Di Marilara Coppola
Il Garante per la protezione dei dati personali ha pubblicato indicazioni di carattere generale sotto forma di FAQ sull’utilizzo dell’app di contact tracing Immuni e delle altre app regionali rese disponibili per dispositivi mobile. L’intervento dell’Autorità si è reso necessario a seguito di numerosi quesiti e reclami degli utenti.
Con riferimento all’app Immuni, quale sistema di allerta che non traccia le persone bensì i contatti, il Garante ha sottolineato, così come d’altronde già fatto nel provvedimento di autorizzazione del 1° giugno 2020, che l’installazione deve avvenire su base volontaria quale frutto di una scelta libera e informata dell’interessato. Ne deriva, pertanto, che la mancata installazione non può determinare alcuna conseguenza negativa per l’interessato (quale la limitazione nella fruizione di beni o servizi) rilevando esclusivamente l’impossibilità per quest’ultimo di ricevere informazioni utili sugli eventuali contatti a rischio.
Sempre su base volontaria, potranno essere installate le app di telemedicina utilizzate dalle strutture sanitarie per il contrasto al Covid-19. Nel caso di utilizzo di app di questo tipo, il trattamento dei dati dei pazienti potrà essere effettuato senza richiedere il conferimento del consenso all’interessato dal momento che il fondamento giuridico si rinviene nell’art. 9, par. 2, lett. h) e par. 3 Regolamento UE 2016/679. Naturalmente, l’Autorità precisa che la prestazione sanitaria deve essere erogata senza distinzioni di sorta, non potendosi operare l’esclusione di coloro che non intendono installare l’applicazione.
A livello regionale, invece, escludendo le app che sono rimaste a un livello progettuale, per tutte le altre attualmente scaricabili dagli store, il Garante ha precisato chiaramente che il download e l’utilizzo non possono costituire un obbligo per l’interessato che, di conseguenza, non può subire alcun pregiudizio o veder limitati i suoi diritti come quello alla libera circolazione sancito dalla nostra Costituzione.
Ebbene, in tutti i casi diversi dall’utilizzo di applicazioni di telemedicina e di cura o dall’applicazione Immuni, sarà necessario acquisire il consenso dell’interessato come presupposto di liceità al trattamento dei suoi dati personali.
Conclusivamente, l’Autorità ha ricordato che le applicazioni non devono raccogliere dati eccedenti ma unicamente i dati necessari e raggiungere la finalità nel rispetto dei principi di minimizzazione e limitazione sanciti dal Regolamento europeo 2016/679. Nello specifico bisognerà limitare la richiesta di permessi per l’accesso a funzionalità o informazioni presenti sul dispositivo a quelle strettamente indispensabili e a evitare del tutto la raccolta e il successivo trattamento di dati relativi all’ubicazione del dispositivo dell’utente.
Le amministrazioni che rendono disponibili le app di contact tracing devono, in ogni caso, assicurare il rispetto dei principi di privacy by design e by default e valutare i rischi, anche collegati a trasferimenti di dati a soggetti stabiliti fuori dall’Unione Europea, mediante la conduzione di una valutazione d’impatto.
