Applicazioni per il tracciamento dei contagi Covid-19 in rapporto al GDPR

Il nuovo contesto socio-economico creato dalla pandemia del Covid-19 è fenomeno noto a tutti e le conseguenze verranno portate avanti ancora per (almeno) qualche anno. Proprio per questo motivo è necessario comprendere come rapportarsi al fenomeno per poter stabilire una “convivenza pacifica”.

Uno di questi metodi risulta essere il monitoraggio del tracciamento dei contagi attraverso applicazioni mobile (le “App”), su base volontaria, che permettono di comprendere lo sviluppo e l’evoluzione che il virus potrà prendere. In relazione a tali App è opportuno e necessario, oltre che obbligatorio, confrontarsi con il GDPR e le relative disposizioni per poter garantire tutela alle persone, da un lato, e sicurezza pubblico-sanitaria, dall’altra.

Il primo intervento sul GDPR per il tracciamento è intervenuto grazie all’European Data Protection Board (EDPB) con le linee guida 04/2020 adottate il 21 aprile 2020 in vista dell’inizio della fase 2.

L’importanza di queste linee guida, riprese poi dal Garante nel relativo e conseguente parere (v. infra), riguarda, in primis, l’utilizzo dei dati relativi all’ubicazione degli utenti (gli “Interessati”).

In particolare, le linee guida dicono come tali dati potranno essere trattati anonimizzati, previa valutazione dell’idoneità delle misure di anonimizzazione implementate, senza particolari informative agli utenti e con la possibilità di comunicare a terzi tali dati. Al contrario, qualora tali dati permettano l’identificazione degli utenti si rientrerà nella definizione di dato personale e, quindi, bisognerà richiedere rispettare i principi sanciti dal GDPR con particolare riferimento ai seguenti:

  • Determinazione delle finalità;
  • Legittimità del trattamento, tra i quali requisiti riveste particolare importanza il consenso e all’interesse pubblico (requisito che non richiede il consenso);
  • Corretta informazione agli Interessati;
  • Tempistiche e modalità di conservazione;
  • Modalità di esercizio dei diritti degli Interessati.

Ai principi poco sopra menzionati si aggiungono i fondamentali principi (e concetti) di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) ex art. 25 GDPR: il primo è un’ulteriore espressione del principio di minimizzazione per cui, in fase di progettazione di un nuovo trattamento dati, dovranno essere identificati i dati meramente necessari al trattamento; il secondo, invece, impone il rispetto, in fase di implementazione del trattamento, degli ulteriori principi di necessità e proporzionalità.

Inoltre, l’EDPB dispone l’obbligo di una valutazione d’impatto ex art. 35 GDPR prima dell’implementazione di un’App in quanto questa, per sua natura, configura una probabilità di rischio elevato per gli Interessati e, oltretutto, raccomanda la pubblicazione degli esiti di tale valutazione.

Al termine delle linee guida, l’EDPB dispone, altresì, le raccomandazioni e i requisiti funzionali che le App devono seguire e devono adottare. In particolare, viene indicato che:

  • i dati trasmessi devono includere solo identificatori univoci e pseudonimi generati dall’App e specifici per questa;
  • le App possono seguire un approccio centralizzato o decentralizzato (ad esempio tramite Distributed Ledger Technology o blockchain), previa applicazione delle idonee misure di sicurezza;
  • ogni server coinvolto deve raccogliere soltanto la cronologia dei contatti o gli identificativi pseudonimizzati in caso di un Interessato risultato positivo al Covid-19;
  • eventuali ulteriori informazioni richieste dovranno ricevere il previo consenso dell’Interessato e rimanere nel dispositivo di questo.

Sulla scorta delle linee guida, nonché in vista dell’adozione dell’App per il tracciamento nel contesto italiano, la Presidenza del Consiglio dei Ministri ha richiesto al Garante per la Protezione dei Dati Personali un parere volto all’adozione e all’implementazione dell’App prescelta.

Il Garante, con il parere n. 79 del 29 aprile 2020, si è espresso in favore dell’adozione dell’App in quanto ha rilevato, oltre alla presenza di appropriata valutazione d’impatto effettuata dal Ministero della Salute (identificato quale titolare del trattamento), la presenza di diverse caratteristiche che garantiscono il rispetto del GDPR e, allo stesso tempo, la possibilità di monitorare l’evoluzione dei contagi e permettere l’adozione di misure volte al contrasto del Covid-19. In particolare, le caratteristiche positive sono le seguenti:

  • l’App verrà scaricata ed utilizzata dagli utenti su base volontaria;
  • vi sarà un apposito disposto normativo che identificherà i limiti di interesse pubblico per esigenze di sanità pubblica;
  • gli Interessati potranno, tramite la corretta applicazione del principio di trasparenza, essere correttamente informati sul trattamento tramite App;
  • lo scopo dell’App è ben determinato, oltre che esclusivo, ovvero il contenimento dei contagi;
  • applicazione del principio di minimizzazione;
  • presenza di misure tecniche che permettono l’esercizio dei diritti degli interessati;
  • l’App potrà essere interoperabile con altri sistemi di tracciamento; e, infine
  • viene garantita reciproco anonimato tra gli utenti dell’App.

Vuoi innovare la tua azienda? Contattaci per una consulenza legal-tech:


    Cliccando sul pulsante "Invia Messaggio" si acconsente al trattamento dei dati personali come disposto dall'Informativa sulla Privacy

    Related Posts

    Vari dispositivi smart avvolti da righe di dati

    15

    Apr
    AB/blog, AB/news, LPD

    LPD, IL REGISTRO DEL TRATTAMENTO DATI, UN’ANALISI SPECIFICA

    Tutto ciò che devi sapere sul registro del trattamento dati in riferimento alla legge sulla protezione dati in Svizzera (LPD).   Il presente articolo analizzerà le principali caratteristiche del registro del trattamento dati, uno strumento indispensabile per la compliance delle aziende alle normative vigenti sulla protezione dati. Verrà introdotta una panoramica generale per poi focalizzarsi sulle figure [...]
    3 lettere w ed un lucchetto simbolo della privacy online

    12

    Apr
    AB/blog, AB/news, GDPR e Data Strategy

    GDPR, SITO WEB, COME ESSERE COMPLIANT

    Un’utile guida per capire come rendere il tuo sito web effettivamente GDPR compliant.   L’articolo in questione introdurrà la tematica relativa all’adeguamento dei siti web al regolamento UE 2016/679 (GDPR). In particolare si andranno a delineare quelli che sono gli aspetti relativi alla privacy policy e alla cookie policy con particolare focus sugli elementi essenziali che le[...]
    Volto stilizzato che guarda la scritta Personal Data

    08

    Apr
    AB/blog, AB/news, GDPR e Data Strategy, LPD

    LPD, PROFILAZIONE AD ALTO RISCHIO

    Tutto ciò che devi sapere sul tema della profilazione ad alto rischio prevista dalla legge sulla protezione dati in Svizzera.   In questo articolo potrai comprendere la distinzione tra profilazione e profilazione ad alto rischio nell’ottica del trattamento dei dati personali. Saranno analizzate le principali differenze rispetto al GDPR e cosa comporta per gli interessati e per[...]