Coronavirus: app “Immuni” e disposizioni in tema di cd. contact tracing. Il d.l. n. 28/2020, oltre ad avere previsto numerose disposizioni in tema di giustizia, introduce il «sistema di allerta Covid-19» prevedendo all’art. 6, che «al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi [al nuovo Coronavirus] e tutelarne la salute attraverso le previste misure di profilassi nell’ambito delle misure di sanità pubblica legate all’emergenza Covid-19», presso il Ministero della Salute l’istituzione di una «piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile».
Le modalità operative del sistema di allerta – si specifica – sono complementari rispetto alle ordinarie modalità in uso da parte del Servizio sanitario nazionale. Coronavirus e app “Immuni”: ecco i risvolti giuridici.
Chi sono i soggetti che installano la applicazione?
In base alla nuova normativa, la applicazione è rimessa alla esclusiva volontà dei cittadini: chiunque potrà, se lo ritiene opportuno per la tutela della propria salute, usufruire di questo servizio. Il Ministero della Salute titolare del trattamento dei dati sanitari dei cittadini, in attuazione del Regolamento UE 2016/679 sul c.d. GDPR (General Data Protection Regulation), dovrà coordinarsi, sentito il Ministro per gli affari regionali e le autonomie, con i soggetti operanti nel Sevizio nazionale della Protezione Civile, con i c.d. soggetti attuatori dell’emergenza che agiscono sulla base di specifiche direttive del Capo del Dipartimento della Protezione Civile, con l’Istituto Superiore di Sanità e con le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale, «nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all’emergenza epidemiologica da Covid-19, per gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l’adozione di correlate misure di sanità pubblica e di cura».
Compito del Ministero della Salute è quello di adottare «misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali», assicurando, in particolare, che:
- gli utenti ricevano, prima dell’attivazione dell’applicazione, «informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati»;
- per impostazione predefinita, i dati personali raccolti dall’applicazione «siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al Covid-19», individuati e specificati secondo criteri stabiliti dal Ministero della Salute, nonché «ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti»;
- il trattamento effettuato per allertare i contatti sia basato sui «dati di prossimità dei dispositivi, resi anonimi, oppure, ove ciò non sia possibile, pseudonimizzati», con espressa esclusione, in ogni caso, della «geolocalizzazione dei singoli utenti»;
- «siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento»;
- i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita e specificata dal Ministero della Salute, con conseguente loro cancellazione in modo automatico alla scadenza del termine.
Il Decreto, infine, prevede che i dati raccolti attraverso tale applicazione non possano essere trattati per finalità diverse da quelle specificate, «salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica»; la piattaforma per la gestione del sistema di allerta deve essere di titolarità pubblica e realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da società a totale partecipazione pubblica, e i programmi informatici sviluppati per la realizzazione della piattaforma e l’utilizzo dell’applicazione idem, resi disponibili e rilasciati sotto licenza aperta.
L’utilizzo dell’applicazione e della piattaforma, nonché ogni relativo trattamento di dati personali, sono interrotti alla data di cessazione dello stato di emergenza e comunque non oltre il 31 dicembre 2020: entro questa data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi.