In data 29 aprile 2020, il Garante per la protezione dei dati personali (il “Garante Privacy”) ha espresso parere favorevole in merito alla proposta normativa per l’introduzione di una applicazione volta al tracciamento dei contagi da COVID-19, ritenendola conforme ai criteri indicati dalle Linee guida del Comitato europeo per la protezione a proposito dei sistemi di contact tracing.

A seguito del via libera del Garante Privacy, il Governo, con il D.L. n. 28 del 30 aprile 2020 (“DL”), recante, inter alia, le misure urgenti per l’introduzione del sistema di allerta COVID-19, ha individuato, all’art. 6, le condizioni per il funzionamento del sistema di tracciamento dei contatti e dei contagi per prevenire la diffusione dei contagi.

Tale norma prevede che venga istituita presso il Ministero della Salute una piattaforma informatica per il tracciamento di coloro che, su base volontaria, installeranno sul proprio smartphone l’applicazione “Immuni”, un’app italiana di contact tracing (l’”Immuni” o l’”App”) ideata per combattere il COVID-19 e per permettere gradualmente alla popolazione di tornare alla normalità. In particolare, Immuni, da un lato, traccerà gli spostamenti degli utenti attraverso dei segnali Bluetooth, dall’altro, prevederà la tenuta di un diario clinico, compilato e inserito dallo stesso utente.

Con riferimento al tracciamento, si segnala che Immuni potrà essere installata, come detto, su base volontaria e permetterà di ricostruire i contatti, anche solo occasionali, tra le persone. Lo scopo dell’App è quello di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne così la salute attraverso le misure di prevenzione previste dalle autorità sanitarie nell’ambito dell’emergenza COVID-19.

Il predetto sistema di tracciamento e prevenzione è possibile in quanto Immuni, non appena installata, genera in automatico un codice utente e comincia a compilare una lista di codici riferibili alle persone incontrate (a condizione, però, che anch’esse abbiano scaricato l’applicazione). Così, qualora una delle persone incontrate dovesse successivamente risultare positiva al COVID-19, le autorità sanitarie invieranno un avviso di allerta a tutti coloro che siano entrati in contatto con tale persona, in modo tale da realizzare un intervento tempestivo e contenere la possibile diffusione del virus.

Si segnala che solo le autorità sanitarie potranno inviare l’avviso e che nessuna delle persone allertate verrà a conoscenza del nominativo del soggetto risultato positivo al virus, né del numero di persone allertate.

Per quanto riguarda, invece, il diario clinico, Immuni prevede la compilazione di un questionario giornaliero relativo allo stato di salute dell’utente, così da poter segnalare eventuali sintomi COVID-19 manifestatesi. Infatti, il quadro generale dello stato di salute dell’individuo permette di determinare se lo stesso possa aver contratto il virus oppure no. Ad ogni modo, Immuni è progettata per offrire i consigli stabiliti dall’Istituto superiore di sanità.

Il sistema di allerta COVID-19

Immuni è stata scelta dal Governo in quanto conforme ai parametri di protezione dei dati personali indicati a livello europeo dalla Commissione europea e dal Comitato europeo per la protezione dei dati personali. L’App si caratterizza infatti per (i) la volontarietà del download e del relativo utilizzo, (ii) la temporaneità del suo utilizzo e (iii) l’utilizzo della tecnologia Bluetooth, che non permetterà la geolocalizzazione degli utenti.

L’art. 6 del DL, nel disciplinare il “Sistema di allerta COVID-19”, indica i principi e le condizioni che dovranno essere rispettate da Immuni per effettuare il trattamento dei dati personali nel rispetto delle disposizioni del Regolamento UE 679/2016 (“GDPR”).

Il comma 1 del menzionato articolo chiarisce che il titolare del trattamento è il Ministero della Salute (il “Titolare”), il quale raccoglierà i dati personali degli utenti per la sola finalità di “allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19”, e si coordinerà, nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all’emergenza epidemiologica da COVID-19, con i soggetti operanti nel Servizio nazionale della protezione civile e i soggetti c.d. “attuatori” di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3 febbraio 2020, nonché con l’Istituto superiore di sanità, le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale. Tali soggetti saranno opportunatamente nominati quali responsabili del trattamento ex art. 28 del GDPR.

Inoltre, nel secondo comma dell’art. 6 del DL, è specificato che il Titolare, all’esito della valutazione di impatto effettuata ex art. 35 del GDPR, adotterà misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi per i diritti e le libertà degli interessati, assicurando in particolare che:

  • gli utenti ricevano, prima dell’installazione dell’App, un’idonea informativa relativa alle finalità e alle operazioni di trattamento, nonché alle tecniche di pseudonimizzazione utilizzate e i tempi di conservazione dei dati;
  • nel rispetto dell’art. 25 del GDPR (e dunque per impostazione predefinita), i dati personali raccolti dall’App siano esclusivamente quelli necessari ad avvisare gli utenti dell’App di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, individuati secondo criteri stabiliti dal Titolare;
  • il trattamento effettuato per il tracciamento dei contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati, con esclusione di ogni forma di geolocalizzazione dei singoli utenti;
  • siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di re-identificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento;
  • i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo, stabilito dal Titolare, strettamente necessario al tracciamento e cancellati in modo automatico alla scadenza del termine. In particolare, è specificato che l’utilizzo dell’App, la piattaforma informatica e i trattamenti dei dati personali saranno interrotti nel momento in cui sarà decretata la cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020. Inoltre, entro la medesima data saranno cancellati o resi definitivamente anonimi tutti i dati personali trattati;
  • i diritti degli interessati di cui agli articoli da 15 a 22 del GDPR possano essere esercitati anche con modalità semplificate.

Inoltre, con riferimento al luogo dove verrà effettuato il trattamento, si segnala che la piattaforma per la gestione del sistema di allerta COVID-19 è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o in controllo pubblico.

Per concludere, il Garante Privacy, non considerando Immuni in contrasto con la normativa sul trattamento dei dati personali, si augura che tale App possa fungere da deterrente per evitare il proliferare di iniziative analoghe in ambito pubblico, la cui conformità al GDPR non è assicurata.