7 Maggio 2020

L’evoluzione della normativa privacy per l’applicazione del “Contact tracing”

di Andrea Onori Scarica in PDF La scheda di EVOLUTION

È stato pubblicato sulla Gazzetta Ufficiale n. 111 del 30.04.2020 il D.L. 28/2020, in vigore dal 1° maggio 2020, il quale interviene con carattere di urgenza in materia di tutela di trattamento dei dati personali nel monitoraggio delle persone affette da Coronavirus per la prevenzione e il contenimento della diffusione del contagio.

Con il Decreto in parola, si è posto un primo, necessario, tassello legislativo per procedere con il “Contact Tracing”, mediante l’applicazione “Immuni”, che effettuerà tale tipologia di trattamento del dato (il monitoraggio).

Il Decreto, all’articolo 6, comma 1, interviene in materia di prevenzione dei contagi da Covid-19 stabilendo che, al solo fine di “allertare le persone che siano entrate in contatto con soggetti risultati positivi al nuovo coronavirus e tutelarne la salute attraverso le previste misure di profilassi legate all’emergenza sanitaria”, sia istituita una piattaforma unica nazionale per la gestione del sistema d’allerta.

Il Ministero della Salute, quale titolare del trattamento, “per gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l’adozione di correlate misure di sanità pubblica e di cura” dovrà coordinarsi con le autorità nazionali e regionali, pubbliche e private, coinvolte nel Servizio sanitario di sicurezza nazionale.

L’applicazione (“Immuni”) potrà essere installata volontariamente e non obbligatoriamente e sarà possibile utilizzarla a partire dal mese di maggio come ha annunciato il 28.04.2020 il Commissario Arcuri durante una conferenza stampa. A parere di chi scrive è più probabile una piena partenza da giugno, in considerazione delle attività ancora da attuare, sia di carattere regolamentare che tecnico.

Inoltre, così come previsto dal Gdpr, il Ministero della Salute, previa effettuazione di idonea ed apposita valutazione di impatto, oltre che previa consultazione con il Garante della Privacy, adotterà “misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati”.

Tali misure assicureranno che:

  • gli utenti ricevano, prima dell’attivazione dell’applicazione, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati;
  • per impostazione predefinita, i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al Covid- 19, nonché ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti (principio di minimizzazione del dato);
  • il trattamento effettuato sia basato sui dati di prossimità dei dispositivi, resi anonimi, oppure, ove ciò non sia possibile, pseudonimizzati. È esclusa in ogni caso la geo-localizzazione dei singoli utenti;
  • siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento;
  • i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della salute. I dati sono cancellati in modo automatico alla scadenza del termine;
  • i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento (UE) 2016/679 possano essere esercitati anche con modalità semplificate.

Viene, inoltre, previsto che:

  • i dati raccolti non possano essere trattati per finalità diverse da quella specificate, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica;
  • il mancato utilizzo dell’applicazione non comporti alcuna limitazione o conseguenza in ordine all’esercizio dei diritti fondamentali dei soggetti interessati;
  • la piattaforma sia realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o società a totale partecipazione pubblica e i programmi informatici sviluppati per la realizzazione della piattaforma siano di titolarità pubblica;
  • l’utilizzo dell’applicazione e della piattaforma, nonché ogni trattamento di dati personali siano interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020. Entro la medesima data tutti i dati personali trattati siano cancellati o resi definitivamente anonimi.

Inquadrando l’intervento legislativo all’interno delle previsioni del Regolamento Generale sulla protezione dei dati (GDPR) 679/2016, risultano rispettati i seguenti principi:

1. rispetto del diritto ad essere informato da parte dell’interessato (articoli 12, 13 e 14 GDPR). Previsione di apposita informativa chiara e trasparente, prima dell’attivazione dell’applicazione:

  • titolare del trattamento: Ministero della Salute;
  • indicazione delle finalità e delle operazioni di trattamento (ancora da definire), ma con divieto di utilizzo dei dati per finalità diverse;
  • indicazione del periodo di conservazione da stabilire a cura del Ministero della Salute (“i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento”. “Entro il 31.12.2020 tutti i dati saranno cancellati o resi definitivamente anonimi);
  • modalità di trattamento: “Trattamento basato su dati di prossimità”; è escluso il ricorso alla geolocalizzazione
  • localizzazione del trattamento del dato: “piattaforma realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale”;

2. rispetto dei principi di Privacy By Design e Privacy By Default (articolo 25 GDPR) (utilizzo di dati pseudonimizzati e minimizzazione degli stessi);

3. effettuazione della Valutazione di Impatto (DPIA) alla luce della tipologia dei dati trattati e dei rischi potenziali di danno ai diritti e alle libertà fondamentali dell’individuo, previa consultazione con il Garante (articoli 35 e 36);

4. sicurezza del trattamento del dato (articolo 32, GDPR):

  • pseudonimizzazione dei dati;
  • devono essere garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

5. utilizzo dei dati per fini diversi da quelli per i quali sono stati raccolti: utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica (articolo 9, paragrafo 2, lettere i e j e Considerando 50 e 162).