Utilizzo delle applicazioni mobili nell'emergenza Covid-19: le regole europee e le scelte nazionali - Sipotra

Pagina creata da Greta Montanari
 
CONTINUA A LEGGERE
Utilizzo delle applicazioni mobili nell'emergenza Covid-19: le regole europee e le scelte nazionali - Sipotra
CIRCOLARE N. 15 DEL 9 LUGLIO 2020

                                                                        ATTIVITA’ D’IMPRESA E CONCORRENZA

                                    Utilizzo delle applicazioni mobili nell’emergenza Covid-19:
ASSONIME - Riproduzione riservata

                                               le regole europee e le scelte nazionali

                                                            www.assonime.it
Utilizzo delle applicazioni mobili nell’emergenza Covid-19               Circolare N. 15/2020

                                    ABSTRACT

                                    Questa circolare illustra le regole europee e nazionali relative all’utilizzo delle
                                    applicazioni mobili nell’emergenza Covid-19, con particolare attenzione alle app di
                                    tracciamento dei contatti e allerta. In questo contesto, sono analizzate le scelte
                                    compiute dall’Italia attraverso la predisposizione del sistema nazionale di allerta basato
                                    sulla app Immuni. Infine, vengono richiamate le indicazioni del Garante per la
                                    protezione dei dati personali riguardo alle condizioni in presenza delle quali è possibile
                                    utilizzare, oltre all’app Immuni, ulteriori applicazioni a fini di contenimento del contagio
                                    nei luoghi di lavoro.

                                    PROVVEDIMENTI COMMENTATI

                                    Commissione europea, Raccomandazione (UE) 2020/518, 8 aprile 2020

                                    eHealth Network, Common EU Toolbox for Member States, 15 aprile 2020

                                    Commissione europea, Comunicazione 2020/C 124 I/01, 17 aprile 2020

                                    Comitato europeo per la protezione dei dati, linee guida 4/2020, 21 aprile 2020

                                    Articolo 17- bis del decreto legge 17 maggio 2020, n. 18, convertito dalla legge 24
ASSONIME - Riproduzione riservata

                                    aprile 2020, n. 27

                                    Articolo 6 del decreto legge 30 aprile 2020, n. 28, convertito dalla legge 25 giugno
                                    2020, n. 70

                                    Circolare Ministero della Salute, 29 maggio 2020

                                    Garante per la protezione dei dati personali, provvedimento di autorizzazione al
                                    trattamento dei dati personali effettuato attraverso il sistema di allerta Covid19 –
                                    App Immuni, 1° giugno 2020

                                    e-Health Network, Interoperability Guidelines for approved contact tracing
                                    mobile applications, 13 maggio e 16 giugno 2020

                                                                                                                               2
Utilizzo delle applicazioni mobili nell’emergenza Covid-19              Circolare N. 15/2020

                                    INDICE

                                    Introduzione                                                                       p. 4

                                    1. La raccomandazione della Commissione per un approccio comune                    p. 6

                                    2. La guida pratica della rete e-Health per le app di tracciamento dei contatti    p. 9

                                    3. Riservatezza delle comunicazioni e tutela dei dati personali: le norme
                                       europee e gli orientamenti della Commissione e dell’EDPB                        p.11

                                    3.1 Le regole europee sull’e-privacy                                               p.12

                                    3.2 Le regole del GDPR                                                             p.13

                                    3.3 Gli orientamenti della Commissione e dell’EDPB                                 p.14

                                    4. Interoperabilità delle app di tracciamento degli Stati membri                   p.19

                                    5. Il quadro nazionale e il sistema di allerta in Italia                           p.20

                                    5.1 Le regole generali sul trattamento dei dati relativi alla salute               p.20

                                    5.2 La normativa sul trattamento dei dati personali nel contesto emergenziale      p.21

                                    5.3 La normativa sul sistema nazionale di tracciamento e allerta tramite
ASSONIME - Riproduzione riservata

                                       app mobile                                                                      p.22

                                    5.4 La messa a punto del Sistema di allerta e la app Immuni                        p.25

                                    5.5 Utilizzo di app in ambito aziendale                                            p.28

                                                                                                                              3
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                   Circolare N. 15/2020

                                    Introduzione

                                    Dopo la fase di lockdown dovuta all’emergenza Covid-19, la revoca progressiva delle
                                    misure di contenimento e il ritorno alle normali attività dipendono dalla capacità dei
                                    Governi di isolare i nuovi focolai, in particolare mediante il tracciamento dei contatti
                                    delle persone contagiate, test diagnostici su larga scala e adeguati servizi ospedalieri.

                                    In questo contesto, le tecnologie digitali e, in particolare, le applicazioni (app) installate
                                    su smartphone o su altri dispositivi mobili possono essere utili per vari scopi. Le app
                                    possono essere utilizzate a fini meramente informativi, per fornire ai cittadini indicazioni
                                    di carattere generale sui comportamenti da adottare, ma le funzionalità possono anche
                                    essere più avanzate.

                                    Attraverso apposite app, ad esempio, possono essere messi a disposizione degli utenti
                                    questionari di autovalutazione del proprio stato di salute mediante il controllo dei
                                    sintomi o possono essere prestati veri e propri servizi di telemedicina, creando un
                                    canale di comunicazione online tra il paziente e il medico. Inoltre, le applicazioni digitali
                                    possono essere utilizzate per raccogliere dati utili per comprendere l’evoluzione e la
                                    diffusione del virus, nonché valutare l’efficacia delle misure di distanziamento fisico.

                                    Tra le funzionalità delle app che hanno suscitato in questi mesi maggiore interesse a
                                    livello internazionale vi è quella di tracciare i contatti dell’utente e di allertare, su questa
                                    base, le persone che si sono trovate per un certo tempo in prossimità di una persona
                                    infetta o potenzialmente infetta. Questo strumento è potenzialmente molto utile per
ASSONIME - Riproduzione riservata

                                    isolare i focolai di contagio: nel momento in cui vengono informate di essere a rischio di
                                    contagio, le persone possono infatti comportarsi in modo da evitare comportamenti
                                    pericolosi per gli altri (auto-isolamento sino all’accertamento, mediante test
                                    diagnostico, che la persona non è contagiosa).

                                    In assenza delle tecnologie, la stessa attività di tracciamento dei contatti verrebbe
                                    svolta dal personale del servizio sanitario utilizzando il metodo tradizionale basato su
                                    interviste ai soggetti contagiati circa i loro contatti recenti. Questo metodo, tuttavia, ha
                                    un’elevata probabilità di portare risultati incompleti, dipendendo dalla memoria della
                                    persona e dalla sua capacità di identificare le persone a cui è stata vicina. Inoltre, il
                                    metodo di tracciamento tradizionale richiede tempi più lunghi e un maggiore dispendio
                                    di risorse rispetto a un sistema di tracciamento dei contatti basato sull’uso delle
                                    applicazioni digitali.

                                                                                                                                   4
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                     Circolare N. 15/2020

                                    Queste considerazioni hanno portato la maggior parte dei Paesi ad adottare app
                                    nazionali di tracciamento dei contatti e allerta. In Italia il Governo ha messo a
                                    disposizione la app Immuni, che dal 15 giugno 2020, dopo una fase di
                                    sperimentazione, è operativa in tutta Italia1.

                                    A seconda delle loro funzioni (informativa, di autovalutazione, di telemedicina, di analisi
                                    della mobilità, di tracciamento e allerta) e del modo in cui vengono realizzate, le
                                    applicazioni possono avere un maggiore o minore impatto sui diritti e sulle libertà delle
                                    persone, incluso il diritto alla vita privata e alla protezione dei dati personali. In
                                    particolare, per le app di tracciamento dei contatti realizzate con il sostegno dei
                                    Governi, il confronto internazionale mostra come nei diversi ordinamenti siano stati
                                    realizzati sistemi più o meno intrusivi, sia in termini di obbligatorietà o meno di utilizzare
                                    le applicazioni, sia in termini dei dati raccolti e del modo in cui vengono utilizzati 2.

                                    In Cina, ad esempio, le app per il tracciamento dei contatti raccolgono
                                    sistematicamente anche informazioni sulla localizzazione dell’utente e sui pagamenti
                                    effettuati e consentono tra l’altro il controllo del rispetto degli obblighi di quarantena.
                                    Negli ordinamenti europei, in genere, le app per il tracciamento dei contatti sono
                                    volontarie, hanno carattere temporaneo e sono predisposte in modo da non consentire
                                    un utilizzo di dati che vada oltre quanto necessario per consentire la funzione di allerta
                                    al soggetto entrato in contatto, con un significativo grado di rischio, con un contagiato.

                                    Negli Stati membri dell’Unione europea sinora la percentuale dei cittadini che hanno
                                    scaricato le app di tracciamento e alert messe a disposizione dei Governi restano
ASSONIME - Riproduzione riservata

                                    abbastanza contenute, ben al di sotto della quota (tra il 20% e il 60%) che secondo
                                    alcuni studi dovrebbe essere raggiunta per un sistema di tracciamento digitale
                                    veramente efficace3. La quota di utilizzo potrebbe crescere ancora in misura
                                    significativa se, anche attraverso un’efficace strategia di comunicazione, i cittadini
                                    acquistassero maggiore fiducia nell’assenza di effetti indesiderati dell’utilizzo delle app
                                    in termini di libertà personale.

                                    Questa circolare ricostruisce il quadro delle regole per l’utilizzo delle app
                                    nell’emergenza Covid-19 nel nostro ordinamento.

                                    1
                                        www.immuni.italia.it.
                                    2
                                        .https://ec.europa.eu/health/sites/health/files/ehealth/docs/mobileapps_202006progressreport_
                                    en.pdf, aggiornato al 30 giugno 2020, per l’Unione europea. Per il confronto internazionale, cfr.
                                    https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker.
                                    3
                                      Dai dati del Ministero dell’Innovazione risulta che al 7 luglio 2020 la app Immuni era stata
                                    scaricata da 4,1 milioni di utenti.

                                                                                                                                     5
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                               Circolare N. 15/2020

                                    La prima parte della circolare illustra le iniziative adottate a livello europeo: la
                                    raccomandazione della Commissione europea dell’8 aprile 2020 su un approccio
                                    comune da parte degli Stati membri per l’utilizzo delle app mobili e dei dati
                                    anonimizzati sulla mobilità (paragrafo 1); la guida pratica predisposta dalla rete delle
                                    autorità nazionali eHealth per le app di tracciamento dei contatti (paragrafo 2); gli
                                    orientamenti della Commissione europea e del Comitato europeo dei garanti privacy su
                                    come impostare le app in modo da rispettare le regole in tema di tutela dei dati
                                    personali e riservatezza delle comunicazioni (paragrafo 3); le linee guida della rete
                                    eHealth per l’interoperabilità delle app nazionali approvate (paragrafo 4).

                                    Nella seconda parte della circolare sono analizzate le misure normative adottate in
                                    Italia per il trattamento dei dati personali durante la fase emergenziale e le scelte
                                    compiute nella messa a punto di un sistema nazionale di tracciamento e allerta
                                    mediante la app Immuni. Vengono inoltre richiamate le indicazioni del Garante per la
                                    protezione dei dati personali riguardo alle condizioni in presenza delle quali è possibile
                                    utilizzare, oltre all’app Immuni, ulteriori applicazioni a fini di contenimento del contagio
                                    nei luoghi di lavoro (paragrafo 5).

                                    1. La raccomandazione della Commissione per un approccio comune

                                    Il primo atto formale adottato dalla Commissione europea sull’utilizzo delle tecnologia e
ASSONIME - Riproduzione riservata

                                    dei dati per contrastare la crisi Covid-19 consiste in una raccomandazione agli Stati
                                    membri, adottata l’8 aprile 2020 ai sensi dell’articolo 292 TFUE4.

                                    La Commissione osserva che la crisi sanitaria pubblica causata dalla pandemia pone
                                    l’Unione e gli Stati membri di fronte a una sfida senza precedenti per i sistemi sanitari,
                                    la stabilità economica, i valori e lo stile di vita e sottolinea che, per uscirne, occorre
                                    un’azione risoluta e coordinata.

                                    L’utilizzo delle tecnologie e dei dati digitali riveste un ruolo potenzialmente molto
                                    importante nella strategia di contrasto alla crisi dato che molte persone nell’Unione
                                    europea sono collegate a internet attraverso dispositivi mobili. Anche per l’utilizzo
                                    dell’ICT occorre un approccio comune: risposte frammentate e non interoperabili da

                                    4
                                      Raccomandazione (UE) 2020/518 della Commissione dell’8 aprile 2020 relativa a un pacchetto di
                                    strumenti comuni dell’Unione per l’uso della tecnologia e dei dati al fine di contrastare la crisi Covid-19 e
                                    uscirne, in particolare per quanto riguarda le applicazioni mobili e l’uso dei dati anonimizzati sulla mobilità.

                                                                                                                                                  6
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                   Circolare N. 15/2020

                                    parte dei vari Stati membri, infatti, ridurrebbero l’efficacia delle iniziative in termini di
                                    risultati e arrecherebbero al tempo stesso un grave pregiudizio al mercato unico.

                                    Nella raccomandazione la Commissione delinea un quadro comune per l’uso efficace
                                    dei mezzi digitali nel contrasto della crisi Covid-19, con particolare attenzione a due
                                    aspetti:

                                           a. un approccio paneuropeo per l’uso delle applicazioni mobili;

                                           b. un piano comune per l’utilizzo di dati anonimizzati e aggregati sulla mobilità.

                                    Gli Stati membri rappresentati nella rete di assistenza sanitaria online (e-Health) sono
                                    incaricati dell’attuazione della raccomandazione attraverso la definizione di un
                                    pacchetto di strumenti comuni (common EU toolbox).

                                    La messa a punto del toolbox prevede la collaborazione con i rappresentanti della
                                    Commissione europea e del Centro europeo per la prevenzione e il controllo delle
                                    malattie e il contributo del Comitato europeo per la sicurezza sanitaria, dell’organismo
                                    dei regolatori europei delle comunicazioni elettroniche (BEREC), del gruppo di
                                    cooperazione NIS5, dell’ENISA e dei gruppi di lavoro del Consiglio. Anche il comitato
                                    europeo dei garanti privacy (European Data Protection Board- EDPB) e il Garante
                                    europeo della protezione dei dati sono strettamente coinvolti nel processo.

                                    Nella raccomandazione, la Commissione sottolinea l’importanza che nella definizione
                                    del toolbox sia assicurato il rispetto dei diritti fondamentali, tra cui in particolare la tutela
ASSONIME - Riproduzione riservata

                                    della vita privata e la protezione dei dati personali, e che siano prevenuti gli utilizzi degli
                                    strumenti digitali che si traducono in forme di sorveglianza e stigmatizzazione.

                                    Pertanto, gli strumenti del toolbox devono:

                                            limitare il trattamento dei dati personali al contrasto della crisi Covid-19 e
                                             garantire che i dati personali non siano utilizzati per scopi diversi, ad esempio
                                             per verificare il rispetto della normativa da parte dei cittadini o per fini
                                             commerciali;

                                            stabilire opportune clausole di temporaneità in modo che il trattamento dei dati
                                             personali non vada al di là di ciò che è strettamente necessario per il contrasto
                                             della crisi Covid-19 e verificare periodicamente il persistere delle condizioni di
                                             necessità del trattamento;

                                    5
                                        Sulla direttiva NIS, cfr. circolare Assonime n. 30/2019.

                                                                                                                                   7
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                  Circolare N. 15/2020

                                         prevedere misure in modo da garantire che il trattamento, una volta che non sia
                                          più strettamente necessario, venga effettivamente soppresso e i dati personali
                                          raccolti vengano irreversibilmente cancellati salvo che, sulla base del parere di
                                          comitati etici e dei garanti della protezione dei dati personali, il loro valore
                                          scientifico al servizio dell’interesse pubblico sia superiore all’impatto sui diritti in
                                          questione, nel rispetto di adeguate garanzie.

                                    Il toolbox dovrà essere progressivamente messo a punto alla luce dell’esperienza e
                                    sarà condiviso con i partner internazionali dell’Unione europea per uno scambio di best
                                    practices.

                                    Le raccomandazioni per le app di tracciamento e allerta

                                    Per quanto riguarda l’elaborazione di app per finalità di allerta e prevenzione del
                                    contagio da Covid-19, la Commissione raccomanda di preferire le misure meno
                                    intrusive, evitando il trattamento dei dati relativi all’ubicazione o agli spostamenti delle
                                    persone, e di utilizzare ove possibile dati anonimi o in forma aggregata. La tecnologia
                                    utilizzata dovrebbe consentire di rilevare la prossimità del dispositivo, assicurare la
                                    cifratura e la sicurezza dei dati raccolti, la loro archiviazione sul dispositivo dell’utente e
                                    l’eventuale accesso da parte delle autorità sanitarie. Nel caso di infezione confermata,
                                    il funzionamento del sistema deve assicurare che la persona infettata rimanga
                                    anonima. Le impostazioni privacy delle applicazioni devono essere trasparenti in modo
                                    da garantire la fiducia degli utenti.
ASSONIME - Riproduzione riservata

                                    Le raccomandazioni per l’utilizzo dei dati sulla mobilità

                                    Per quanto riguarda invece l’utilizzo dei dati sulla mobilità delle persone per mappare e
                                    prevedere la diffusione del contagio, la Commissione sottolinea che deve trattarsi di
                                    dati anonimizzati e aggregati. La raccomandazione chiede in particolare che i dati di
                                    mobilità siano trattati dalle autorità sanitarie esclusivamente per comprendere le
                                    modalità future di diffusione del virus e gli effetti della crisi. Se vengono raccolti dati
                                    sulla mobilità, occorre adottare misure di salvaguardia per prevenire la de-
                                    anonimizzazione dei dati ed evitare la re-identificazione delle persone, in particolare
                                    qualora i dati anonimizzati possano essere correlati con altri dati.

                                    I dati raccolti dovranno essere cancellati in linea di massima dopo un periodo di 90
                                    giorni o comunque non oltre il momento in cui la pandemia sarà dichiarata sotto
                                    controllo e non potranno essere condivisi con terzi. Andrà inoltre assicurata la
                                    cancellazione immediata e irreversibile di tutti i dati trattati in modo accidentale che

                                                                                                                                  8
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                       Circolare N. 15/2020

                                    possano consentire di identificare le persone e la notifica alle autorità competenti in
                                    merito al trattamento accidentale dei dati e alla loro cancellazione.

                                    L’attuazione della raccomandazione

                                    Nella raccomandazione la Commissione ha preannunciato che il toolbox sull’approccio
                                    europeo per le app mobili di tracciamento e allerta sarebbe stato pubblicato in pochi
                                    giorni dalla rete eHealth6 e sarebbe stato seguito da orientamenti della stessa
                                    Commissione per precisare ulteriormente i principi in materia di protezione della vita
                                    privata e dei dati personali7.

                                    Gli Stati membri sono chiamati a riferire periodicamente alla Commissione sulle azioni
                                    intraprese e a rendere accessibili le misure applicate nei settori disciplinati dalla
                                    raccomandazione agli altri Stati membri e alla Commissione per una valutazione inter
                                    pares. Gli altri Stati e la Commissione hanno una settimana di tempo per presentare
                                    osservazioni, che lo Stato interessato deve tenere nella massima considerazione.

                                    La Commissione valuterà periodicamente i progressi compiuti e gli effetti della
                                    raccomandazione e, laddove necessario, fornirà ulteriori indicazioni agli Stati membri,
                                    ad esempio riguardo alla tempistica delle misure.

                                    2. La guida pratica della rete e-Health per le app di tracciamento dei contatti
ASSONIME - Riproduzione riservata

                                    Il 15 aprile 2020, dando seguito alla raccomandazione della Commissione, la rete delle
                                    autorità sanitarie nazionali e-Health ha adottato una guida pratica per gli Stati membri
                                    sulle app di tracciamento dei contatti, inclusa la funzione di allerta8.

                                    La guida, passate in rassegna le iniziative in tema di app di contact tracing già avviate
                                    nei singoli Stati membri e a livello globale, indica una serie di soluzioni che la rete delle
                                    autorità nazionali e-Health ritiene idonee a conciliare l’efficacia delle app a fini del
                                    contenimento del contagio con la tutela dei diritti e delle libertà degli individui.

                                    6
                                      Cfr. il successivo paragrafo 2 di questa circolare.
                                    7
                                      Cfr. il paragrafo 3 della circolare.
                                    8
                                      eHealth Network, Mobile applications to support contact tracing in the EU’s fight against COVID-19 –
                                    Common EU Toolbox for Member States, 15 aprile 2020, versione 1.0.

                                                                                                                                        9
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                  Circolare N. 15/2020

                                    La rete eHealth sottolinea anzitutto l’importanza di un approccio condiviso alla
                                    definizione dei contatti rilevanti in termini di rischio contagio (prossimità e durata del
                                    contatto) e alle procedure di allerta.

                                    Nel documento vengono menzionati sia i sistemi di trattamento dei dati decentrati (in
                                    cui i dati pseudonimizzati relativi ai contatti rimangono sul dispositivo dell’utente) sia i
                                    sistemi centralizzati, in cui i dati relativi ai contatti di una persona contagiata affluiscono
                                    a un server di backend presso le autorità sanitarie nazionali. Entrambe le soluzioni
                                    sono ritenute idonee a evitare la memorizzazione di dati personali non strettamente
                                    necessari. Rispetto alla soluzione decentrata, tuttavia, quella centralizzata comporta un
                                    più ampio trattamento dei dati relativi ai contatti (che vengono trasferiti dai dispositivi
                                    individuali al server centrale) e un maggiore rischio in termini di data breaches e
                                    attacchi cyber.

                                    La guida contiene indicazioni anche per quanto riguarda le funzionalità tecniche
                                    (indicatori di prestazione) e sottolinea l’importanza di sviluppare soluzioni interoperabili
                                    nel territorio dell’Unione europea. Nell’Allegato 1 sono elencati i requisiti in termini di
                                    cybersecurity elaborati dall’ENISA, che oggi svolge il ruolo di Agenzia dell’Unione
                                    europea per la sicurezza cibernetica. A ogni Stato membro è richiesto di effettuare una
                                    specifica valutazione dei rischi a livello nazionale per identificare e mitigare
                                    l’eventualità di incidenti.

                                    Per quanto riguarda il rispetto dei diritti fondamentali, la guida indica come requisiti
                                    imprescindibili il carattere volontario dell’utilizzo dell’app da parte degli utenti, l’impegno
ASSONIME - Riproduzione riservata

                                    dello Stato a disabilitare il sistema una volta superata l’emergenza connessa alla
                                    pandemia, la trasparenza sugli obiettivi e sul funzionamento delle app e il rispetto della
                                    normativa in tema di protezione dei dati personali e di riservatezza delle comunicazioni
                                    elettroniche. Viene ribadito che la raccolta di dati sulla localizzazione non è né
                                    necessaria né raccomandata ai fini del contact tracing.

                                    La rete e-Health prende atto che non tutta la popolazione utilizzerà le app per il
                                    tracciamento dei dati, in parte per il loro carattere volontario, in parte perché non tutti
                                    dispongono di uno smartphone o sono in grado di installare e utilizzare le app.
                                    Resteranno quindi, a complemento del sistema automatizzato di tracciamento dei
                                    contatti, i metodi tradizionali basati sulle domande ai soggetti contagiati, che
                                    inevitabilmente sono meno completi. Rispetto alle persone che non dispongono di un
                                    smartphone o non sono in grado di utilizzare la app, sono suggerite azioni
                                    complementari che possono comunque comportare l’utilizzo dell’ICT, quali il ricorso a
                                    dispositivi indossabili (ad esempio braccialetti).

                                                                                                                                 10
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                          Circolare N. 15/2020

                                    Per la governance delle app nazionali di contact tracing, il suggerimento è quello di
                                    affidare il ruolo centrale all’autorità sanitaria nazionale competente per la gestione
                                    dell’emergenza sanitaria.

                                    La rete eHealth sottolinea che per una maggiore diffusione e utilizzo dell’app occorre
                                    un’efficace campagna informativa verso i cittadini/utenti. Le strategie di comunicazione
                                    devono basarsi su informazioni chiare e trasparenti, prevenendo la diffusione di fake
                                    news e di informazioni ingannevoli o infondate sul funzionamento del sistema. Gli Stati
                                    membri sono anche chiamati a evitare la diffusione di app illegali o dannose
                                    (eventualmente mediante sistemi nazionali di valutazione/accreditamento delle app),
                                    ad assicurare la collaborazione tra le autorità sanitarie nazionali e a valutare l’efficacia
                                    delle app che hanno prescelto, anche mediante revisioni tecniche indipendenti.

                                    3. Riservatezza delle comunicazioni e tutela dei dati personali: le norme europee
                                    e gli orientamenti della Commissione e dell’EDPB

                                    Dando seguito a quanto annunciato nella raccomandazione, il 17 aprile la
                                    Commissione europea ha adottato una comunicazione in cui fornisce agli Stati membri
                                    orientamenti su come impostare e gestire le app mobili per il contrasto della pandemia
                                    nel rispetto del diritto europeo, in particolare del GDPR e della direttiva e-privacy9. Il 21
                                    aprile l’European Data Protection Board, che era stato sentito nella fase di
ASSONIME - Riproduzione riservata

                                    preparazione degli orientamenti della Commissione, ha a sua volta pubblicato linee
                                    guida sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei
                                    contatti10.

                                    Sia la comunicazione della Commissione che le linee guida dell’EDPB sono atti di soft
                                    law. Nella comunicazione la Commissione ricorda le disposizioni pertinenti del diritto
                                    europeo, fornendo la propria interpretazione (senza pregiudizio per il ruolo della Corte
                                    di giustizia, che è l’unica istituzione cui spetta fornire l’interpretazione autentica del
                                    diritto dell’Unione). Nelle linee guida, l’EDPB fornisce il punto di vista della rete delle
                                    autorità della protezione dei dati personali, cui spetta a livello nazionale l’applicazione

                                    9
                                       Comunicazione della Commissione del 17 aprile 2020, Orientamenti sulle app a sostegno della lotta alla
                                    pandemia di Covid-19 relativamente alla protezione dei dati, 2020/C 124/01.
                                    10
                                        Comitato europeo per la protezione dei dati (EDPB), Linee guida 04/2020 sull’uso dei dati di
                                    localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al
                                    Covid-19, 21 aprile 2020.

                                                                                                                                          11
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                   Circolare N. 15/2020

                                    del GDPR, sui criteri e le condizioni per l’utilizzo delle app in conformità a quanto
                                    previsto dal Regolamento.

                                    La premessa di entrambi i documenti è che le app si basano sul trattamento di dati che
                                    comporta potenzialmente un elevato rischio per i diritti e le libertà dell’individuo e che il
                                    diritto europeo pone importanti vincoli di cui tenere conto sia nella messa a punto delle
                                    app, sia nel loro utilizzo a livello nazionale.

                                    3.1 Le regole europee sull’e-privacy

                                    La direttiva 2002/58/CE (direttiva e-privacy) disciplina il trattamento dei dati personali e
                                    la tutela della vita privata nel settore delle comunicazioni elettroniche. In particolare, gli
                                    articoli 5, 6 e 9 fissano regole comuni a livello europeo sulla riservatezza delle
                                    comunicazioni e sul trattamento dei dati relativi al traffico nonché dei dati relativi
                                    all’ubicazione diversi dai dati di traffico.

                                    L’articolo 5, paragrafo 1, vieta l’ascolto, la captazione, la memorizzazione e altre forme
                                    di intercettazione o sorveglianza delle comunicazioni e dei relativi dati sul traffico senza
                                    il consenso dell’utente, con l’eccezione della memorizzazione tecnica necessaria alla
                                    trasmissione della comunicazione.

                                    L’articolo 5, paragrafo 3 prevede una specifica protezione per tutte le informazioni
                                    archiviate nell’apparecchiatura terminale dell’utente e da essa accessibili. In
                                    particolare, l’archiviazione e l’accesso alle informazioni archiviate nel dispositivo
                                    dell’utente sono consentiti solo se l’utente ha ricevuto informazioni chiare e complete,
ASSONIME - Riproduzione riservata

                                    secondo quanto previsto dal GDPR, e gli è stata offerta la possibilità di rifiutare il
                                    trattamento. Anche in questo caso sono fatti salvi la memorizzazione tecnica e
                                    l’accesso al solo fine di effettuare o facilitare la trasmissione della comunicazione o
                                    nella misura strettamente necessaria a fornire un servizio della società
                                    dell’informazione esplicitamente richiesto dall’utente.

                                    I dati sul traffico sono utilizzabili per finalità circoscritte, in particolare ai fini della
                                    fatturazione (art. 6). Gli altri dati da cui è possibile risalire all’ubicazione dell’utente
                                    possono essere trattati solo se sono resi anonimi o se l’utente ha dato il proprio
                                    consenso, nella misura e per la durata necessaria a fornire un servizio a valore
                                    aggiunto (art. 9).

                                    La direttiva e-privacy prevede, al contempo, all’articolo 15 la possibilità per gli Stati
                                    membri di limitare i diritti e gli obblighi di cui agli articoli 5, 6 e 9, mediante disposizioni
                                    legislative necessarie, opportune e proporzionate, all’interno di una società

                                                                                                                                  12
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                           Circolare N. 15/2020

                                    democratica, per la salvaguardia di una serie di obiettivi di interesse generale tra cui, in
                                    particolare, la sicurezza pubblica.

                                    3.2 Le regole del GDPR

                                    Il trattamento dei dati personali deve essere effettuato in conformità alla disciplina del
                                    regolamento generale per la protezione dei dati (UE) 2016/679 (GDPR).

                                    E’ utile ricordare che per dato personale si intende “qualsiasi informazione riguardante
                                    una persona fisica identificata o identificabile”. Una persona fisica è identificabile
                                    quando può essere individuata, direttamente o indirettamente, con riferimento a un
                                    identificativo come il nome, un numero, dati relativi all'ubicazione o un identificativo
                                    online (articolo 4, paragrafo 1, numero 1).

                                    I dati pseudonimizzati, cioè i dati che possono essere attribuiti al soggetto solo tramite
                                    l’utilizzo di informazioni aggiuntive (ad esempio l’uso di codici), sono anch’essi
                                    considerati dati personali (articolo 4, paragrafo 1, numero 5). Quindi, non è sufficiente
                                    utilizzare pseudonimi per escludere l’applicazione del GDPR: la pseudonimizzazione
                                    sicuramente risponde all’esigenza di minimizzare il trattamento dei dati (privacy by
                                    design), ma non elimina l’esigenza di tutela nella misura in cui resta possibile risalire,
                                    attraverso alcuni passaggi, al soggetto interessato.

                                    Soltanto i dati effettivamente anonimi, per i quali non è più possibile mediante sforzi
                                    ragionevoli identificare o rendere identificabile la persona alla quale si riferiscono, non
                                    sono considerati dati personali e pertanto non sono soggetti alle regole del GDPR11.
ASSONIME - Riproduzione riservata

                                    L’EDPB sottolinea che “i dati non possono essere resi anonimi isolatamente, il che
                                    significa che solo intere serie o interi insiemi di dati sono passibili di anonimizzazione.
                                    In tal senso, qualsiasi intervento su un dato isolato o su una serie storica di dati riferibili
                                    a un singolo interessato (mediante cifratura o altre trasformazioni matematiche) può
                                    essere considerato nel migliore dei casi una pseudonimizzazione”12. Più è ampio il
                                    numero di soggetti a cui i dati si riferiscono, più è efficace il processo di
                                    anonimizzazione.

                                    11
                                        EDPB, Linee guida n. 4/2020, punto 15, dove viene sottolineato che il test di ragionevolezza deve
                                    tenere conto sia degli aspetti oggettivi (tempi, mezzi tecnici) sia di elementi di contesto che possono
                                    variare caso per caso (rarità di un fenomeno, densità di popolazione, natura e volume dei dati). Se i dati
                                    non superano tale test, non sono anonimizzati e quindi rientrano nel campo di applicazione del
                                    Regolamento.
                                    12
                                       Ibidem. Punto 18.

                                                                                                                                           13
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                   Circolare N. 15/2020

                                    Rispetto all’insieme dei dati personali, i dati personali relativi alla salute rientrano tra le
                                    categorie particolari individuate dall’articolo 9 del GDPR che beneficiano di una
                                    protezione aggiuntiva, che si traduce in limiti più stringenti alla possibilità di
                                    trattamento.

                                    Guardando alla disciplina sostanziale, il GDPR sancisce che il trattamento dei dati
                                    personali è legittimo solo in presenza di una base giuridica tra quelle elencate
                                    nell’articolo 6 e, nel caso delle categorie speciali di dati, nell’articolo 9 del
                                    Regolamento. Occorre inoltre che venga rispettata una serie di principi e di regole, tra
                                    cui in particolare il principio della minimizzazione del trattamento dei dati personali. Il
                                    titolare del trattamento deve fornire all’interessato una chiara e precisa informativa
                                    circa le finalità e le modalità del trattamento (ad esempio quali dati saranno trattati, da
                                    chi e fino a quando), assicurare che l’interessato possa esercitare i propri diritti e
                                    adottare una serie di misure organizzative sulla base del principio di accountability.

                                    Per i trattamenti che, prevedendo l’uso di nuove tecnologie, possono presentare un
                                    rischio elevato per i diritti e le libertà delle persone, l’articolo 35 del GDPR richiede che
                                    il titolare del trattamento effettui, prima di procedere al trattamento stesso, una
                                    valutazione di impatto sulla protezione dei dati personali. La valutazione di impatto, in
                                    alcuni casi è obbligatoria: ad esempio quando il trattamento richiede una valutazione
                                    sistematica e globale di aspetti relativi a persone fisiche basata su un trattamento
                                    automatizzato sulla cui base si fondano decisioni che hanno effetti giuridici o incidono,
                                    in modo analogo, significativamente sulle persone fisiche (paragrafo 2, lettera a)
ASSONIME - Riproduzione riservata

                                    oppure quando il trattamento avviene su larga scala e ha ad oggetto categorie
                                    particolari di dati, tra cui i dati relativi alla salute (paragrafo 2, lettera b).

                                    3.3 Gli orientamenti della Commissione e dell’EDPB

                                    L’applicazione delle regole europee qui brevemente ricordate va declinata in relazione
                                    alle diverse funzionalità delle app utilizzate nel contesto dell’emergenza Covid-19. Gli
                                    orientamenti della Commissione e dell’EDPB forniscono indicazioni per quanto
                                    concerne, tra l’altro: l’identificazione del titolare del trattamento; i requisiti per garantire
                                    che l’interessato mantenga il controllo sui propri dati personali; la base giuridica del
                                    trattamento; l’identificazione della finalità del trattamento; la minimizzazione dei dati;
                                    l’utilizzo dei dati relativi all’ubicazione.

                                        a. Titolare del trattamento

                                                                                                                                  14
Utilizzo delle applicazioni mobili nell’emergenza Covid-19               Circolare N. 15/2020

                                    Considerando che l’obiettivo delle app è il contrasto dell’epidemia e che i dati che
                                    verranno trattati interessano gran parte della popolazione, la Commissione ritiene che il
                                    titolare del trattamento dovrebbe essere l’autorità sanitaria nazionale o comunque un
                                    soggetto che svolge un compito nell’interesse pubblico di tutela della salute.

                                    L’EDPB precisa che se il trattamento coinvolge altri soggetti, ne devono essere definiti i
                                    ruoli e le responsabilità, in particolare dovrà essere chiarito se operano come co-titolari
                                    o responsabili del trattamento, e di ciò deve essere informato l’utente.

                                        b. Controllo della persona sui propri dati personali

                                    Per assicurare che la persona mantenga il controllo sui propri dati la Commissione
                                    ritiene necessario che:

                                          l’installazione dell’app sul dispositivo avvenga su base volontaria e non vi siano
                                             conseguenze negative per la persona che decide di non scaricare/utilizzare
                                             l’app;

                                          qualora l’app abbia diverse funzionalità (ad esempio, informazione, controllo dei
                                            sintomi, tracciamento dei contatti e allerta) queste funzionalità non vengano
                                            raggruppate, in modo da consentire alla persona di esprimere separatamente il
                                            proprio consenso per ciascuna funzionalità;

                                          vengano fornite alle persone tutte le informazioni necessarie sul trattamento;
ASSONIME - Riproduzione riservata

                                          qualsiasi limitazione dei diritti previsti dal GDPR e dalla direttiva e-privacy sia
                                            conforme al quadro europeo, necessaria e proporzionata e prevista dalla
                                            normativa;

                                          le app siano disattivate al più tardi quando la pandemia sarà sotto controllo,
                                            senza necessità di disinstallazione da parte dell’utente.

                                        c. Base giuridica

                                    La Commissione osserva che, in base alla direttiva e-privacy, l’uso di una app che va
                                    a incidere sui diritti di riservatezza delle comunicazioni richiede un apposito intervento
                                    normativo, che rispetti i principi di necessità e proporzionatezza rispetto al
                                    perseguimento di ben definiti obiettivi.

                                    Per la conservazione di informazioni sul dispositivo dell’utente o l’accesso a
                                    informazioni ivi conservate l’articolo 5 della direttiva e-privacy richiede in alternativa:

                                                                                                                              15
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                                 Circolare N. 15/2020

                                         i) il preventivo consenso dell’utente
                                         ii) la stretta necessità della conservazione e/o dell’accesso all’informazione per il
                                                 funzionamento del servizio della società dell’informazione (in questo caso la
                                                 app) esplicitamente richiesto dall’utente (ad esempio, installato e attivato).

                                    La Commissione sottolinea, al riguardo, che per le funzionalità di tracciamento dei
                                    contatti e allerta occorre conservare sul dispositivo dell’utente anche informazioni (ad
                                    esempio, identificativi pseudonimizzati dei contatti) non strettamente necessari per il
                                    funzionamento tecnico della app. Pertanto, la Commissione ritiene che per queste
                                    funzionalità occorra ottenere anche il consenso dell’utente. Il consenso deve essere
                                    libero, specifico, esplicito, informato ed essere espresso mediante un’azione positiva (è
                                    escluso il consenso tacito o l’inattività, ad esempio la mancata rimozione di un flag).

                                    Per il trattamento dei dati personali, come anticipato, le possibili basi giuridiche sono
                                    individuate nell’articolo 6 e, per i dati relativi alla salute, nell’articolo 9 del GDPR. In
                                    particolare, tra le basi giuridiche utilizzabili per il trattamento dei dati relativi alla salute
                                    vi sono il consenso esplicito dell’interessato (art. 9.2.a) e la necessità del trattamento
                                    per motivi di interesse pubblico nel settore della sanità pubblica quali la protezione da
                                    gravi minacce per la salute a carattere transfrontaliero, purché in questo caso vi sia
                                    una normativa europea o nazionale che preveda misure appropriate e specifiche per
                                    tutelare i diritti e le libertà dell’interessato (art. 9.2.i). La Commissione europea ritiene
                                    che per le app di tracciamento e allerta, tenendo conto del possibile coinvolgimento di
                                    dati relativi alla salute e delle circostanze della pandemia Covid-19, utilizzare come
ASSONIME - Riproduzione riservata

                                    base giuridica un intervento normativo contribuisca alla certezza del diritto. La
                                    normativa infatti può indicare chiaramente le finalità del trattamento, l’identità del
                                    titolare e degli eventuali altri soggetti che hanno accesso ai dati e può prevedere
                                    specifiche garanzie, contribuendo alla trasparenza e alla fiducia degli utenti rispetto al
                                    funzionamento del sistema13.

                                         d. Finalità del trattamento

                                    Le finalità del trattamento devono essere determinate ed esplicite in modo da non
                                    generare dubbi nell’interessato (GDPR, articolo 5, paragrafo 1, lettera b). Ad esempio,
                                    la funzionalità “controllo sintomi” ha lo scopo di fornire alla persona la possibilità di

                                    13
                                       Come sottolineato nelle Linee guida dell’EDPB, per le app di controllo dei sintomi e di telemedicina la
                                    base giuridica può essere la necessità del trattamento per finalità di assistenza sanitaria (art. 9.2.h). Se i
                                    dati relativi alla salute vengono utilizzati per finalità di ricerca scientifica e statistica, la base giuridica è
                                    l’articolo 9.2.j.

                                                                                                                                                   16
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                Circolare N. 15/2020

                                    autovalutare, sulla base di una serie di domande, il proprio stato di salute e di darle
                                    indicazioni su quando è necessario rivolgersi a un medico. La funzionalità di
                                    “telemedicina” invece ha lo scopo di fornire una consulenza medica nel caso in cui la
                                    persona ha effettivamente sviluppato i sintomi del contagio. Nel caso delle app di
                                    tracciamento dei contatti e allerta, la Commissione suggerisce di specificare che la
                                    finalità del trattamento è di “conservare i contatti delle persone che utilizzano
                                    l’applicazione e che possono essere state esposte all’infezione da Covid-19 per
                                    avvertirle che potrebbero essere state potenzialmente contagiate”.

                                    Qualora si prevedesse di utilizzare i dati, opportunamente aggregati e anonimizzati,
                                    anche per finalità statistiche o di ricerca scientifica, queste andrebbero indicate fin
                                    dall’inizio nell’elenco delle finalità e indicate in modo chiaro agli utenti.

                                        e. Minimizzazione dei dati

                                    Nella fase di sviluppo di un’applicazione la Commissione ricorda che occorre rispettare
                                    i principi della privacy by design e by default (protezione dei dati fin dalla progettazione
                                    e per impostazione predefinita). Pertanto, bisognerà preferire la soluzione meno
                                    invasiva della sfera privata e trattare solo i dati adeguati, pertinenti e non eccedenti
                                    rispetto al perseguimento delle finalità del trattamento.

                                    In particolare, per la funzionalità “informazione”, non vi è la necessità di trattare dati
                                    personali.
ASSONIME - Riproduzione riservata

                                    Le app che comprendono le funzionalità di “controllo sintomi” e “telemedicina”
                                    comportano il trattamento di dati relativi alla salute. Sarà quindi necessario identificare
                                    nella normativa nazionale i dati che possono essere trattati dalle autorità sanitarie.

                                    La funzione di tracciamento dei contatti e allerta presuppone il trattamento di dati
                                    personali raccolti tramite il dispositivo dell’utente. Sia la Commissione che l’EDPB
                                    sottolineano che per il raggiungimento delle finalità non è necessario il tracciamento
                                    della posizione dei singoli utenti, mediante sistemi di geolocalizzazione, ma è
                                    sufficiente utilizzare dati di prossimità, che possono essere raccolti mediante
                                    tecnologia Bluetooth a bassa energia (BLE).

                                    I dati di prossimità dovrebbero essere generati e trattati solo se, sulla base delle
                                    indicazioni delle autorità sanitarie, esiste un rischio reale di infezione, in funzione della
                                    vicinanza e della durata del contatto. Inoltre, sempre in base al principio di

                                                                                                                               17
Utilizzo delle applicazioni mobili nell’emergenza Covid-19               Circolare N. 15/2020

                                    minimizzazione dei dati, la Commissione ritiene che per conseguire la finalità di contact
                                    tracing non sia necessario trattare i dati relativi all’ora del contatto. Potrebbe semmai
                                    essere utile conservare l’indicazione del giorno in cui vi è stato il contatto, al fine di
                                    verificare se esso sia avvenuto quando la persona ha sviluppato i sintomi o al massimo
                                    nelle 48 ore precedenti (la persona infetta è infatti contagiosa a partire da 48 ore prima
                                    del manifestarsi dei sintomi).

                                    I dati raccolti dalle app dovrebbero includere soltanto identificativi univoci e
                                    pseudonimi, generati appositamente dall’applicazione. Durante la raccolta dei dati di
                                    prossimità mediante il Bluetooth a bassa energia (BLE) è preferibile creare e
                                    conservare identificativi utente temporanei (chiavi temporanee) che vendono
                                    periodicamente modificati invece di conservare il vero identificativo del dispositivo.
                                    Questa misura darebbe maggiore garanzia contro il rischio di intercettazioni e
                                    tracciamento da parte di hacker, rendendo più difficile identificare le persone.

                                    Tra le soluzioni decentrata e centralizzata, la Commissione ritiene la prima più
                                    conforme al principio di minimizzazione. Le autorità in ogni caso dovrebbero avere
                                    accesso agli identificativi pseudonimizzati solo dopo che un utente risultato positivo al
                                    virus (con la conferma dell’autorità sanitaria) condivide i dati con l’autorità per
                                    consentire di effettuare l’allerta.

                                    L’EDPB precisa che la segnalazione da inviare agli utenti deve essere idonea a
                                    mantenere la riservatezza circa l’identità del soggetto positivo al Covid-19.
ASSONIME - Riproduzione riservata

                                        f.   Ulteriori indicazioni sulle app di tracciamento e allerta

                                    I dati di prossimità dovrebbero essere cancellati non appena risultano non più
                                    necessari per allertare le persone (comunque non oltre un mese). Una conservazione
                                    per periodi più lunghi a fini di monitoraggio o ricerca scientifica è consentito solo previa
                                    anonimizzazione.

                                    L’EDPB ritiene opportuno prevedere un meccanismo di richiamata per i soggetti che
                                    ricevono l’alert, mettendo a disposizione delle persone un numero di telefono o un
                                    canale di contatto che permetta di ricevere maggiori informazioni da parte di un agente
                                    umano, evitando così il trattamento esclusivamente automatizzato (pur garantendo
                                    sempre la non identificabilità dell’utente). Più in generale, l’EDPB sottolinea
                                    l’importanza che tutti i processi, compresi gli algoritmi implementati dalle app per il
                                    tracciamento dei contatti, si svolgano sotto la sorveglianza di personale qualificato al
                                    fine di limitare il verificarsi di falsi positivi e negativi.

                                                                                                                              18
Utilizzo delle applicazioni mobili nell’emergenza Covid-19               Circolare N. 15/2020

                                    Al fine di garantire la trasparenza e la correttezza dei trattamenti, il codice sorgente
                                    delle app deve essere reso pubblico e essere oggetto di riesame periodico da parte di
                                    esperti indipendenti.

                                    Le autorità per la protezione dei dati dovrebbero essere coinvolte e consultate nel
                                    processo di sviluppo delle app e dovrebbero continuare a monitorarne l’utilizzo. In
                                    particolare, per le app che comportano trattamento su larga scala di dati relativi alla
                                    salute, occorre effettuare una valutazione preventiva di impatto sulla protezione dei
                                    dati, conformemente a quanto previsto dal GDPR.

                                    Il titolare del trattamento deve fornire informazioni chiare e inequivocabili sul link dove
                                    scaricare l’applicazione ufficiale al fine di ridurre il rischio che inavvertitamente gli
                                    utenti utilizzino applicazioni di terze parti, con minori tutele.

                                        g. Utilizzo dei dati relativi all’ubicazione

                                    Le linee guida dell’EDPB dedicano specifica attenzione all’utilizzo dei dati relativi
                                    all’ubicazione che, come visto, non devono essere utilizzati nelle app di tracciamento.
                                    Questi dati possono essere utili ai fini della modellizzazione della diffusione del virus e
                                    per verificare l’efficacia complessiva delle misure di contenimento.

                                    L’EDPB sottolinea che occorre sempre privilegiare il trattamento di dati anonimi
                                    piuttosto che di dati personali. Per superare il test di ragionevolezza che consente di
                                    qualificare i dati come anonimizzati, l’EDPB suggerisce di trattare insiemi di dati di
ASSONIME - Riproduzione riservata

                                    ubicazione relativi a un’ampia serie di individui, nel loro complesso, e di utilizzare
                                    tecniche di anonimizzazione con caratteristiche robuste, garantendo la trasparenza
                                    circa la metodologia di anonimizzazione utilizzata.

                                    4. Interoperabilità delle app di tracciamento degli Stati membri

                                    La rete eHealth il 14 maggio ha pubblicato delle linee guida per assicurare
                                    l’interoperabilità tra le app di tracciamento adottate dai diversi Stati membri. L’obiettivo
                                    è di assicurare, dal punto di vista tecnico e organizzativo, che l’app approvata da uno
                                    Stato sia in grado di dialogare con quella adottata da un diverso Stato membro, in
                                    modo da consentire al cittadino di muoversi all’interno dell’Unione europea senza
                                    dovere scaricare le diverse app nazionali.

                                                                                                                              19
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                   Circolare N. 15/2020

                                    Le esigenze di interoperabilità e di coordinamento riguardano in particolare:
                                    l’individuazione dei contatti di prossimità rilevanti ai fini della trasmissione del virus; la
                                    raccolta del dato di prossimità da parte dei dispositivi mobili; le modalità di conferma
                                    della circostanza che un utente è positivo al test; il calcolo della soglia di rischio che
                                    giustifica la trasmissione dell’allerta; l’effettivo funzionamento del meccanismo di
                                    allerta; la trasmissione delle informazioni tra Stati membri.

                                    Il 12 giugno sono stati pubblicati gli elementi fondamentali delle specifiche di
                                    interoperabilità per le soluzioni “Covid+ Keys Driven”, ossia quelle decentrate in cui i
                                    dati di prossimità restano sul dispositivo dell’utente e sono analizzati dallo stesso in
                                    base alla segnalazione da parte del server centrale degli identificativi temporanei dei
                                    soggetti che sono stati risultati positivi al test (Covid+ Keys).

                                    Secondo i dati pubblicati dalla Commissione europea il 30 giugno, la maggior parte
                                    degli Stati membri ha scelto il modello decentrato. Tra quelli che l’hanno già adottato, vi
                                    sono Austria, Italia, Germania, Repubblica Ceca, Danimarca, Estonia Irlanda e
                                    Polonia.

                                    Solo Ungheria, Francia e Repubblica Slovacca hanno compiuto una scelta differente,
                                    basata su un approccio centralizzato in base al quale il soggetto contagiato carica i dati
                                    dei suoi contatti di prossimità (“exposed keys driven approach”) sul server centrale per
                                    consentire l’invio dell’alert ai soggetti a rischio.

                                    Le app che utilizzano approcci diversi tra loro (ad esempio, quella italiana
ASSONIME - Riproduzione riservata

                                    decentralizzata e quella francese centralizzata) per ora non possono comunicare. Le
                                    possibili soluzioni per assicurare anche in questi casi l’interoperabilità sono ancora in
                                    fase di studio.

                                    5. Il quadro nazionale e il sistema di allerta in Italia

                                    5.1 Le regole generali sul trattamento dei dati relativi alla salute

                                    Per il trattamento dei dati inclusi nelle categorie particolari di cui all’articolo 9 (tra cui i
                                    dati relativi alla salute) il GDPR consente agli Stati membri di introdurre ulteriori
                                    condizioni e limitazioni, rispetto a quelle previste dallo stesso GDPR.

                                    In Italia, per il trattamento di questi dati per motivi di interesse pubblico, il decreto
                                    legislativo n. 101/2018 ha previsto specifiche indicazioni in un’apposita norma (art. 2-

                                                                                                                                  20
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                   Circolare N. 15/2020

                                    sexies del Codice privacy). Il trattamento di questi dati è ammesso soltanto se a livello
                                    normativo sono specificati i tipi di dati che possono essere trattati, le operazioni
                                    eseguibili, il motivo di interesse pubblico rilevante nonché le misure appropriate e
                                    specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. Tra i motivi di
                                    interesse pubblico rilevante, l’articolo 2-sexies indica le attività amministrative e
                                    certificatorie correlate a attività di diagnosi, assistenza e terapia sanitaria (comma 2
                                    lettera t), i compiti del Servizio sanitario nazionale e dei soggetti operanti in ambito
                                    sanitario nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute
                                    della popolazione, protezione civile, salvaguardia della vita e incolumità fisica (comma
                                    2, lettera u) e la programmazione, gestione, controllo e valutazione dell’assistenza
                                    sanitaria, inclusi i rapporti con i soggetti accreditati o convenzionati con il SSN (comma
                                    2 lettera v).

                                    L’articolo 2-septies del Codice privacy aggiunge che il trattamento dei dati relativi alla
                                    salute deve avvenire in conformità alle misure di garanzia disposte dal Garante per la
                                    protezione dei dati personali, ivi comprese tecniche di cifratura e di
                                    pseudonomizzazione, misure di minimizzazione e specifiche modalità di accesso
                                    selettivo ai dati. Per le finalità di prevenzione, diagnosi e cura le misure sono adottate
                                    sentito il Ministro della salute che a tal fine acquisisce il parere del Consiglio superiore
                                    di Sanità. In ogni caso i dati relativi alla salute non possono essere diffusi.

                                    Quando il trattamento di dati personali è svolto per l’esecuzione di un compito di
                                    interesse pubblico e presenta rischi elevati per i diritti e le libertà delle persone fisiche
                                    ai sensi dell’articolo 35 del GDPR, il Garante può prescrivere al titolare del trattamento
ASSONIME - Riproduzione riservata

                                    le misure e gli accorgimenti necessari a garanzia dell’interessato (articolo 2-
                                    quinquiesdecies del Codice privacy).

                                    5.2 La normativa sul trattamento dei dati personali nel contesto emergenziale

                                    Fermo restando il quadro normativo generale, nella fase dell’emergenza sanitaria sono
                                    state adottate alcune disposizioni ad hoc per il trattamento dei dati relativi alla salute
                                    allo scopo di assicurare un più efficace scambio di informazioni tra i soggetti incaricati
                                    della gestione della pandemia.

                                    In particolare, l’articolo 17-bis del decreto legge 17 marzo 2020, n. 18 (Cura Italia)
                                    prescrive che fino al termine dello stato di emergenza, per le finalità di interesse
                                    pubblico di garantire la protezione dall’emergenza sanitaria mediante adeguate misure
                                    di profilassi e di assicurare la diagnosi e l’assistenza sanitaria dei contagiati e la
                                    gestione emergenziale del SSN, il trattamento di dati necessari a gestire l’emergenza

                                                                                                                                  21
Utilizzo delle applicazioni mobili nell’emergenza Covid-19                                   Circolare N. 15/2020

                                    sanitaria può essere svolto da una serie di soggetti al fine di espletare le funzioni loro
                                    attribuite14. Ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza
                                    sanitaria, se indispensabile, tali dati possono essere comunicati altresì a ulteriori
                                    soggetti pubblici o privati (ad esempio dirigenti scolastici o datori di lavoro). In ogni
                                    caso il trattamento dei dati deve avvenire nel rispetto dei principi previsti dalla
                                    normativa in materia di protezione dei dati personali.

                                    L’articolo 17-bis prevede, inoltre, che nel contesto emergenziale l’affidamento di
                                    specifici compiti e funzioni a soggetti incaricati dal titolare possa essere effettuato
                                    anche in forma orale. Analoghe misure di semplificazione sono previste per informare
                                    l’interessato circa le modalità del trattamento e i suoi diritti: l’informativa può essere
                                    omessa o fornita in forma semplificata, mediante comunicazione orale15.

                                    In conformità a quanto indicato nel parere del Garante per la protezione dei dati
                                    personali, l’articolo 17-bis dispone che, al termine dello stato di emergenza, i soggetti
                                    autorizzati a trattare i dati personali, compresi quelli relativi alla salute, devono adottare
                                    idonee misure volte a ricondurre i trattamenti effettuati nel contesto dell’emergenza
                                    nell’ambito delle ordinarie competenze e delle regole in tema di trattamento di dati
                                    personali.

                                    5.3 La normativa sul sistema nazionale di tracciamento e allerta tramite app
                                    mobile

                                    Come visto nel paragrafo precedente, la base giuridica su cui si fonda il trattamento
ASSONIME - Riproduzione riservata

                                    necessario per l’esecuzione di un interesse pubblico deve essere stabilita da una
                                    norma di legge che specifichi i tipi di dati che possono essere trattati, le operazioni
                                    eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e
                                    specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (articolo 9,
                                    paragrafo 2, lettera j e articoli 2-ter e 2-sexies del Codice privacy).

                                    14
                                       L’articolo 17-bis fa riferimento, in particolare, ai soggetti che operano nel servizio nazionale di protezione
                                    civile, ai soggetti attuatori di cui all’ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3
                                    febbraio 2020, agli uffici del Ministero della Salute e dell’Istituto superiore della Sanità, alle strutture
                                    pubbliche e private che operano nell’ambito del SSN e al personale delle forze di polizia e delle forze
                                    armate tenuto a monitorare e garantire il rispetto delle misure di isolamento.
                                    15
                                       L’articolo 23 del GDPR prevede la possibilità per gli Stati membri di limitare, mediante misure legislative,
                                    la portata di determinati diritti dell’interessato, tra cui il diritto a ricevere l’informativa, qualora necessario e
                                    proporzionale per la salvaguardia di importanti obiettivi di interesse pubblico, quale ad esempio la sanità
                                    pubblica (paragrafo 1, lettera e).

                                                                                                                                                      22
Puoi anche leggere