MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

Coronavirus: via libera all'applicazione per il controllo del contagio
La base normativa per la realizzazione dell’app è contenuta nel decreto legge 30 aprile 2020, n. 28: analisi dei profili giuridici

di AGOSTINO SOLA (dal Sole 24 Ore) – In collaborazione con Mimesi s.r.l.

L’articolo 6 del decreto legge 30 aprile 2020, n. 28, recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché’ disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19.” ha disposto la base normativa per la realizzazione dell’applicazione per il controllo del contagio da Covid-19.
L’applicazione per il controllo del contagio da Covid-19 si farà. Il Governo nell’ultimo decreto legge del 30 aprile 2020, n. 28 ha disposto la base normativa per la realizzazione della ormai nota applicazione, sciogliendo alcune delle criticità che erano emerse: tra tutte, la privacy.
Andiamo con ordine. L’idea non è nuova ma origina dalla Cina. Il funzionamento di tale applicazione è relativamente semplice: mettere in relazione gli spostamenti della popolazione tramite l’utilizzo del bluetooth onde avvisare gli utenti circa la possibilità che siano entrati in contatto, non necessariamente in maniera volontaria, con un soggetto risultato positivo al Covid-19. Per conoscere il corretto funzionamento dell’applicazione e della piattaforma nazionale di gestione dei dati occorrerà aspettare le misure di organizzazione e gestione demandate al Ministero della salute.
Accolta da subito con un misto di entusiasmo e preoccupazione per le possibili violazioni della privacy, l’applicazione ha incontrato il favor dell’Autorità Garante per la protezione dei dati personali che ha sin da subito ricoperto un ruolo di primaria importanza nella possibilità di prevedere un’applicazione volta al tracciamento dei contagi da Covid-19. Le prime audizioni in tema di contact tracing risalgono, infatti, agli inizi di aprile (8 aprile 2020).
Da ultimo, con il parere del 29 aprile 2020 sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da Covid-19, l’Autorità Garante per la protezione dei dati personali ha definitivamente manifestato la sua opinione favorevole.

La liceità del trattamento dei dati personali
Nonostante le possibili criticità derivanti dal trattamento dei dati personali relativi al contagio, la normativa europea in materia (Reg. (CE) 27/04/2016, n. 2016/679/UE, Regolamento del Parlamento Europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE – anche Gdpr) considera lecito il trattamento di dati personali ove «necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica» e, ancor più calzante, «alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione» (Considerando 46, Gdpr) ma anche che «il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell’interessato. Tale trattamento dovrebbe essere soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche» (Considerando 54, Gdpr).
In buona sostanza, dunque, la previsione di un’applicazione per il contact tracing, ed il trattamento dei dati personali che ne deriva, anche senza il consenso dell’interessato, risulta perfettamente lecita e compatibile con il quadro normativo europeo. Nonostante ciò, la base giuridica del trattamento dei dati, costituendo un unicum nel panorama legislativo nazionale e non essendo desumibile in alcuna disposizione vigente, è stata elaborata ex novo in conformità ai principi di proporzionalità, necessità, ragionevolezza.

Profili giuridici
Si osservano ora alcuni dei profili di interesse giuridico relativi all’applicazione per il tracciamento dei contagi da Covid-19 sulla base della recente introduzione dell’articolo 6 “Sistema di allerta Covid-19”, Dl 30 aprile 2020, n. 28.
Il primo comma stabilisce che il Ministero della salute è il titolare del trattamento dei dati derivanti dall’utilizzo di un’applicazione, installata su base volontaria, destinata al tracciamento e alla registrazione dei soli contatti tra soggetti che abbiano parimenti scaricato l’applicazione. La finalità dell’applicazione è di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi all’esito di test o diagnosi medica e tutelarne la salute.
È anche previsto un coordinamento del Ministero, con i soggetti operanti nel Servizio nazionale della protezione civile e i soggetti cosiddetti “attuatori” di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3 febbraio 2020, nonché con l’Istituto superiore di sanità, le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale, nel rispetto delle relative competenze istituzionali in materia sanitaria.
La modalità di tracciamento dei contatti tramite la piattaforma informatica di cui al predetto comma è complementare alle ordinarie modalità in uso nell’ambito del Servizio sanitario nazionale.
Recependo quanto precisato nel parere n. 79 del 29 aprile 2020 dell’Autorità garante per la protezione dei dati personali, ossia che «i dati raccolti devono poter tracciare i contatti stretti e non i movimenti o l’ubicazione del soggetto. Devono essere raccolti solo i dati strettamente necessari ai fini della individuazione dei possibili contagi, con tecniche di anonimizzazione e pseudonimizzazione affidabili. Anche la conservazione deve limitarsi al periodo strettamente necessario, da valutarsi sulla base delle decisioni dell’autorità sanitaria su parametri oggettivi come il periodo di incubazione», il secondo comma prevede che i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari ad avvisare gli utenti di rientrare tra i contatti stretti di altri utenti accertati positivi al Covid-19, individuati secondo criteri stabiliti dal Ministero della salute; il trattamento venga effettuato per il tracciamento dei contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati; siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento; i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo, stabilito dal Ministero della salute, strettamente necessario al tracciamento e cancellati in modo automatico alla scadenza del termine.
Viene pacificamente esclusa la geolocalizzazione dei singoli utenti.
Il terzo comma esclude la possibilità di utilizzare i dati raccolti per finalità diverse, salvo in forma aggregata o anonima per finalità scientifiche o statistiche.
Il quarto comma riporta la decisione di non rendere obbligatoria l’installazione dell’applicazione né che il mancato utilizzo dell’applicazione comporterà conseguenze in ordine all’esercizio dei diritti fondamentali dei soggetti interessati nel rispetto del principio di parità di trattamento. Disposizione condivisibile in un contesto di maggiore trasparenza e fiducia nelle istituzioni, anche in ragione del rilevante impatto individuale del tracciamento.
Il comma 5 prevede che la piattaforma informatica utilizzata è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o in controllo pubblico.
Da ultimo, il comma 6 chiarisce che ogni trattamento di dati personali dovrà cessare al termine del periodo di emergenza, e comunque non oltre il 31 dicembre 2020, con conseguente cancellazione dei dati trattati.

Conclusione
La recente, ed allo stato, ancora attuale, emergenza sanitaria costituirà un interessante banco di prova dell’utilizzo di big data da parte delle Amministrazioni pubbliche per aumentarne efficacia ed efficienza. Pur nel suo contesto tragico, la necessità di individuare metodi efficaci, innovativi ed anche alternativi, di azione pubblica su larga scala ci ha mostrato un nuovo cammino: non resta che fare di necessità, virtù.