Le primule dei padiglioni vaccinali non sono mai sbocciate, ma la primavera non si arrende e sempre più iniziative locali sono rivolte allo sviluppo di app. Ciò che preoccupa sono i proclami entusiasti all’interno dei quali l’aspetto di protezione dei dati personali ancora una volta sembra essere affrontato en passant. Insomma: ritorna la tentazione di svilire la privacy in nome dell’emergenza.
Resistente al mutare delle stagioni, ricordiamo il sempreverde monito di Darth Vader: “Non essere troppo fiero di questo terrore tecnologico che hai costruito”. In questo caso, sin dalla progettazione occorrono tutte le cautele per gli aspetti di privacy e, di conseguenza, per la sicurezza. Altrimenti il terrore c’è, e consiste nell’inevitabilità di un rischio sproporzionato per gli interessati, al di là delle preoccupazioni già espresse in relazione al pass vaccinale, e oscenità di cybersecurity.
Ciò che ci si aspetta è, quanto meno, lo svolgimento di una valutazione d’impatto sulla protezione dei dati se non una consultazione preventiva del Garante perché ciascuna di tali iniziative fornisca riscontro, ad esempio, circa la liceità dei trattamenti svolti, l’applicazione del principio di minimizzazione e le garanzie in ordine alla trasparenza, all’esercizio dei diritti da parte degli interessati.
Un aspetto da non sottovalutare, inoltre, riguarda la gestione della sicurezza, soprattutto quando i sistemi si interfacciano (ad es. con l’accesso SPID) o coinvolgono ulteriori soggetti. Se si creano database, questi devono essere adeguatamente protetti, tenendo conto dei parametri forniti dall’art. 32 GDPR andando anche a responsabilizzare tutti gli operatori che intervengono sui dati personali.
Qual è l’iter da seguire per un corretto sviluppo e progettazione di un’ipotetica app a riguardo?
Nella fase di sviluppo, coinvolgere il DPO e svolgere una valutazione d’impatto al fine di definire ed implementare sin dalla progettazione tutti i presidi a garanzia della conformità delle attività di trattamento al GDPR e la loro declinazione operativa. Nella fase di deployment, svolgere la formazione e sensibilizzazione del personale. Successivamente, sottoporla a riesame e verifica secondo una periodicità definita e parametri preimpostati di variazione del rischio significativo.
Il processo indicato si pone tutt’altro che in contrasto con la volontà di tutela della salute pubblica, e trova solo resistenze culturali più che logiche, giuridiche o pratiche. Solo il senso di responsabilità farà sfumare queste “cattive abitudini”, in nome della corretta protezione dei nostri dati personali. Oggi, e domani.
