D.L 30 APRILE 2020 N. 28: L’INTRODUZIONE DEL SISTEMA DI ALLERTA COVID-19.
Il Decreto-legge del 30 aprile 2020 n. 28 contiene una prima base normativa per la disciplina del c.d. sistema di allerta Covid-19 che introduce la possibilità per i cittadini di utilizzare la c.d. APP IMMUNI per il contenimento della pandemia e che sarà verosimilmente disponibile a partire dalla fine del mese di maggio. Vediamo rapidamente come si articola la normativa.
Una finalità delineata dal sistema di allerta Covid-19
L’articolo 6, comma 1, prevede che in ossequio alla tutela dei diritti dell’individuo, ed in particolare al principio di legalità vigente in materia di tutela della riservatezza e di protezione dei dati personali, di cui in particolare agli artt. 2 e 117 Cost., 8 Conv., art. 7 e 8 della Carta di Nizza, presso il Ministero della salute – quale unico titolare del trattamento dei dati raccolti – sia istituita una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile circoscrivendo tale ipotesi “al solo fine di allertare le persone che siano entrate in contatto con soggetti risultati positivi al nuovo coronavirus e tutelare la salute attraverso le previste misure di profilassi legate all’emergenza sanitaria”.
I dati raccolti attraverso tale applicazione non potranno essere trattati, per espressa previsione normativa, per finalità diverse da quelle indicate dal citato comma 1, fatta salva la possibilità del loro utilizzo in forma aggregata o comunque anonima per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica[1].
La garanzia di misure idonee a salvaguardare diritti e libertà degli interessati
Secondo quanto previsto sempre nel decreto, nella messa in opera del sistema di allerta, dovranno essere adottate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, anche sentito il Garante per la protezione dei dati personali.
In particolare, vengono sottolineate alcune misure per la salvaguardia della riservatezza dei dati personali degli utilizzatori della piattaforma prevedendo che:
- gli utenti ricevano, prima dell’attivazione dell’applicazione sui loro dispositivi mobili informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare con riferimento alle finalità e alle operazioni di trattamento, alle tecniche di pseudonimizzazione[1] utilizzate e sui tempi di conservazione dei dati;
- per impostazione predefinita, i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, i quali saranno individuati secondo criteri stabiliti dal Ministero della Salute, ciò al fine di agevolare anche l’eventuale adozione di misure di assistenza sanitaria in favore dei medesimi soggetti;
- il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati. Si deve escludere, in ogni caso, la geolocalizzazione dei singoli utenti, ciò che dunque dovrebbe rassicurare in ordine al timore di un tracciamento degli sposamenti personali;
- siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento;
- i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento e che tali dati siano cancellati in modo automatico alla scadenza del termine;
gli interessati possano far valere i loro diritti, previsti dagli artt. 15 a 22 del Regolamento (UE) 2016/679, anche con modalità semplificate.
La libertà di scelta di istallazione dell’APP Immuni
Si ricorda tuttavia come la decisione di non utilizzare l’applicazione relativa al sistema di allerta sia rimessa in capo a ciascun cittadino, libero di scegliere se avvalersi o meno del suo utilizzo per le finalità sopra riportate senza incorrere in alcun caso, quale che sia la scelta assunta, in conseguenze per sé pregiudizievoli o, comunque, in sanzioni.
Ciò nella consapevolezza che, per quanto previsto dal decreto, la piattaforma dovrà essere comunque realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale, gestite da amministrazioni o enti pubblici o società a totale partecipazione pubblica con programmi informatici sviluppati per la sua realizzazione di titolarità pubblica.
Il presente approfondimento si pone quale unico obbiettivo quello di informare i cittadini su quanto previsto dalla legge; solo un cittadino correttamente informato potrà infatti determinarsi coscientemente nella scelta che riterrà per sé più giusta.
Per tutti coloro che decideranno di utilizzare l’APP IMMUNI si ricorda che, per espressa previsione normativa, è stato previsto che, entro il termine di cessazione dello stato di emergenza, dichiarato per la durata di 6 mesi a partire dalla Delibera del Consiglio dei ministri in data 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, tutti i loro dati personali trattati dovranno essere comunque cancellati o resi definitivamente anonimi.
[1] Per l’Art. 4 n. 5) GDPR la “pseudonimizzazione è il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
[1] È da escludersi dunque, visto la non menzione tra le finalità, un utilizzo dei dati personali raccolti dall’applicazione al fine di reprimere reati di qualsiasi genere, siano essi comuni o legati alla violazione delle misure disposte per fronteggiare l’emergenza, quali reati di epidemia dolosa o colposa, di cui agli artt. 438 e 452 c.p..