In data 8 aprile 2020 si è tenuta l’audizione informale del presidente dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), Antonello Soro, alla Camera dei Deputati sull’uso delle nuove tecnologie e della rete per contrastare la diffusione del COVID-19.

In particolare, l’intervento del Garante Privacy si è concentrato sui seguenti aspetti:

  • deroghe e misure limitative della protezione dei dati personali;
  • misure relative alla raccolta dei dati sull’ubicazione o sull’interazione dei dispositivi mobili dei soggetti risultati positivi, con altri dispositivi, al fine di analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi, tramite gps, bluetooth e droni;
  • contact tracing.

In riferimento alle diverse misure ipotizzabili per il monitoraggio dei soggetti risultati positivi, il Garante Privacy raccomanda di privilegiare un criterio di gradualità al fine di valutare misure meno invasive ma sufficienti per la prevenzione epidemiologica.

Sarebbe, altresì, preferibile il ricorso a sistemi fondati sulla volontaria adesione dei singoli, quale un’app bluetooth, che permettano il tracciamento della propria posizione, purché il consenso al trattamento dei dati non risulti in alcun modo condizionato (pertanto, non connesso all’erogazione di servizi ma alla tutela della salute).

Con riferimento alla conservazione dei dati rilevati, in vista del loro eventuale, successivo utilizzo per allertare i potenziali contagiati, è preferibile la soluzione della registrazione del “diario dei contatti” sullo stesso dispositivo individuale nella disponibilità del soggetto al fine di evitare la conservazione di dati personali in banche dati dei gestori. Tuttavia, tale conservazione deve essere limitata al solo periodo massimo di potenziale incubazione.

Il soggetto risultato positivo dovrebbe fornire l’identificativo Imei del proprio dispositivo all’ASL, che sarebbe poi tenuta a trasmetterlo al server centrale per consentirgli così di ricostruire, tramite un calcolo algoritmico, i contatti tenuti con altre persone le quali si siano, al contempo, avvalse dell’app bluetooth.

Queste ultime riceverebbero poi una comunicazione in forma alert sul sistema di potenziale contagio, con l’invito a sottoporsi ad accertamenti. In tal modo, il tracciamento si baserebbe su un flusso di dati pseudonimizzati, suscettibili di re-identificazione solo in caso di rilevata positività.

In alternativa all’alert intra-app, potrebbe essere direttamente l’ASL ad avvisare e, quindi, sottoporre ad accertamento le persone le quali, dalle rilevazioni bluetooth, risultino essere entrate in stretto contatto con il soggetto positivo.

In ogni caso, secondo il Garante Privacy, è preferibile che la filiera del contact tracing possa realizzarsi interamente in ambito pubblico. Ove, tuttavia, ciò non fosse possibile e anche solo un segmento del trattamento dovesse essere affidato a soggetti privati, essi dovrebbero possedere idonei requisiti di affidabilità, trasparenza e controllabilità, rigorosamente asseverati.

Tuttavia, il trattamento di dati personali effettuato dovrebbe essere legittimato da una norma di rango primario, (anche un decreto-legge, che assicura la tempestività dell’intervento). Ove non fosse possibile procedere ad un intervento legislativo ad hoc, sarebbe opportuno integrare l’art. 14 del D.L. 14/20, anche con misure di garanzia da prevedersi eventualmente con fonte subordinata.

Il testo dell’audizione del Garante Privacy è disponibile qui.