’introduzione di una “piattaforma unica nazionale” , di titolarità pubblica, “al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute”. I dati raccolti non potranno essere trattati per finalità diverse, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica

La piattaforma con il tracciamento dei contagi verrà alimentata con i dati raccolti appunto mediante l’utilizzo di un’apposita APP installata dai cittadini su base volontaria sui propri dispositivi di telefonia mobile. La norma precisa espressamente che il mancato utilizzo della APP non comporta alcuna conseguenza pregiudizievole né disparità di trattamento tra chi l’avrà scaricata e chi non lo avrà fatto.

Il titolare del trattamento dei dati sarà il Ministero della Salute, che si dovrà coordinare con vari Enti, tra cui il Servizio nazionale della protezione civile, l’Istituto superiore di sanità, il Servizio sanitario nazionale.

Queste le caratteristiche principali che dovrà avere la APP indicate dalla norma:

  1. dovrà essere assicurato che gli utenti ricevano prima dell’attivazione dell’applicazione, ai sensi del Regolamento europeo sulla protezione dei dati, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati raccolti;
  2. i dati personali raccolti dall’APP dovranno essere esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19;
  3. dovrà essere esclusa in ogni caso la geolocalizzazione dei singoli utenti. Il trattamento effettuato per allertare i contatti dovrà essere basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati;
  4. dovranno essere garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati oggetto di trattamento;
  5. i dati relativi ai contatti stretti dovranno essere conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della salute e specificata nell’ambito delle misure di cui al presente comma; i dati dovranno essere cancellati in modo automatico alla scadenza del termine;
  6. i diritti degli interessati di cui al Regolamento (UE) privacy dovranno poter essere esercitati anche con modalità semplificate.

La norma prevede, poi, che i programmi informatici di titolarità pubblica sviluppati per la realizzazione della piattaforma e l’utilizzo dell’applicazione sono resi disponibili e rilasciati sotto licenza aperta.

Infine, il comma 6 stabilisce che l’utilizzo dell’applicazione e della piattaforma nonché ogni trattamento di dati personali saranno interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi.

Qual è il parere del Garante per la privacy? Per ora si è espresso favorevolmente sulla norma.

La proposta normativa (poi inserita appunto nell’art.6 citato) aveva avuto sostanzialmente il parere positivo del Garante per la protezione dei dati, che si è espresso sulla norma in data 29 aprile 2020, riservandosi comunque ogni valutazione dei profili tecnici del progetto (il parere completo del Garante è al seguente link).

Il Garante, dunque, per ora si è espresso solo sulla norma, ritenendo, con alcune osservazioni già svolte, la previsione normativa conforme, per quanto dalla stessa disciplinato e nelle sue linee generali, ai criteri indicati anche dalle Linee guida del Comitato europeo per la protezione dei dati del 21 aprile precedente a proposito dei sistemi di contact tracing, in particolare:

  1. volontarietà: in ragione del rilevante impatto individuale del tracciamento, l’adesione al sistema deve essere frutto di una scelta realmente libera da parte dell’interessato;
  2. previsione normativa: il presupposto può individuarsi nell’esigenza di svolgimento di un compito di interesse pubblico, in particolare per esigenze di sanità pubblica;
  3. trasparenza nei confronti degli interessati;
  4. determinatezza ed esclusività dello scopo: il tracing dev’essere finalizzato esclusivamente al contenimento dei contagi, escludendo fini ulteriori;
  5. selettività e minimizzazione dei dati: i dati raccolti devono poter tracciare i contatti stretti e non i movimenti o l’ubicazione del soggetto. Devono essere raccolti solo i dati strettamente necessari ai fini della individuazione dei possibili contagi, con tecniche di anonimizzazione e pseudonimizzazione affidabili. Anche la conservazione deve limitarsi al periodo strettamente necessario, da valutarsi sulla base delle decisioni dell’autorità sanitaria su parametri oggettivi come il periodo di incubazione;
  6. possibilità di esercitare in ogni momento i diritti derivanti dal regolamento europeo sulla protezione dei dati da parte degli utenti interessati;
  7. interoperabilità con altri sistemi di contact tracing utilizzati in Europa;
  8. reciprocità di anonimato tra gli utenti dell’app, che non devono essere identificabili dal titolare del trattamento, dovendo la identificazione ammettersi al limitato fine dell’individuazione dei contagiati.

Attendiamo allora di vedere cosa accadrà nei prossimi giorni …..

WP to LinkedIn Auto Publish Powered By : XYZScripts.com