Lo scorso 29 aprile 2020 il Garante per la protezione dei dati personali si è pronunciato sull’applicazione ideata al fine di limitare la diffusione del Covid-19 mediante il tracciamento dei suoi utilizzatori.
Nelle premesse, il Garante ha opportunamente ricordato:
- che l’utilizzo dell’applicazione è strettamente volontario e che, conseguentemente, il suo mancato utilizzo “…non comporta conseguenze in ordine all’esercizio dei diritti fondamentali dei soggetti interessati”;
- che il titolare del trattamento dei dati raccolti sarà il Ministero della Salute;
- che l’applicazione registrerà unicamente i “…contatti tra soggetti che abbiano parimenti scaricato l’applicazione” e ciò “…al solo fine di adottare le adeguate misure di informazione e prevenzione sanitaria nel caso di soggetti entrati in contatto con utenti che risultino, all’esito di test o diagnosi medica, contagiati”.
- che la modalità di tracciamento “…è complementare alle ordinarie modalità in uso nell’ambito del Servizio Sanitario nazionale”;
- che, tra le misure tecniche da adottare al fine di garantire la sicurezza delle libertà e dei diritti dell’utilizzatore, dovrà essere assicurato:
- che gli “…utenti ricevano, prima dell’attivazione dell’applicazione, un’idonea informativa” ;
- che “…i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al Covid-19”;
- che il tracciamento “…sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pesudonomizzati, con esclusione di ogni forma di geolocalizzazione dei singoli utenti”;
- che i dati raccolti “…siano conservati, anche nei dispositivi mobili degli utenti, per il periodo, stabilito dal Ministero della Salute, strettamente necessario al tracciamento e cancellati in modo automatico alla scadenza del termine”;
- che i diritti degli utilizzatori, ai sensi degli articoli 15 a 22 del GDPR, possano essere in esercitati in forma semplificata.
Ciò premesso, il Garante ha espresso parere favorevole circa la compatibilità della normativa rispetto alle normative europee (Regolamento 2016/679/UE) e nazionali di protezione dei dati personali, rilevando come il sistema di contact tracing prefigurato non appaia porsi in contrasto con i principi di protezione dei dati personali:
- essendo prevista una dettagliata previsione normativa del trattamento, delle tipologia di dati raccolti, delle garanzie accordate agli interessati e della temporaneità delle misure;
- essendo l’applicazione fondata sull’adesione volontaria dell’interessato;
- essendo determinata la finalità di interesse pubblico perseguita, escludendo trattamenti secondari se non per finalità statistiche e/o di ricerca scientifica, purchè anonimizzati o in forma aggregata;
- essendo conforme al principio di minimizzazione e ai criteri di privacy by design e by default;
- essendo conforme al principio di trasparenza.
Il Garante conclude:
- auspicando che la predetta misura superi la proliferazione di iniziative analoghe in ambito pubblico “difficilmente compatibili con il quadro giuridico vigente”;
- suggerendo di perfezionare il testo della norma, sostituendo alla locuzione “conseguenza in ordine all’esercizio dei diritti fondamentali dei soggetti interessati” che non scarichino volontariamente l’app., quella più ampia di “conseguenze pregiudizievoli”.
