L’Autorità Garante per la protezione dei dati personali ha pubblicato un chiarimento relativo allo sviluppo di applicativi di contact tracing, rilevando le iniziative che su più fronti sono portate avanti da parte di soggetti pubblici e privati in modo autonomo e, la maggior parte delle volte, con disomogeneità.
Il principale punto in argomento riguarda lo stato di emergenza da COVID-19, il quale è sì una situazione di fatto grave ed incontrovertibile ma che non può costituire una valida giustificazione da invocare in ogni momento per legittimare lo svolgimento di qualsiasi tipo di attività di trattamento di dati personali. Inoltre, poiché il contact tracing è attività di monitoraggio particolarmente invasiva e di impatto nei confronti degli interessati, è necessario svolgere un bilanciamento fra finalità perseguita e tutela dei diritti e delle libertà degli interessati e tale bilanciamento, ad oggi, è operato soltanto da una norma di legge nazionale. In tal senso, infatti, puntualizza il Garante: “gli unici trattamenti di dati personali che, allo stato, possano vantare un’adeguata base giuridica, sono esclusivamente quelli che trovano il proprio fondamento in una norma di legge nazionale”.
Da ciò deriva che ogni trattamento di contact tracing che sia svolto su tale base giuridica espressamente indicata è svolto in violazione del principio di liceità, a prescindere che sia svolto da soggetti pubblici o privati.
Dal momento che un trattamento di dati personali svolto mediante applicativi di contact tracing richiede una valutazione d’impatto sulla protezione dei dati (ai sensi dell’art. 35 GDPR), il (mancato) riscontro di una base giuridica adeguata è un’evidenza che certamente dovrebbe essere saltata agli occhi (anche su segnalazione del proprio DPO) di quei titolari del trattamento che hanno avuto intenzione di progettare tale misura. Viene da domandarsi pertanto come mai sia potuta giungere all’attenzione del Garante (anche tramite segnalazioni) la notizia sul “proliferare di applicativi di contact tracing da parte di istituzioni pubbliche e soggetti privati”. Le prime risposte che possono venire in mente rivelano una situazione piuttosto sconfortante riguardante lo stato dell’arte della protezione dei dati: non solo non è stata svolta dai titolari del trattamento alcuna valutazione d’impatto, ma all’atto della progettazione non è stato considerata la garanzia riguardante il principio di liceità.
Appare opportuno sottolineare che ritenere l’invocazione dello stato d’emergenza come un Jolly spendibile in ogni momento per giustificare attività su dati personali, prescindendo totalmente dal rispetto dei principi del GDPR, è tutt’ora una malpratica tristemente diffusa.
Purtroppo, una corretta cultura e percezione del valore della protezione del dato personale ancora deve radicarsi tanto nell’operato delle istituzioni che nel pensiero dell’uomo comune.
