Applicazioni per il tracciamento dei contagi Covid-19 in rapporto al GDPR

Il nuovo contesto socio-economico creato dalla pandemia del Covid-19 è fenomeno noto a tutti e le conseguenze verranno portate avanti ancora per (almeno) qualche anno. Proprio per questo motivo è necessario comprendere come rapportarsi al fenomeno per poter stabilire una “convivenza pacifica”.

Uno di questi metodi risulta essere il monitoraggio del tracciamento dei contagi attraverso applicazioni mobile (le “App”), su base volontaria, che permettono di comprendere lo sviluppo e l’evoluzione che il virus potrà prendere. In relazione a tali App è opportuno e necessario, oltre che obbligatorio, confrontarsi con il GDPR e le relative disposizioni per poter garantire tutela alle persone, da un lato, e sicurezza pubblico-sanitaria, dall’altra.

Il primo intervento sul GDPR per il tracciamento è intervenuto grazie all’European Data Protection Board (EDPB) con le linee guida 04/2020 adottate il 21 aprile 2020 in vista dell’inizio della fase 2.

L’importanza di queste linee guida, riprese poi dal Garante nel relativo e conseguente parere (v. infra), riguarda, in primis, l’utilizzo dei dati relativi all’ubicazione degli utenti (gli “Interessati”).

In particolare, le linee guida dicono come tali dati potranno essere trattati anonimizzati, previa valutazione dell’idoneità delle misure di anonimizzazione implementate, senza particolari informative agli utenti e con la possibilità di comunicare a terzi tali dati. Al contrario, qualora tali dati permettano l’identificazione degli utenti si rientrerà nella definizione di dato personale e, quindi, bisognerà richiedere rispettare i principi sanciti dal GDPR con particolare riferimento ai seguenti:

  • Determinazione delle finalità;
  • Legittimità del trattamento, tra i quali requisiti riveste particolare importanza il consenso e all’interesse pubblico (requisito che non richiede il consenso);
  • Corretta informazione agli Interessati;
  • Tempistiche e modalità di conservazione;
  • Modalità di esercizio dei diritti degli Interessati.

Ai principi poco sopra menzionati si aggiungono i fondamentali principi (e concetti) di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) ex art. 25 GDPR: il primo è un’ulteriore espressione del principio di minimizzazione per cui, in fase di progettazione di un nuovo trattamento dati, dovranno essere identificati i dati meramente necessari al trattamento; il secondo, invece, impone il rispetto, in fase di implementazione del trattamento, degli ulteriori principi di necessità e proporzionalità.

Inoltre, l’EDPB dispone l’obbligo di una valutazione d’impatto ex art. 35 GDPR prima dell’implementazione di un’App in quanto questa, per sua natura, configura una probabilità di rischio elevato per gli Interessati e, oltretutto, raccomanda la pubblicazione degli esiti di tale valutazione.

Al termine delle linee guida, l’EDPB dispone, altresì, le raccomandazioni e i requisiti funzionali che le App devono seguire e devono adottare. In particolare, viene indicato che:

  • i dati trasmessi devono includere solo identificatori univoci e pseudonimi generati dall’App e specifici per questa;
  • le App possono seguire un approccio centralizzato o decentralizzato (ad esempio tramite Distributed Ledger Technology o blockchain), previa applicazione delle idonee misure di sicurezza;
  • ogni server coinvolto deve raccogliere soltanto la cronologia dei contatti o gli identificativi pseudonimizzati in caso di un Interessato risultato positivo al Covid-19;
  • eventuali ulteriori informazioni richieste dovranno ricevere il previo consenso dell’Interessato e rimanere nel dispositivo di questo.

Sulla scorta delle linee guida, nonché in vista dell’adozione dell’App per il tracciamento nel contesto italiano, la Presidenza del Consiglio dei Ministri ha richiesto al Garante per la Protezione dei Dati Personali un parere volto all’adozione e all’implementazione dell’App prescelta.

Il Garante, con il parere n. 79 del 29 aprile 2020, si è espresso in favore dell’adozione dell’App in quanto ha rilevato, oltre alla presenza di appropriata valutazione d’impatto effettuata dal Ministero della Salute (identificato quale titolare del trattamento), la presenza di diverse caratteristiche che garantiscono il rispetto del GDPR e, allo stesso tempo, la possibilità di monitorare l’evoluzione dei contagi e permettere l’adozione di misure volte al contrasto del Covid-19. In particolare, le caratteristiche positive sono le seguenti:

  • l’App verrà scaricata ed utilizzata dagli utenti su base volontaria;
  • vi sarà un apposito disposto normativo che identificherà i limiti di interesse pubblico per esigenze di sanità pubblica;
  • gli Interessati potranno, tramite la corretta applicazione del principio di trasparenza, essere correttamente informati sul trattamento tramite App;
  • lo scopo dell’App è ben determinato, oltre che esclusivo, ovvero il contenimento dei contagi;
  • applicazione del principio di minimizzazione;
  • presenza di misure tecniche che permettono l’esercizio dei diritti degli interessati;
  • l’App potrà essere interoperabile con altri sistemi di tracciamento; e, infine
  • viene garantita reciproco anonimato tra gli utenti dell’App.