Il Garante per la privacy ha recentemente pubblicato delle FAQ riguardanti il lecito impiego (e dunque: i limiti) delle app di contact tracing, siano esse la oramai nota “Immuni” nazionale o altre app in fase di sviluppo e progettazione su base regionale o locale. Sebbene quanto venga ribadito nelle note esplicativa altro non sia che il precipitato delle linee guida dell’EDPB e dei pareri già ampiamente espressi dal Garante, è importante vedere dove l’Authority ha voluto concentrare i propri interventi di chiarimento.
Innanzitutto, mentre la base giuridica per Immuni è individuabile negli artt. 6.1 lett. e) e 9.2 lett. g) e i) GDPR, in ragione dell’esecuzione di un compito di interesse pubblico nel settore della sanità pubblica, qualora siano impiegate differenti app il fondamento di liceità deve trovare una puntuale individuazione.
Avendo riguardo delle app di telemedicina impiegate per consentire una gestione diagnostico-sanitaria a distanza, il trattamento così effettuato è svolto sulla base dell’art. 9.2 lett. h) GDPR in quanto consiste in una “diversa modalità di svolgimento del rapporto medico-paziente” ma si rende necessaria l’esecuzione di una valutazione d’impatto ai sensi dell’art. 35 GDPR da parte del titolare del trattamento che intenda avvalersi di tale strumento.
Facendo riferimento invece ad altre app di tracciamento non strettamente necessarie alla cura, oltre a dover seguire i criteri definiti a livello nazionale possono generalmente trattare i dati personali solo previo consenso esplicito da parte degli interessati (e dunque, individuando la base giuridica nell’art. 9.2 lett. a) GDPR).
I principi cardine per lo sviluppo delle app di contact tracing consistono prima di tutto nell’applicazione del principio di minimizzazione, e dunque in una preventiva valutazione di necessità e non eccedenza dei dati raccolti e trattati per il perseguimento delle finalità dichiarate, di cui è necessario fornire evidenza all’interno delle relative valutazioni d’impatto. Ulteriore aspetto fondamentale è lo svolgimento della valutazione dei rischi tanto inerenti alle modalità di funzionamento dell’app quanto relativi ad un eventuale trasferimento dei dati a terze parti coinvolte. L’elemento essenziale, ribadisce il Garante, è che la configurazione stessa dell’app rispetti i principi di privacy by design e privacy by default, attraverso sistemi di permessi specifici e garantendo la corretta e completa informazione dell’utente oltre che, ovviamente, il rispetto degli ulteriori principi del GDPR (fra cui, si ricorda, assume un rilievo fondamentale il principio di integrità e riservatezza).
Un aspetto fondamentale evidenziato, ovviamente, riguarda la tutela effettiva della volontarietà di impiego. Viene infatti chiarito espressamente che per quanto riguarda Immuni, “L’adesione al sistema di allerta deve essere infatti frutto di una scelta realmente libera da parte dell’interessato” e “La volontarietà dell’adesione dell’interessato è assicurata in ogni fase del trattamento”, non potendo in alcun caso la mancata installazione (o attivazione) determinare conseguenze negative o condizionare l’esercizio di diritti o la fruizione di beni o servizi per l’interessato.
Ciò significa dunque che le intenzioni di alcune regioni di limitare la circolazione in relazione all’installazione o utilizzo di un’app non possono avere seguito. Parimenti, le strutture sanitarie non possono integrare nei propri protocolli un obbligo di installazione di alcuna app, dovendo prevedere modalità alternative di erogazione della prestazione sanitaria per gli interessati non intenzionati ad utilizzare le app di telemedicina.
L’auspicio è che i chiarimenti del Garante, destinati ad arricchirsi con il trascorrere del tempo, siano in grado di contenere lo zelo di quanti, in ragione di un innamoramento (primaverile, e ora estivo) delle tecnologie di contact tracing, ne stanno progettando un impiego “obbligato” dalle circostanze.
