In data 19.3.2020 il board dei Garanti privacy europei ha rilasciato una dichiarazione (qui allegata sub doc. 1) in materia di tracciamento dei contagi da Covid-19 e Reg. UE 679/2016, nel tentativo di comporre le disomogeneità originate dagli interventi in materia effettuati dai singoli Stati e/o dai singoli Garanti privacy nazionali europei. Il board ha inoltre promesso di adottare a breve apposite linee-guida, cosicché la loro pubblicazione è attesa nei prossimi giorni.
Quanto all’Italia, pur in assenza di una norma di legge tesa a regolare specificamente la materia (quantomeno ad oggi), utili spunti su come strutturare il sistema di tracciamento possono trarsi dalle dichiarazioni rese dal Garante privacy italiano nel corso dell’audizione informale del giorno 8.4.2020 (la cui trascrizione è qui allegata sub doc. 2).
In estrema sintesi, e per quanto qui interessa, il Garante raccomanda quanto segue in materia di app per il tracciamento dei contatti (doc. 2, par. 3 “contact tracing”):
“ai fini della raccolta, il bluetooth, restituendo dati su interazioni più strette di quelle individuabili in celle telefoniche assai più ampie, parrebbe migliore nel selezionare i possibili contagiati all’interno di un campione più attendibile perché, appunto, limitato ai contatti significativi (così parrebbero orientati Singapore e Germania).
In particolare, sarebbero apprezzabili quelle tecnologie che mantengono il diario dei contatti esclusivamente nella disponibilità dell’utente, sul suo dispositivo, ragionevolmente per il solo periodo massimo di potenziale incubazione.
Il soggetto che risultasse positivo dovrebbe fornire l’identificativo Imei del proprio dispositivo all’asl, che sarebbe poi tenuta a trasmetterlo al server centrale per consentirgli così di ricostruire, tramite un calcolo algoritmico, i contatti tenuti con altre persone le quali si siano, parimenti, avvalse dell’app bluetooth.
Queste ultime riceverebbero poi una segnalazione (nella forma di un alert sul sistema) di potenziale contagio, con l’invito a sottoporsi ad accertamenti che, naturalmente, sarà efficace nella misura in cui sia responsabilmente seguito.
In tal modo, il tracciamento sarebbe affidato a un flusso di dati pseudonimizzati, suscettibili di reidentificazione solo in caso di rilevata positività. Anche in tali circostanze, comunque, la stessa comunicazione tra server centrale ed app dei potenziali contagiati avverrebbe senza consentirne la reidentificazione, così minimizzando l’impatto della misura sulla privacy individuale”.
Sotto altro profilo, il Garante sottolinea l’importanza di ottenere un libero e preventivo consenso dell’interessato all’uso della app di tracciamento, non obbligandolo ad installare la app solo per (o anche per) poter fruire di altre funzionalità (segnaliamo, per completezza, che quest’ultimo passaggio non è di facile lettura, oltre a prestarsi ad interpretazioni opinabili, cosicché la raccolta di un apposito consenso è consigliabile in via prudenziale).
Le indicazioni rese dal Garante in sede di audizione, pur non avendo carattere imperativo (quantomeno sino a che non verrà adottato un apposito provvedimento da parte del Garante e/o del Legislatore), chiariscono l’attuale orientamento dell’Autorità, cosicché raccomandiamo di tenerne debito conto ai fini dello sviluppo di app di tracciamento. In difetto, è ipotizzabile che il Garante possa contestare la violazione – tra gli altri – degli artt. 5, con particolare riferimento ai principi di proporzionalità e minimizzazione, e 25 (privacy by design & default) del Reg. UE 679/2016, così conseguentemente esponendo il titolare quale fornitrice del titolare – a possibili sanzioni ex art. 83 del Regolamento, nonché ad azioni per il risarcimento del danno (si evita in questa sede di approfondire i potenziali profili penalistici).
Il di là di tutto quanto sopra indicato dal Garante, il trattamento di dati personali per il tramite della app di contact tracing resta subordinato al rispetto dei “normali” obblighi prescritti dal Reg. UE 679/2016, ovverosia (li elenchiamo rapidamente ed a meri fini esemplificativi, senza pretesa di esaustività): (i) al rilascio di una idonea informativa all’interessato; (ii) alla raccolta del consenso (o dei consensi) dell’interessato al trattamento dei suoi dati (adempimento da soddisfarsi in via prudenziale, date le parole del Garante sintetizzate sopra); (iii) all’adozione di misure di sicurezza idonee; (iv) alla redazione di una valutazione di impatto ex art. 35 del Regolamento.
doc. 1- DICHIARAZIONE IN MATERIA DI TRACCIAMENTO DEI CONTAGI