Il 29 aprile 2020, su richiesta della Presidenza del Consiglio dei Ministri, il Garante per la protezione dei dati personali si è espresso, favorevolmente, in merito all’adozione di un’applicazione in grado di tracciare i contatti tra i soggetti che abbiano volontariamente scelto di installare tale applicazione, così come è stata presentata dal Governo, perché “non appare in contrasto con i principi di protezione dei dati personali”.
Il Garante ha precisato che la disciplina relativa all’App Immuni – così come delineata – è conforme alla normativa sulla Privacy, trattandosi di una regolamentazione sufficientemente dettagliata fondata sull’adesione volontaria dell’interessato, escludendo ogni forma di condizionamento della determinazione individuale e, quindi, di disparità di trattamento basate sulla scelta di consentire o meno il tracciamento.
Secondo il Garante la norma poi:
– appare conforme ai principi di minimizzazione e ai criteri di privacy by design e by default, nella misura in cui prevede la raccolta dei soli dati di prossimità dei dispositivi, il loro trattamento in forma pseudonima, sempre che non sia possibile in forma del tutto anonima, escludendo il ricorso a dati di geolocalizzazione e limitandone la conservazione al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine;
– si conforma al principio di trasparenza nei confronti dell’interessato, garantendone la dovuta informazione;
Il Garante della Privacy ha poi specificato di auspicare che tale misura sia idonea anche a superare il proliferare di iniziative analoghe in ambito pubblico, difficilmente compatibili con il quadro giuridico vigente.
Al riguardo in una recente intervista il Presidente del Garante per la protezione dei dati personali ha dichiarato che:
Al di là dell’App Immuni, oggi si gioca una sfida cruciale per lo Stato di Diritto, governare la pandemia con metodi che restino effettivamente dentro il perimetro della Costituzione. L’emergenza contempla molte deroghe purché non irreversibili e ispirate al principio di proporzionalità. Non dev’essere, in altri termini, un punto di non ritorno ma un momento in cui modulare prudentemente il rapporto tra norma ed eccezione, tutela individuale e solidarietà sociale. Il contesto emergenziale non deve, soprattutto, indurre un’assuefazione acritica al diritto della paura né una rassegnata indifferenza alla progressiva perdita di libertà. La protezione dei dati è, in questo senso, un cursore importante della sostenibilità, sotto il profilo democratico, della gestione dell’emergenza e fonte di regolazione della dimensione digitale su cui si stanno sempre più proiettando le nostre esistenze. In quanto diritto di libertà, trasversale a ogni ambito della vita, sempre in equilibrio con gli altri diritti in gioco, racconta molto del rapporto, appunto, tra la vita e le regole. E in un contesto emergenziale, ogni sua limitazione – dalla giustificazione degli spostamenti al contact tracing – incide in maniera significativa sul rapporto libertà-autorità, da cui si misura la tenuta della democrazia. Garantire che le misure restrittive di questo diritto siano proporzionate e non eccedenti quanto indispensabili per il contrasto della pandemia vuol dire, dunque, difendere la democrazia.
Per altro verso il Garante sulla Privacy nelle FAQ dedicate al Coronavirus (Coronavirus: le FAQ del Garante privacy su scuola, lavoro, sanità, ricerca ed enti locali. Chiarimenti e indicazioni per pubbliche amministrazioni e imprese private), alla domanda:
È possibile diffondere i dati identificativi delle persone positive al COVID 19 o che sono state poste in isolamento domiciliare?
Risponde chiaramente che: La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.
Pertanto, le aziende sanitarie e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia.
In tale ambito ha suscitato e suscita particolari perplessità l’obbligo inserito all’allegato 17 al D.P.C.M. 17.5.2020, Linee guida per la riapertura delle attività economiche e produttive della Conferenza delle Regioni e delle Province autonome del 16 maggio 2020, emanato come disposizione attuativa del D.L. 33/2020, di mantenimento per diverse attività commerciali, quali ristoranti, parrucchieri, palestre, di un elenco dei clienti per un periodo di 14 gg.
Nulla è specificatamente previsto riguardo alla tenuta di tale elenco, sia come finalità che come modalità di mantenimento sia riguardo ai fini, se non quelli evidenti di tracciabilità, a posteriore, dei contatti di un soggetto che sia poi sia risultato positivo.
Se dunque la finalità è facilmente intuibile, poco chiare sembrano invece essere le modalità di tracciamento a posteriori sia con riguardo ai soggetti privati e pubblici che in alcun modo possono diffondere dati relativi alla salute delle persone sia con riferimento alle conseguenze della possibile positività di un cliente sia con riguardo allo stesso esercizio commerciale che ai possibili avventori che venissero a loro insaputa coinvolti.
Senza contare che ulteriori perplessità potrebbe suscitare tale misura con riferimento alla proporzionalità laddove simile previsione non sembra essere prevista per es. per i mezzi pubblici ove analogo contatto sembra esistere.
E’ auspicabile che anche su tali questioni intervenga un parere del Garante.
