Certo, il Garante Privacy ha autorizzato il Ministero della Salute ad avviare le attività di trattamento relative all’app Immuni, ma è proprio all’interno dello stesso Provvedimento di autorizzazione che sono puntualmente individuate alcune criticità da risolvere proprio in relazione alla protezione dei dati personali.
Fra le osservazioni formulate da parte del Garante, infatti, emergono alcune indicazioni circa le garanzie di trasparenza da rispettare che, ricordiamo, sono il principale veicolo per conseguire (e mantenere) la fiducia da parte dell’utente potendo così portare ad un più ampio e diffuso impiego dell’applicazione.
Così, infatti, il considerando n. 39 GDPR: “È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento.”
Le garanzie circa il rispetto della trasparenza devono avere carattere concreto, rendendo disponibili e comprensibili alla più ampia platea di utenti tutte le informazioni utili circa le attività di trattamento svolte sui dati personali (finalità, operazioni di trattamento, tecniche di pseudonimizzazione, tempi di conservazione dei dati, tipologia di dati trattati e soggetti coinvolti nel trattamento).
L’utente deve pertanto essere informato in modo corretto, chiaro e accessibile circa:
- la volontarietà di impiego;
- il funzionamento dell’app;
- l’utilizzo delle informazioni;
tenendo conto, nel linguaggio e nella comunicazione, della possibilità di impiego dell’app anche da parte di minori ultraquattordicenni e soggetti con disabilità.
La caratteristica di volontarietà dell’app deve connotare l’app in “tutte le parti del suo funzionamento”, e dunque l’utente deve poter regolare (ovverosia: attivare/disattivare) ogni singola funzione, dal download alla configurazione, all’attivazione e utilizzo del Bluetooth, al caricamento TEK e così via. È di chiara evidenza (ma viene comunque ribadito dal Garante) che, che perché vi sia un’effettiva volontarietà di impiego, non deve essere configurabile alcun pregiudizio per l’utente che intende o non fare utilizzo dell’app o di utilizzarla parzialmente, dovendosi rispettare in maniera inderogabile il principio di parità di trattamento.
Prima di tutto occorre che gli utenti siano specificamente informati circa l’utilizzo volontario dell’app dopodiché, sul suo funzionamento, chiarendo ad esempio che le notifiche di esposizione non implicano un’effettiva condizione di rischio di contagio da COVID-19. Proprio su tale punto viene infatti prescritta l’indicazione di provvedere specificamente a fornire un’informazione più chiara a riguardo, così come sul funzionamento dell’algoritmo. Parimenti, deve essere di immediata comprensione la possibilità per l’utente di disattivare temporaneamente l’app, così come delle caratteristiche relative alla fase di sperimentazione del Sistema di allerta.
Infine, il Garante prescrive di provvedere ad informare con maggiore dettaglio in relazione alle operazioni effettuate sugli analytics in quanto già “nella valutazione d’impatto non sono adeguatamente precisate le modalità con cui il Ministero della salute intende trattare e conservare le diverse tipologie di analytics raccolti, le tecniche di anonimizzazione eventualmente adottate, i tempi di cancellazione, nonché le specifiche misure di sicurezza poste in essere anche in relazione ai prospettati flussi di dati via PEC tra Sogei e il medesimo Ministero”.
Tutelare la trasparenza è tutelare il cittadino, il quale, si ribadisce, ha ogni più ampio diritto di ricevere informazioni chiare ed inequivocabili e non trovarsi ad avere il ruolo di inconsapevole beta tester.
