Il Garante della Privacy esprime parere favorevole, con alcune opportune osservazioni, sulla proposta normativa concernente il tracciamento dei contatti fra soggetti tramite apposita applicazione sui dispositivi di telefonia mobile, nell’ambito delle strategie di contenimento dell’epidemia da Covid-19.
La Presidenza del Consiglio dei Ministri ha richiesto il parere del Garante su una proposta normativa per il tracciamento dei contatti fra soggetti mediante apposita applicazione su dispositivi di telefonia mobile, volontariamente installata, e nell’ambito delle strategie di contenimento dell’epidemia Covid-19.
L’intervento normativo è volto a disciplinare il trattamento di dati personali nel contesto dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del Covid-19 per finalità di tracciamento dei contatti tra i soggetti che, a tal fine, abbiano volontariamente installato un’apposita applicazione sui dispositivi mobili.
La proposta al vaglio del Garante prevede, tra le altre, che il titolare del trattamento è il Ministero della salute e che il trattamento riguarda il tracciamento effettuato tramite l’utilizzo di un’applicazione, installata su base volontaria e destinata alla registrazione dei soli contatti tra soggetti che abbiano parimenti scaricato l’applicazione. Ciò, al solo fine di adottare le adeguate misure di informazione e prevenzione sanitaria nel caso di soggetti entrati in contatto con utenti che risultino, all’esito di test o diagnosi medica, contagiati.
I dati raccolti attraverso l’applicazione non possono essere utilizzati per finalità diverse da quella di cui al medesimo comma 1, salvo in forma aggregata o anonima per finalità scientifiche o statistiche. Mentre è previsto che il mancato utilizzo dell’applicazione non comporta conseguenze in ordine all’esercizio dei diritti fondamentali dei soggetti interessati ed è assicurato il rispetto del principio di parità di trattamento. Per quanto riguarda la “piattaforma informatica” utilizzata è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o in controllo pubblico.
Infine ogni trattamento di dati personali dovrà cessare al termine del periodo di emergenza secondo la tempistica espressamente indicata, con conseguente cancellazione dei dati trattati.
Il Garante ha rilevato che la norma tiene conto di molte delle indicazioni fornite dal Presidente del Garante nell’audizione tenuta in data 8 aprile presso la IX Commissione trasporti e comunicazioni della Camera dei deputati (in www.gpdp.it, doc. web n. 9308774), dal Segretario generale in riscontro alle ipotesi avanzate all’interno del Gruppo di lavoro “data-driven” per l’emergenza Covid-19, istituito presso la Presidenza del Consiglio dei ministri (nota del 7 aprile 2020, doc. web. n. 9316821).
Essa appare conforme, per quanto dalla stessa disciplinato e nelle sue linee generali, ai criteri indicati dalle Linee guida del Comitato europeo per la protezione dei dati del 21 aprile scorso (doc. web n. 9321621) a proposito dei sistemi di contact tracing, che possono sintetizzarsi nei termini seguenti, raffrontandovi la disposizione in esame:
a) volontarietà; b) previsione normativa; c) trasparenza; d) determinatezza ed esclusività dello scopo; e) selettività e minimizzazione dei dati; f) non esclusività del processo algoritmico; g) interoperabilità con altri sistemi di contact tracing utilizzati in Europa; h) reciprocità di anonimato tra gli utenti dell’app, i quali devono peraltro non essere identificabili dal titolare del trattamento, dovendo la identificazione ammettersi al limitato fine dell’individuazione dei contagiati.
La norma, alla lettera e), non specifica chiaramente se si intenda optare per la conservazione dei dati in forma centralizzata ovvero decentrata. In ogni caso, la centralizzazione richiederebbe in sede attuativa la previsione di misure di sicurezza rafforzate, adeguate alla fattispecie.
Per quanto sopra il sistema di contact tracing prefigurato non appare in contrasto con i principi di protezione dei dati personali.
Quanto al testo della norma, il Garante non ha particolari perfezionamenti da suggerire, salvo richiamare l’attenzione sull’opportunità di sostituire, al comma 4, la locuzione “conseguenza in ordine all’esercizio dei diritti fondamentali dei soggetti interessati” con il più ampio “conseguenza pregiudizievole” e di integrare il comma 3 con i riferimenti normativi pertinenti (artt. 5, par. 1, lett. a) e 9, par. 2, lett. j), del Regolamento) e sostituendola parola utilizzati con “trattati”.
In conclusione, quindi, il Garante esprime parere favorevole sullo schema di norma in esame, auspicando, ove condivisi, i mirati interventi integrativi e specificativi dell’Amministrazione interessata in sede applicativa e riservandosi ogni valutazione dei profili tecnici del progetto in sede di esame.
Alberto Speciale
(foto di copertina: prelevata dal web senza copyright)
