Utilizzo delle applicazioni mobili nell'emergenza Covid-19: le regole europee e le scelte nazionali - Sipotra
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
CIRCOLARE N. 15 DEL 9 LUGLIO 2020
ATTIVITA’ D’IMPRESA E CONCORRENZA
Utilizzo delle applicazioni mobili nell’emergenza Covid-19:
ASSONIME - Riproduzione riservata
le regole europee e le scelte nazionali
www.assonime.itUtilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
ABSTRACT
Questa circolare illustra le regole europee e nazionali relative all’utilizzo delle
applicazioni mobili nell’emergenza Covid-19, con particolare attenzione alle app di
tracciamento dei contatti e allerta. In questo contesto, sono analizzate le scelte
compiute dall’Italia attraverso la predisposizione del sistema nazionale di allerta basato
sulla app Immuni. Infine, vengono richiamate le indicazioni del Garante per la
protezione dei dati personali riguardo alle condizioni in presenza delle quali è possibile
utilizzare, oltre all’app Immuni, ulteriori applicazioni a fini di contenimento del contagio
nei luoghi di lavoro.
PROVVEDIMENTI COMMENTATI
Commissione europea, Raccomandazione (UE) 2020/518, 8 aprile 2020
eHealth Network, Common EU Toolbox for Member States, 15 aprile 2020
Commissione europea, Comunicazione 2020/C 124 I/01, 17 aprile 2020
Comitato europeo per la protezione dei dati, linee guida 4/2020, 21 aprile 2020
Articolo 17- bis del decreto legge 17 maggio 2020, n. 18, convertito dalla legge 24
ASSONIME - Riproduzione riservata
aprile 2020, n. 27
Articolo 6 del decreto legge 30 aprile 2020, n. 28, convertito dalla legge 25 giugno
2020, n. 70
Circolare Ministero della Salute, 29 maggio 2020
Garante per la protezione dei dati personali, provvedimento di autorizzazione al
trattamento dei dati personali effettuato attraverso il sistema di allerta Covid19 –
App Immuni, 1° giugno 2020
e-Health Network, Interoperability Guidelines for approved contact tracing
mobile applications, 13 maggio e 16 giugno 2020
2Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
INDICE
Introduzione p. 4
1. La raccomandazione della Commissione per un approccio comune p. 6
2. La guida pratica della rete e-Health per le app di tracciamento dei contatti p. 9
3. Riservatezza delle comunicazioni e tutela dei dati personali: le norme
europee e gli orientamenti della Commissione e dell’EDPB p.11
3.1 Le regole europee sull’e-privacy p.12
3.2 Le regole del GDPR p.13
3.3 Gli orientamenti della Commissione e dell’EDPB p.14
4. Interoperabilità delle app di tracciamento degli Stati membri p.19
5. Il quadro nazionale e il sistema di allerta in Italia p.20
5.1 Le regole generali sul trattamento dei dati relativi alla salute p.20
5.2 La normativa sul trattamento dei dati personali nel contesto emergenziale p.21
5.3 La normativa sul sistema nazionale di tracciamento e allerta tramite
ASSONIME - Riproduzione riservata
app mobile p.22
5.4 La messa a punto del Sistema di allerta e la app Immuni p.25
5.5 Utilizzo di app in ambito aziendale p.28
3Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
Introduzione
Dopo la fase di lockdown dovuta all’emergenza Covid-19, la revoca progressiva delle
misure di contenimento e il ritorno alle normali attività dipendono dalla capacità dei
Governi di isolare i nuovi focolai, in particolare mediante il tracciamento dei contatti
delle persone contagiate, test diagnostici su larga scala e adeguati servizi ospedalieri.
In questo contesto, le tecnologie digitali e, in particolare, le applicazioni (app) installate
su smartphone o su altri dispositivi mobili possono essere utili per vari scopi. Le app
possono essere utilizzate a fini meramente informativi, per fornire ai cittadini indicazioni
di carattere generale sui comportamenti da adottare, ma le funzionalità possono anche
essere più avanzate.
Attraverso apposite app, ad esempio, possono essere messi a disposizione degli utenti
questionari di autovalutazione del proprio stato di salute mediante il controllo dei
sintomi o possono essere prestati veri e propri servizi di telemedicina, creando un
canale di comunicazione online tra il paziente e il medico. Inoltre, le applicazioni digitali
possono essere utilizzate per raccogliere dati utili per comprendere l’evoluzione e la
diffusione del virus, nonché valutare l’efficacia delle misure di distanziamento fisico.
Tra le funzionalità delle app che hanno suscitato in questi mesi maggiore interesse a
livello internazionale vi è quella di tracciare i contatti dell’utente e di allertare, su questa
base, le persone che si sono trovate per un certo tempo in prossimità di una persona
infetta o potenzialmente infetta. Questo strumento è potenzialmente molto utile per
ASSONIME - Riproduzione riservata
isolare i focolai di contagio: nel momento in cui vengono informate di essere a rischio di
contagio, le persone possono infatti comportarsi in modo da evitare comportamenti
pericolosi per gli altri (auto-isolamento sino all’accertamento, mediante test
diagnostico, che la persona non è contagiosa).
In assenza delle tecnologie, la stessa attività di tracciamento dei contatti verrebbe
svolta dal personale del servizio sanitario utilizzando il metodo tradizionale basato su
interviste ai soggetti contagiati circa i loro contatti recenti. Questo metodo, tuttavia, ha
un’elevata probabilità di portare risultati incompleti, dipendendo dalla memoria della
persona e dalla sua capacità di identificare le persone a cui è stata vicina. Inoltre, il
metodo di tracciamento tradizionale richiede tempi più lunghi e un maggiore dispendio
di risorse rispetto a un sistema di tracciamento dei contatti basato sull’uso delle
applicazioni digitali.
4Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
Queste considerazioni hanno portato la maggior parte dei Paesi ad adottare app
nazionali di tracciamento dei contatti e allerta. In Italia il Governo ha messo a
disposizione la app Immuni, che dal 15 giugno 2020, dopo una fase di
sperimentazione, è operativa in tutta Italia1.
A seconda delle loro funzioni (informativa, di autovalutazione, di telemedicina, di analisi
della mobilità, di tracciamento e allerta) e del modo in cui vengono realizzate, le
applicazioni possono avere un maggiore o minore impatto sui diritti e sulle libertà delle
persone, incluso il diritto alla vita privata e alla protezione dei dati personali. In
particolare, per le app di tracciamento dei contatti realizzate con il sostegno dei
Governi, il confronto internazionale mostra come nei diversi ordinamenti siano stati
realizzati sistemi più o meno intrusivi, sia in termini di obbligatorietà o meno di utilizzare
le applicazioni, sia in termini dei dati raccolti e del modo in cui vengono utilizzati 2.
In Cina, ad esempio, le app per il tracciamento dei contatti raccolgono
sistematicamente anche informazioni sulla localizzazione dell’utente e sui pagamenti
effettuati e consentono tra l’altro il controllo del rispetto degli obblighi di quarantena.
Negli ordinamenti europei, in genere, le app per il tracciamento dei contatti sono
volontarie, hanno carattere temporaneo e sono predisposte in modo da non consentire
un utilizzo di dati che vada oltre quanto necessario per consentire la funzione di allerta
al soggetto entrato in contatto, con un significativo grado di rischio, con un contagiato.
Negli Stati membri dell’Unione europea sinora la percentuale dei cittadini che hanno
scaricato le app di tracciamento e alert messe a disposizione dei Governi restano
ASSONIME - Riproduzione riservata
abbastanza contenute, ben al di sotto della quota (tra il 20% e il 60%) che secondo
alcuni studi dovrebbe essere raggiunta per un sistema di tracciamento digitale
veramente efficace3. La quota di utilizzo potrebbe crescere ancora in misura
significativa se, anche attraverso un’efficace strategia di comunicazione, i cittadini
acquistassero maggiore fiducia nell’assenza di effetti indesiderati dell’utilizzo delle app
in termini di libertà personale.
Questa circolare ricostruisce il quadro delle regole per l’utilizzo delle app
nell’emergenza Covid-19 nel nostro ordinamento.
1
www.immuni.italia.it.
2
.https://ec.europa.eu/health/sites/health/files/ehealth/docs/mobileapps_202006progressreport_
en.pdf, aggiornato al 30 giugno 2020, per l’Unione europea. Per il confronto internazionale, cfr.
https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker.
3
Dai dati del Ministero dell’Innovazione risulta che al 7 luglio 2020 la app Immuni era stata
scaricata da 4,1 milioni di utenti.
5Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
La prima parte della circolare illustra le iniziative adottate a livello europeo: la
raccomandazione della Commissione europea dell’8 aprile 2020 su un approccio
comune da parte degli Stati membri per l’utilizzo delle app mobili e dei dati
anonimizzati sulla mobilità (paragrafo 1); la guida pratica predisposta dalla rete delle
autorità nazionali eHealth per le app di tracciamento dei contatti (paragrafo 2); gli
orientamenti della Commissione europea e del Comitato europeo dei garanti privacy su
come impostare le app in modo da rispettare le regole in tema di tutela dei dati
personali e riservatezza delle comunicazioni (paragrafo 3); le linee guida della rete
eHealth per l’interoperabilità delle app nazionali approvate (paragrafo 4).
Nella seconda parte della circolare sono analizzate le misure normative adottate in
Italia per il trattamento dei dati personali durante la fase emergenziale e le scelte
compiute nella messa a punto di un sistema nazionale di tracciamento e allerta
mediante la app Immuni. Vengono inoltre richiamate le indicazioni del Garante per la
protezione dei dati personali riguardo alle condizioni in presenza delle quali è possibile
utilizzare, oltre all’app Immuni, ulteriori applicazioni a fini di contenimento del contagio
nei luoghi di lavoro (paragrafo 5).
1. La raccomandazione della Commissione per un approccio comune
Il primo atto formale adottato dalla Commissione europea sull’utilizzo delle tecnologia e
ASSONIME - Riproduzione riservata
dei dati per contrastare la crisi Covid-19 consiste in una raccomandazione agli Stati
membri, adottata l’8 aprile 2020 ai sensi dell’articolo 292 TFUE4.
La Commissione osserva che la crisi sanitaria pubblica causata dalla pandemia pone
l’Unione e gli Stati membri di fronte a una sfida senza precedenti per i sistemi sanitari,
la stabilità economica, i valori e lo stile di vita e sottolinea che, per uscirne, occorre
un’azione risoluta e coordinata.
L’utilizzo delle tecnologie e dei dati digitali riveste un ruolo potenzialmente molto
importante nella strategia di contrasto alla crisi dato che molte persone nell’Unione
europea sono collegate a internet attraverso dispositivi mobili. Anche per l’utilizzo
dell’ICT occorre un approccio comune: risposte frammentate e non interoperabili da
4
Raccomandazione (UE) 2020/518 della Commissione dell’8 aprile 2020 relativa a un pacchetto di
strumenti comuni dell’Unione per l’uso della tecnologia e dei dati al fine di contrastare la crisi Covid-19 e
uscirne, in particolare per quanto riguarda le applicazioni mobili e l’uso dei dati anonimizzati sulla mobilità.
6Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
parte dei vari Stati membri, infatti, ridurrebbero l’efficacia delle iniziative in termini di
risultati e arrecherebbero al tempo stesso un grave pregiudizio al mercato unico.
Nella raccomandazione la Commissione delinea un quadro comune per l’uso efficace
dei mezzi digitali nel contrasto della crisi Covid-19, con particolare attenzione a due
aspetti:
a. un approccio paneuropeo per l’uso delle applicazioni mobili;
b. un piano comune per l’utilizzo di dati anonimizzati e aggregati sulla mobilità.
Gli Stati membri rappresentati nella rete di assistenza sanitaria online (e-Health) sono
incaricati dell’attuazione della raccomandazione attraverso la definizione di un
pacchetto di strumenti comuni (common EU toolbox).
La messa a punto del toolbox prevede la collaborazione con i rappresentanti della
Commissione europea e del Centro europeo per la prevenzione e il controllo delle
malattie e il contributo del Comitato europeo per la sicurezza sanitaria, dell’organismo
dei regolatori europei delle comunicazioni elettroniche (BEREC), del gruppo di
cooperazione NIS5, dell’ENISA e dei gruppi di lavoro del Consiglio. Anche il comitato
europeo dei garanti privacy (European Data Protection Board- EDPB) e il Garante
europeo della protezione dei dati sono strettamente coinvolti nel processo.
Nella raccomandazione, la Commissione sottolinea l’importanza che nella definizione
del toolbox sia assicurato il rispetto dei diritti fondamentali, tra cui in particolare la tutela
ASSONIME - Riproduzione riservata
della vita privata e la protezione dei dati personali, e che siano prevenuti gli utilizzi degli
strumenti digitali che si traducono in forme di sorveglianza e stigmatizzazione.
Pertanto, gli strumenti del toolbox devono:
limitare il trattamento dei dati personali al contrasto della crisi Covid-19 e
garantire che i dati personali non siano utilizzati per scopi diversi, ad esempio
per verificare il rispetto della normativa da parte dei cittadini o per fini
commerciali;
stabilire opportune clausole di temporaneità in modo che il trattamento dei dati
personali non vada al di là di ciò che è strettamente necessario per il contrasto
della crisi Covid-19 e verificare periodicamente il persistere delle condizioni di
necessità del trattamento;
5
Sulla direttiva NIS, cfr. circolare Assonime n. 30/2019.
7Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
prevedere misure in modo da garantire che il trattamento, una volta che non sia
più strettamente necessario, venga effettivamente soppresso e i dati personali
raccolti vengano irreversibilmente cancellati salvo che, sulla base del parere di
comitati etici e dei garanti della protezione dei dati personali, il loro valore
scientifico al servizio dell’interesse pubblico sia superiore all’impatto sui diritti in
questione, nel rispetto di adeguate garanzie.
Il toolbox dovrà essere progressivamente messo a punto alla luce dell’esperienza e
sarà condiviso con i partner internazionali dell’Unione europea per uno scambio di best
practices.
Le raccomandazioni per le app di tracciamento e allerta
Per quanto riguarda l’elaborazione di app per finalità di allerta e prevenzione del
contagio da Covid-19, la Commissione raccomanda di preferire le misure meno
intrusive, evitando il trattamento dei dati relativi all’ubicazione o agli spostamenti delle
persone, e di utilizzare ove possibile dati anonimi o in forma aggregata. La tecnologia
utilizzata dovrebbe consentire di rilevare la prossimità del dispositivo, assicurare la
cifratura e la sicurezza dei dati raccolti, la loro archiviazione sul dispositivo dell’utente e
l’eventuale accesso da parte delle autorità sanitarie. Nel caso di infezione confermata,
il funzionamento del sistema deve assicurare che la persona infettata rimanga
anonima. Le impostazioni privacy delle applicazioni devono essere trasparenti in modo
da garantire la fiducia degli utenti.
ASSONIME - Riproduzione riservata
Le raccomandazioni per l’utilizzo dei dati sulla mobilità
Per quanto riguarda invece l’utilizzo dei dati sulla mobilità delle persone per mappare e
prevedere la diffusione del contagio, la Commissione sottolinea che deve trattarsi di
dati anonimizzati e aggregati. La raccomandazione chiede in particolare che i dati di
mobilità siano trattati dalle autorità sanitarie esclusivamente per comprendere le
modalità future di diffusione del virus e gli effetti della crisi. Se vengono raccolti dati
sulla mobilità, occorre adottare misure di salvaguardia per prevenire la de-
anonimizzazione dei dati ed evitare la re-identificazione delle persone, in particolare
qualora i dati anonimizzati possano essere correlati con altri dati.
I dati raccolti dovranno essere cancellati in linea di massima dopo un periodo di 90
giorni o comunque non oltre il momento in cui la pandemia sarà dichiarata sotto
controllo e non potranno essere condivisi con terzi. Andrà inoltre assicurata la
cancellazione immediata e irreversibile di tutti i dati trattati in modo accidentale che
8Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
possano consentire di identificare le persone e la notifica alle autorità competenti in
merito al trattamento accidentale dei dati e alla loro cancellazione.
L’attuazione della raccomandazione
Nella raccomandazione la Commissione ha preannunciato che il toolbox sull’approccio
europeo per le app mobili di tracciamento e allerta sarebbe stato pubblicato in pochi
giorni dalla rete eHealth6 e sarebbe stato seguito da orientamenti della stessa
Commissione per precisare ulteriormente i principi in materia di protezione della vita
privata e dei dati personali7.
Gli Stati membri sono chiamati a riferire periodicamente alla Commissione sulle azioni
intraprese e a rendere accessibili le misure applicate nei settori disciplinati dalla
raccomandazione agli altri Stati membri e alla Commissione per una valutazione inter
pares. Gli altri Stati e la Commissione hanno una settimana di tempo per presentare
osservazioni, che lo Stato interessato deve tenere nella massima considerazione.
La Commissione valuterà periodicamente i progressi compiuti e gli effetti della
raccomandazione e, laddove necessario, fornirà ulteriori indicazioni agli Stati membri,
ad esempio riguardo alla tempistica delle misure.
2. La guida pratica della rete e-Health per le app di tracciamento dei contatti
ASSONIME - Riproduzione riservata
Il 15 aprile 2020, dando seguito alla raccomandazione della Commissione, la rete delle
autorità sanitarie nazionali e-Health ha adottato una guida pratica per gli Stati membri
sulle app di tracciamento dei contatti, inclusa la funzione di allerta8.
La guida, passate in rassegna le iniziative in tema di app di contact tracing già avviate
nei singoli Stati membri e a livello globale, indica una serie di soluzioni che la rete delle
autorità nazionali e-Health ritiene idonee a conciliare l’efficacia delle app a fini del
contenimento del contagio con la tutela dei diritti e delle libertà degli individui.
6
Cfr. il successivo paragrafo 2 di questa circolare.
7
Cfr. il paragrafo 3 della circolare.
8
eHealth Network, Mobile applications to support contact tracing in the EU’s fight against COVID-19 –
Common EU Toolbox for Member States, 15 aprile 2020, versione 1.0.
9Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
La rete eHealth sottolinea anzitutto l’importanza di un approccio condiviso alla
definizione dei contatti rilevanti in termini di rischio contagio (prossimità e durata del
contatto) e alle procedure di allerta.
Nel documento vengono menzionati sia i sistemi di trattamento dei dati decentrati (in
cui i dati pseudonimizzati relativi ai contatti rimangono sul dispositivo dell’utente) sia i
sistemi centralizzati, in cui i dati relativi ai contatti di una persona contagiata affluiscono
a un server di backend presso le autorità sanitarie nazionali. Entrambe le soluzioni
sono ritenute idonee a evitare la memorizzazione di dati personali non strettamente
necessari. Rispetto alla soluzione decentrata, tuttavia, quella centralizzata comporta un
più ampio trattamento dei dati relativi ai contatti (che vengono trasferiti dai dispositivi
individuali al server centrale) e un maggiore rischio in termini di data breaches e
attacchi cyber.
La guida contiene indicazioni anche per quanto riguarda le funzionalità tecniche
(indicatori di prestazione) e sottolinea l’importanza di sviluppare soluzioni interoperabili
nel territorio dell’Unione europea. Nell’Allegato 1 sono elencati i requisiti in termini di
cybersecurity elaborati dall’ENISA, che oggi svolge il ruolo di Agenzia dell’Unione
europea per la sicurezza cibernetica. A ogni Stato membro è richiesto di effettuare una
specifica valutazione dei rischi a livello nazionale per identificare e mitigare
l’eventualità di incidenti.
Per quanto riguarda il rispetto dei diritti fondamentali, la guida indica come requisiti
imprescindibili il carattere volontario dell’utilizzo dell’app da parte degli utenti, l’impegno
ASSONIME - Riproduzione riservata
dello Stato a disabilitare il sistema una volta superata l’emergenza connessa alla
pandemia, la trasparenza sugli obiettivi e sul funzionamento delle app e il rispetto della
normativa in tema di protezione dei dati personali e di riservatezza delle comunicazioni
elettroniche. Viene ribadito che la raccolta di dati sulla localizzazione non è né
necessaria né raccomandata ai fini del contact tracing.
La rete e-Health prende atto che non tutta la popolazione utilizzerà le app per il
tracciamento dei dati, in parte per il loro carattere volontario, in parte perché non tutti
dispongono di uno smartphone o sono in grado di installare e utilizzare le app.
Resteranno quindi, a complemento del sistema automatizzato di tracciamento dei
contatti, i metodi tradizionali basati sulle domande ai soggetti contagiati, che
inevitabilmente sono meno completi. Rispetto alle persone che non dispongono di un
smartphone o non sono in grado di utilizzare la app, sono suggerite azioni
complementari che possono comunque comportare l’utilizzo dell’ICT, quali il ricorso a
dispositivi indossabili (ad esempio braccialetti).
10Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
Per la governance delle app nazionali di contact tracing, il suggerimento è quello di
affidare il ruolo centrale all’autorità sanitaria nazionale competente per la gestione
dell’emergenza sanitaria.
La rete eHealth sottolinea che per una maggiore diffusione e utilizzo dell’app occorre
un’efficace campagna informativa verso i cittadini/utenti. Le strategie di comunicazione
devono basarsi su informazioni chiare e trasparenti, prevenendo la diffusione di fake
news e di informazioni ingannevoli o infondate sul funzionamento del sistema. Gli Stati
membri sono anche chiamati a evitare la diffusione di app illegali o dannose
(eventualmente mediante sistemi nazionali di valutazione/accreditamento delle app),
ad assicurare la collaborazione tra le autorità sanitarie nazionali e a valutare l’efficacia
delle app che hanno prescelto, anche mediante revisioni tecniche indipendenti.
3. Riservatezza delle comunicazioni e tutela dei dati personali: le norme europee
e gli orientamenti della Commissione e dell’EDPB
Dando seguito a quanto annunciato nella raccomandazione, il 17 aprile la
Commissione europea ha adottato una comunicazione in cui fornisce agli Stati membri
orientamenti su come impostare e gestire le app mobili per il contrasto della pandemia
nel rispetto del diritto europeo, in particolare del GDPR e della direttiva e-privacy9. Il 21
aprile l’European Data Protection Board, che era stato sentito nella fase di
ASSONIME - Riproduzione riservata
preparazione degli orientamenti della Commissione, ha a sua volta pubblicato linee
guida sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei
contatti10.
Sia la comunicazione della Commissione che le linee guida dell’EDPB sono atti di soft
law. Nella comunicazione la Commissione ricorda le disposizioni pertinenti del diritto
europeo, fornendo la propria interpretazione (senza pregiudizio per il ruolo della Corte
di giustizia, che è l’unica istituzione cui spetta fornire l’interpretazione autentica del
diritto dell’Unione). Nelle linee guida, l’EDPB fornisce il punto di vista della rete delle
autorità della protezione dei dati personali, cui spetta a livello nazionale l’applicazione
9
Comunicazione della Commissione del 17 aprile 2020, Orientamenti sulle app a sostegno della lotta alla
pandemia di Covid-19 relativamente alla protezione dei dati, 2020/C 124/01.
10
Comitato europeo per la protezione dei dati (EDPB), Linee guida 04/2020 sull’uso dei dati di
localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al
Covid-19, 21 aprile 2020.
11Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
del GDPR, sui criteri e le condizioni per l’utilizzo delle app in conformità a quanto
previsto dal Regolamento.
La premessa di entrambi i documenti è che le app si basano sul trattamento di dati che
comporta potenzialmente un elevato rischio per i diritti e le libertà dell’individuo e che il
diritto europeo pone importanti vincoli di cui tenere conto sia nella messa a punto delle
app, sia nel loro utilizzo a livello nazionale.
3.1 Le regole europee sull’e-privacy
La direttiva 2002/58/CE (direttiva e-privacy) disciplina il trattamento dei dati personali e
la tutela della vita privata nel settore delle comunicazioni elettroniche. In particolare, gli
articoli 5, 6 e 9 fissano regole comuni a livello europeo sulla riservatezza delle
comunicazioni e sul trattamento dei dati relativi al traffico nonché dei dati relativi
all’ubicazione diversi dai dati di traffico.
L’articolo 5, paragrafo 1, vieta l’ascolto, la captazione, la memorizzazione e altre forme
di intercettazione o sorveglianza delle comunicazioni e dei relativi dati sul traffico senza
il consenso dell’utente, con l’eccezione della memorizzazione tecnica necessaria alla
trasmissione della comunicazione.
L’articolo 5, paragrafo 3 prevede una specifica protezione per tutte le informazioni
archiviate nell’apparecchiatura terminale dell’utente e da essa accessibili. In
particolare, l’archiviazione e l’accesso alle informazioni archiviate nel dispositivo
dell’utente sono consentiti solo se l’utente ha ricevuto informazioni chiare e complete,
ASSONIME - Riproduzione riservata
secondo quanto previsto dal GDPR, e gli è stata offerta la possibilità di rifiutare il
trattamento. Anche in questo caso sono fatti salvi la memorizzazione tecnica e
l’accesso al solo fine di effettuare o facilitare la trasmissione della comunicazione o
nella misura strettamente necessaria a fornire un servizio della società
dell’informazione esplicitamente richiesto dall’utente.
I dati sul traffico sono utilizzabili per finalità circoscritte, in particolare ai fini della
fatturazione (art. 6). Gli altri dati da cui è possibile risalire all’ubicazione dell’utente
possono essere trattati solo se sono resi anonimi o se l’utente ha dato il proprio
consenso, nella misura e per la durata necessaria a fornire un servizio a valore
aggiunto (art. 9).
La direttiva e-privacy prevede, al contempo, all’articolo 15 la possibilità per gli Stati
membri di limitare i diritti e gli obblighi di cui agli articoli 5, 6 e 9, mediante disposizioni
legislative necessarie, opportune e proporzionate, all’interno di una società
12Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
democratica, per la salvaguardia di una serie di obiettivi di interesse generale tra cui, in
particolare, la sicurezza pubblica.
3.2 Le regole del GDPR
Il trattamento dei dati personali deve essere effettuato in conformità alla disciplina del
regolamento generale per la protezione dei dati (UE) 2016/679 (GDPR).
E’ utile ricordare che per dato personale si intende “qualsiasi informazione riguardante
una persona fisica identificata o identificabile”. Una persona fisica è identificabile
quando può essere individuata, direttamente o indirettamente, con riferimento a un
identificativo come il nome, un numero, dati relativi all'ubicazione o un identificativo
online (articolo 4, paragrafo 1, numero 1).
I dati pseudonimizzati, cioè i dati che possono essere attribuiti al soggetto solo tramite
l’utilizzo di informazioni aggiuntive (ad esempio l’uso di codici), sono anch’essi
considerati dati personali (articolo 4, paragrafo 1, numero 5). Quindi, non è sufficiente
utilizzare pseudonimi per escludere l’applicazione del GDPR: la pseudonimizzazione
sicuramente risponde all’esigenza di minimizzare il trattamento dei dati (privacy by
design), ma non elimina l’esigenza di tutela nella misura in cui resta possibile risalire,
attraverso alcuni passaggi, al soggetto interessato.
Soltanto i dati effettivamente anonimi, per i quali non è più possibile mediante sforzi
ragionevoli identificare o rendere identificabile la persona alla quale si riferiscono, non
sono considerati dati personali e pertanto non sono soggetti alle regole del GDPR11.
ASSONIME - Riproduzione riservata
L’EDPB sottolinea che “i dati non possono essere resi anonimi isolatamente, il che
significa che solo intere serie o interi insiemi di dati sono passibili di anonimizzazione.
In tal senso, qualsiasi intervento su un dato isolato o su una serie storica di dati riferibili
a un singolo interessato (mediante cifratura o altre trasformazioni matematiche) può
essere considerato nel migliore dei casi una pseudonimizzazione”12. Più è ampio il
numero di soggetti a cui i dati si riferiscono, più è efficace il processo di
anonimizzazione.
11
EDPB, Linee guida n. 4/2020, punto 15, dove viene sottolineato che il test di ragionevolezza deve
tenere conto sia degli aspetti oggettivi (tempi, mezzi tecnici) sia di elementi di contesto che possono
variare caso per caso (rarità di un fenomeno, densità di popolazione, natura e volume dei dati). Se i dati
non superano tale test, non sono anonimizzati e quindi rientrano nel campo di applicazione del
Regolamento.
12
Ibidem. Punto 18.
13Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
Rispetto all’insieme dei dati personali, i dati personali relativi alla salute rientrano tra le
categorie particolari individuate dall’articolo 9 del GDPR che beneficiano di una
protezione aggiuntiva, che si traduce in limiti più stringenti alla possibilità di
trattamento.
Guardando alla disciplina sostanziale, il GDPR sancisce che il trattamento dei dati
personali è legittimo solo in presenza di una base giuridica tra quelle elencate
nell’articolo 6 e, nel caso delle categorie speciali di dati, nell’articolo 9 del
Regolamento. Occorre inoltre che venga rispettata una serie di principi e di regole, tra
cui in particolare il principio della minimizzazione del trattamento dei dati personali. Il
titolare del trattamento deve fornire all’interessato una chiara e precisa informativa
circa le finalità e le modalità del trattamento (ad esempio quali dati saranno trattati, da
chi e fino a quando), assicurare che l’interessato possa esercitare i propri diritti e
adottare una serie di misure organizzative sulla base del principio di accountability.
Per i trattamenti che, prevedendo l’uso di nuove tecnologie, possono presentare un
rischio elevato per i diritti e le libertà delle persone, l’articolo 35 del GDPR richiede che
il titolare del trattamento effettui, prima di procedere al trattamento stesso, una
valutazione di impatto sulla protezione dei dati personali. La valutazione di impatto, in
alcuni casi è obbligatoria: ad esempio quando il trattamento richiede una valutazione
sistematica e globale di aspetti relativi a persone fisiche basata su un trattamento
automatizzato sulla cui base si fondano decisioni che hanno effetti giuridici o incidono,
in modo analogo, significativamente sulle persone fisiche (paragrafo 2, lettera a)
ASSONIME - Riproduzione riservata
oppure quando il trattamento avviene su larga scala e ha ad oggetto categorie
particolari di dati, tra cui i dati relativi alla salute (paragrafo 2, lettera b).
3.3 Gli orientamenti della Commissione e dell’EDPB
L’applicazione delle regole europee qui brevemente ricordate va declinata in relazione
alle diverse funzionalità delle app utilizzate nel contesto dell’emergenza Covid-19. Gli
orientamenti della Commissione e dell’EDPB forniscono indicazioni per quanto
concerne, tra l’altro: l’identificazione del titolare del trattamento; i requisiti per garantire
che l’interessato mantenga il controllo sui propri dati personali; la base giuridica del
trattamento; l’identificazione della finalità del trattamento; la minimizzazione dei dati;
l’utilizzo dei dati relativi all’ubicazione.
a. Titolare del trattamento
14Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
Considerando che l’obiettivo delle app è il contrasto dell’epidemia e che i dati che
verranno trattati interessano gran parte della popolazione, la Commissione ritiene che il
titolare del trattamento dovrebbe essere l’autorità sanitaria nazionale o comunque un
soggetto che svolge un compito nell’interesse pubblico di tutela della salute.
L’EDPB precisa che se il trattamento coinvolge altri soggetti, ne devono essere definiti i
ruoli e le responsabilità, in particolare dovrà essere chiarito se operano come co-titolari
o responsabili del trattamento, e di ciò deve essere informato l’utente.
b. Controllo della persona sui propri dati personali
Per assicurare che la persona mantenga il controllo sui propri dati la Commissione
ritiene necessario che:
l’installazione dell’app sul dispositivo avvenga su base volontaria e non vi siano
conseguenze negative per la persona che decide di non scaricare/utilizzare
l’app;
qualora l’app abbia diverse funzionalità (ad esempio, informazione, controllo dei
sintomi, tracciamento dei contatti e allerta) queste funzionalità non vengano
raggruppate, in modo da consentire alla persona di esprimere separatamente il
proprio consenso per ciascuna funzionalità;
vengano fornite alle persone tutte le informazioni necessarie sul trattamento;
ASSONIME - Riproduzione riservata
qualsiasi limitazione dei diritti previsti dal GDPR e dalla direttiva e-privacy sia
conforme al quadro europeo, necessaria e proporzionata e prevista dalla
normativa;
le app siano disattivate al più tardi quando la pandemia sarà sotto controllo,
senza necessità di disinstallazione da parte dell’utente.
c. Base giuridica
La Commissione osserva che, in base alla direttiva e-privacy, l’uso di una app che va
a incidere sui diritti di riservatezza delle comunicazioni richiede un apposito intervento
normativo, che rispetti i principi di necessità e proporzionatezza rispetto al
perseguimento di ben definiti obiettivi.
Per la conservazione di informazioni sul dispositivo dell’utente o l’accesso a
informazioni ivi conservate l’articolo 5 della direttiva e-privacy richiede in alternativa:
15Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
i) il preventivo consenso dell’utente
ii) la stretta necessità della conservazione e/o dell’accesso all’informazione per il
funzionamento del servizio della società dell’informazione (in questo caso la
app) esplicitamente richiesto dall’utente (ad esempio, installato e attivato).
La Commissione sottolinea, al riguardo, che per le funzionalità di tracciamento dei
contatti e allerta occorre conservare sul dispositivo dell’utente anche informazioni (ad
esempio, identificativi pseudonimizzati dei contatti) non strettamente necessari per il
funzionamento tecnico della app. Pertanto, la Commissione ritiene che per queste
funzionalità occorra ottenere anche il consenso dell’utente. Il consenso deve essere
libero, specifico, esplicito, informato ed essere espresso mediante un’azione positiva (è
escluso il consenso tacito o l’inattività, ad esempio la mancata rimozione di un flag).
Per il trattamento dei dati personali, come anticipato, le possibili basi giuridiche sono
individuate nell’articolo 6 e, per i dati relativi alla salute, nell’articolo 9 del GDPR. In
particolare, tra le basi giuridiche utilizzabili per il trattamento dei dati relativi alla salute
vi sono il consenso esplicito dell’interessato (art. 9.2.a) e la necessità del trattamento
per motivi di interesse pubblico nel settore della sanità pubblica quali la protezione da
gravi minacce per la salute a carattere transfrontaliero, purché in questo caso vi sia
una normativa europea o nazionale che preveda misure appropriate e specifiche per
tutelare i diritti e le libertà dell’interessato (art. 9.2.i). La Commissione europea ritiene
che per le app di tracciamento e allerta, tenendo conto del possibile coinvolgimento di
dati relativi alla salute e delle circostanze della pandemia Covid-19, utilizzare come
ASSONIME - Riproduzione riservata
base giuridica un intervento normativo contribuisca alla certezza del diritto. La
normativa infatti può indicare chiaramente le finalità del trattamento, l’identità del
titolare e degli eventuali altri soggetti che hanno accesso ai dati e può prevedere
specifiche garanzie, contribuendo alla trasparenza e alla fiducia degli utenti rispetto al
funzionamento del sistema13.
d. Finalità del trattamento
Le finalità del trattamento devono essere determinate ed esplicite in modo da non
generare dubbi nell’interessato (GDPR, articolo 5, paragrafo 1, lettera b). Ad esempio,
la funzionalità “controllo sintomi” ha lo scopo di fornire alla persona la possibilità di
13
Come sottolineato nelle Linee guida dell’EDPB, per le app di controllo dei sintomi e di telemedicina la
base giuridica può essere la necessità del trattamento per finalità di assistenza sanitaria (art. 9.2.h). Se i
dati relativi alla salute vengono utilizzati per finalità di ricerca scientifica e statistica, la base giuridica è
l’articolo 9.2.j.
16Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
autovalutare, sulla base di una serie di domande, il proprio stato di salute e di darle
indicazioni su quando è necessario rivolgersi a un medico. La funzionalità di
“telemedicina” invece ha lo scopo di fornire una consulenza medica nel caso in cui la
persona ha effettivamente sviluppato i sintomi del contagio. Nel caso delle app di
tracciamento dei contatti e allerta, la Commissione suggerisce di specificare che la
finalità del trattamento è di “conservare i contatti delle persone che utilizzano
l’applicazione e che possono essere state esposte all’infezione da Covid-19 per
avvertirle che potrebbero essere state potenzialmente contagiate”.
Qualora si prevedesse di utilizzare i dati, opportunamente aggregati e anonimizzati,
anche per finalità statistiche o di ricerca scientifica, queste andrebbero indicate fin
dall’inizio nell’elenco delle finalità e indicate in modo chiaro agli utenti.
e. Minimizzazione dei dati
Nella fase di sviluppo di un’applicazione la Commissione ricorda che occorre rispettare
i principi della privacy by design e by default (protezione dei dati fin dalla progettazione
e per impostazione predefinita). Pertanto, bisognerà preferire la soluzione meno
invasiva della sfera privata e trattare solo i dati adeguati, pertinenti e non eccedenti
rispetto al perseguimento delle finalità del trattamento.
In particolare, per la funzionalità “informazione”, non vi è la necessità di trattare dati
personali.
ASSONIME - Riproduzione riservata
Le app che comprendono le funzionalità di “controllo sintomi” e “telemedicina”
comportano il trattamento di dati relativi alla salute. Sarà quindi necessario identificare
nella normativa nazionale i dati che possono essere trattati dalle autorità sanitarie.
La funzione di tracciamento dei contatti e allerta presuppone il trattamento di dati
personali raccolti tramite il dispositivo dell’utente. Sia la Commissione che l’EDPB
sottolineano che per il raggiungimento delle finalità non è necessario il tracciamento
della posizione dei singoli utenti, mediante sistemi di geolocalizzazione, ma è
sufficiente utilizzare dati di prossimità, che possono essere raccolti mediante
tecnologia Bluetooth a bassa energia (BLE).
I dati di prossimità dovrebbero essere generati e trattati solo se, sulla base delle
indicazioni delle autorità sanitarie, esiste un rischio reale di infezione, in funzione della
vicinanza e della durata del contatto. Inoltre, sempre in base al principio di
17Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
minimizzazione dei dati, la Commissione ritiene che per conseguire la finalità di contact
tracing non sia necessario trattare i dati relativi all’ora del contatto. Potrebbe semmai
essere utile conservare l’indicazione del giorno in cui vi è stato il contatto, al fine di
verificare se esso sia avvenuto quando la persona ha sviluppato i sintomi o al massimo
nelle 48 ore precedenti (la persona infetta è infatti contagiosa a partire da 48 ore prima
del manifestarsi dei sintomi).
I dati raccolti dalle app dovrebbero includere soltanto identificativi univoci e
pseudonimi, generati appositamente dall’applicazione. Durante la raccolta dei dati di
prossimità mediante il Bluetooth a bassa energia (BLE) è preferibile creare e
conservare identificativi utente temporanei (chiavi temporanee) che vendono
periodicamente modificati invece di conservare il vero identificativo del dispositivo.
Questa misura darebbe maggiore garanzia contro il rischio di intercettazioni e
tracciamento da parte di hacker, rendendo più difficile identificare le persone.
Tra le soluzioni decentrata e centralizzata, la Commissione ritiene la prima più
conforme al principio di minimizzazione. Le autorità in ogni caso dovrebbero avere
accesso agli identificativi pseudonimizzati solo dopo che un utente risultato positivo al
virus (con la conferma dell’autorità sanitaria) condivide i dati con l’autorità per
consentire di effettuare l’allerta.
L’EDPB precisa che la segnalazione da inviare agli utenti deve essere idonea a
mantenere la riservatezza circa l’identità del soggetto positivo al Covid-19.
ASSONIME - Riproduzione riservata
f. Ulteriori indicazioni sulle app di tracciamento e allerta
I dati di prossimità dovrebbero essere cancellati non appena risultano non più
necessari per allertare le persone (comunque non oltre un mese). Una conservazione
per periodi più lunghi a fini di monitoraggio o ricerca scientifica è consentito solo previa
anonimizzazione.
L’EDPB ritiene opportuno prevedere un meccanismo di richiamata per i soggetti che
ricevono l’alert, mettendo a disposizione delle persone un numero di telefono o un
canale di contatto che permetta di ricevere maggiori informazioni da parte di un agente
umano, evitando così il trattamento esclusivamente automatizzato (pur garantendo
sempre la non identificabilità dell’utente). Più in generale, l’EDPB sottolinea
l’importanza che tutti i processi, compresi gli algoritmi implementati dalle app per il
tracciamento dei contatti, si svolgano sotto la sorveglianza di personale qualificato al
fine di limitare il verificarsi di falsi positivi e negativi.
18Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
Al fine di garantire la trasparenza e la correttezza dei trattamenti, il codice sorgente
delle app deve essere reso pubblico e essere oggetto di riesame periodico da parte di
esperti indipendenti.
Le autorità per la protezione dei dati dovrebbero essere coinvolte e consultate nel
processo di sviluppo delle app e dovrebbero continuare a monitorarne l’utilizzo. In
particolare, per le app che comportano trattamento su larga scala di dati relativi alla
salute, occorre effettuare una valutazione preventiva di impatto sulla protezione dei
dati, conformemente a quanto previsto dal GDPR.
Il titolare del trattamento deve fornire informazioni chiare e inequivocabili sul link dove
scaricare l’applicazione ufficiale al fine di ridurre il rischio che inavvertitamente gli
utenti utilizzino applicazioni di terze parti, con minori tutele.
g. Utilizzo dei dati relativi all’ubicazione
Le linee guida dell’EDPB dedicano specifica attenzione all’utilizzo dei dati relativi
all’ubicazione che, come visto, non devono essere utilizzati nelle app di tracciamento.
Questi dati possono essere utili ai fini della modellizzazione della diffusione del virus e
per verificare l’efficacia complessiva delle misure di contenimento.
L’EDPB sottolinea che occorre sempre privilegiare il trattamento di dati anonimi
piuttosto che di dati personali. Per superare il test di ragionevolezza che consente di
qualificare i dati come anonimizzati, l’EDPB suggerisce di trattare insiemi di dati di
ASSONIME - Riproduzione riservata
ubicazione relativi a un’ampia serie di individui, nel loro complesso, e di utilizzare
tecniche di anonimizzazione con caratteristiche robuste, garantendo la trasparenza
circa la metodologia di anonimizzazione utilizzata.
4. Interoperabilità delle app di tracciamento degli Stati membri
La rete eHealth il 14 maggio ha pubblicato delle linee guida per assicurare
l’interoperabilità tra le app di tracciamento adottate dai diversi Stati membri. L’obiettivo
è di assicurare, dal punto di vista tecnico e organizzativo, che l’app approvata da uno
Stato sia in grado di dialogare con quella adottata da un diverso Stato membro, in
modo da consentire al cittadino di muoversi all’interno dell’Unione europea senza
dovere scaricare le diverse app nazionali.
19Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
Le esigenze di interoperabilità e di coordinamento riguardano in particolare:
l’individuazione dei contatti di prossimità rilevanti ai fini della trasmissione del virus; la
raccolta del dato di prossimità da parte dei dispositivi mobili; le modalità di conferma
della circostanza che un utente è positivo al test; il calcolo della soglia di rischio che
giustifica la trasmissione dell’allerta; l’effettivo funzionamento del meccanismo di
allerta; la trasmissione delle informazioni tra Stati membri.
Il 12 giugno sono stati pubblicati gli elementi fondamentali delle specifiche di
interoperabilità per le soluzioni “Covid+ Keys Driven”, ossia quelle decentrate in cui i
dati di prossimità restano sul dispositivo dell’utente e sono analizzati dallo stesso in
base alla segnalazione da parte del server centrale degli identificativi temporanei dei
soggetti che sono stati risultati positivi al test (Covid+ Keys).
Secondo i dati pubblicati dalla Commissione europea il 30 giugno, la maggior parte
degli Stati membri ha scelto il modello decentrato. Tra quelli che l’hanno già adottato, vi
sono Austria, Italia, Germania, Repubblica Ceca, Danimarca, Estonia Irlanda e
Polonia.
Solo Ungheria, Francia e Repubblica Slovacca hanno compiuto una scelta differente,
basata su un approccio centralizzato in base al quale il soggetto contagiato carica i dati
dei suoi contatti di prossimità (“exposed keys driven approach”) sul server centrale per
consentire l’invio dell’alert ai soggetti a rischio.
Le app che utilizzano approcci diversi tra loro (ad esempio, quella italiana
ASSONIME - Riproduzione riservata
decentralizzata e quella francese centralizzata) per ora non possono comunicare. Le
possibili soluzioni per assicurare anche in questi casi l’interoperabilità sono ancora in
fase di studio.
5. Il quadro nazionale e il sistema di allerta in Italia
5.1 Le regole generali sul trattamento dei dati relativi alla salute
Per il trattamento dei dati inclusi nelle categorie particolari di cui all’articolo 9 (tra cui i
dati relativi alla salute) il GDPR consente agli Stati membri di introdurre ulteriori
condizioni e limitazioni, rispetto a quelle previste dallo stesso GDPR.
In Italia, per il trattamento di questi dati per motivi di interesse pubblico, il decreto
legislativo n. 101/2018 ha previsto specifiche indicazioni in un’apposita norma (art. 2-
20Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
sexies del Codice privacy). Il trattamento di questi dati è ammesso soltanto se a livello
normativo sono specificati i tipi di dati che possono essere trattati, le operazioni
eseguibili, il motivo di interesse pubblico rilevante nonché le misure appropriate e
specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. Tra i motivi di
interesse pubblico rilevante, l’articolo 2-sexies indica le attività amministrative e
certificatorie correlate a attività di diagnosi, assistenza e terapia sanitaria (comma 2
lettera t), i compiti del Servizio sanitario nazionale e dei soggetti operanti in ambito
sanitario nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute
della popolazione, protezione civile, salvaguardia della vita e incolumità fisica (comma
2, lettera u) e la programmazione, gestione, controllo e valutazione dell’assistenza
sanitaria, inclusi i rapporti con i soggetti accreditati o convenzionati con il SSN (comma
2 lettera v).
L’articolo 2-septies del Codice privacy aggiunge che il trattamento dei dati relativi alla
salute deve avvenire in conformità alle misure di garanzia disposte dal Garante per la
protezione dei dati personali, ivi comprese tecniche di cifratura e di
pseudonomizzazione, misure di minimizzazione e specifiche modalità di accesso
selettivo ai dati. Per le finalità di prevenzione, diagnosi e cura le misure sono adottate
sentito il Ministro della salute che a tal fine acquisisce il parere del Consiglio superiore
di Sanità. In ogni caso i dati relativi alla salute non possono essere diffusi.
Quando il trattamento di dati personali è svolto per l’esecuzione di un compito di
interesse pubblico e presenta rischi elevati per i diritti e le libertà delle persone fisiche
ai sensi dell’articolo 35 del GDPR, il Garante può prescrivere al titolare del trattamento
ASSONIME - Riproduzione riservata
le misure e gli accorgimenti necessari a garanzia dell’interessato (articolo 2-
quinquiesdecies del Codice privacy).
5.2 La normativa sul trattamento dei dati personali nel contesto emergenziale
Fermo restando il quadro normativo generale, nella fase dell’emergenza sanitaria sono
state adottate alcune disposizioni ad hoc per il trattamento dei dati relativi alla salute
allo scopo di assicurare un più efficace scambio di informazioni tra i soggetti incaricati
della gestione della pandemia.
In particolare, l’articolo 17-bis del decreto legge 17 marzo 2020, n. 18 (Cura Italia)
prescrive che fino al termine dello stato di emergenza, per le finalità di interesse
pubblico di garantire la protezione dall’emergenza sanitaria mediante adeguate misure
di profilassi e di assicurare la diagnosi e l’assistenza sanitaria dei contagiati e la
gestione emergenziale del SSN, il trattamento di dati necessari a gestire l’emergenza
21Utilizzo delle applicazioni mobili nell’emergenza Covid-19 Circolare N. 15/2020
sanitaria può essere svolto da una serie di soggetti al fine di espletare le funzioni loro
attribuite14. Ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza
sanitaria, se indispensabile, tali dati possono essere comunicati altresì a ulteriori
soggetti pubblici o privati (ad esempio dirigenti scolastici o datori di lavoro). In ogni
caso il trattamento dei dati deve avvenire nel rispetto dei principi previsti dalla
normativa in materia di protezione dei dati personali.
L’articolo 17-bis prevede, inoltre, che nel contesto emergenziale l’affidamento di
specifici compiti e funzioni a soggetti incaricati dal titolare possa essere effettuato
anche in forma orale. Analoghe misure di semplificazione sono previste per informare
l’interessato circa le modalità del trattamento e i suoi diritti: l’informativa può essere
omessa o fornita in forma semplificata, mediante comunicazione orale15.
In conformità a quanto indicato nel parere del Garante per la protezione dei dati
personali, l’articolo 17-bis dispone che, al termine dello stato di emergenza, i soggetti
autorizzati a trattare i dati personali, compresi quelli relativi alla salute, devono adottare
idonee misure volte a ricondurre i trattamenti effettuati nel contesto dell’emergenza
nell’ambito delle ordinarie competenze e delle regole in tema di trattamento di dati
personali.
5.3 La normativa sul sistema nazionale di tracciamento e allerta tramite app
mobile
Come visto nel paragrafo precedente, la base giuridica su cui si fonda il trattamento
ASSONIME - Riproduzione riservata
necessario per l’esecuzione di un interesse pubblico deve essere stabilita da una
norma di legge che specifichi i tipi di dati che possono essere trattati, le operazioni
eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e
specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (articolo 9,
paragrafo 2, lettera j e articoli 2-ter e 2-sexies del Codice privacy).
14
L’articolo 17-bis fa riferimento, in particolare, ai soggetti che operano nel servizio nazionale di protezione
civile, ai soggetti attuatori di cui all’ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3
febbraio 2020, agli uffici del Ministero della Salute e dell’Istituto superiore della Sanità, alle strutture
pubbliche e private che operano nell’ambito del SSN e al personale delle forze di polizia e delle forze
armate tenuto a monitorare e garantire il rispetto delle misure di isolamento.
15
L’articolo 23 del GDPR prevede la possibilità per gli Stati membri di limitare, mediante misure legislative,
la portata di determinati diritti dell’interessato, tra cui il diritto a ricevere l’informativa, qualora necessario e
proporzionale per la salvaguardia di importanti obiettivi di interesse pubblico, quale ad esempio la sanità
pubblica (paragrafo 1, lettera e).
22Puoi anche leggere
