Pubblicato anche su Lex Digital

Sta circolando nelle ultime ore una bozza di schema di decreto legge contenente una disposizione sull’App Immuni. La norma (art. 6 – Tracciamento dei contatti), costituirebbe quella base giuridica ad hoc di cui si era già discusso, come necessaria per effettuare i trattamenti di dati personali presupposti dall’App.

Vengono chiariti alcuni punti tra quelli sollevati in precedenza ma residua qualche margine di incertezza. Innanzitutto, pare che il governo abbia alla fine optato per la soluzione centralizzata, diversa da quella decentrata suggerita dall’accordo tra Google e Apple.

L’App (o meglio i dati personali da essa raccolti) sarà gestita dal Ministero della Salute come titolare del trattamento, che agirà in “coordinamento” con “i soggetti operanti nel Servizio nazionale della protezione civile”, inclusi gli attuatori privati, l’Istituto Superiore della Sanità, nonché “con le strutture pubbliche e private accreditate che operano nell’ambito del Servizio Sanitario Nazionale, nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all’emergenza epidemiologica da COVID 19”.

C’è un riferimento all’articolo 28 del Regolamento UE 2016/679 (GDPR), il che lascia intendere che alcuni di questi soggetti dovrebbero agire per conto del Ministero della Salute e dietro sue istruzioni, in qualità di responsabili del trattamento. Evidentemente non può trattarsi delle strutture sanitarie, né dell’Istituto Superiore della Sanità (a meno che non si pensi di affidare a questo la mera gestione tecnica della piattaforma).

L’App sarebbe sviluppata “al solo fine di rintracciare le persone che siano entrate in contatto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di profilassi nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19”, sarebbe volontaria e “complementare alle ordinarie modalità in uso nell’ambito del Servizio sanitario nazionale”.

È anche previsto che il Ministero della Salute effettui e tenga costantemente aggiornata una Valutazione d’Impatto sul trattamento dei dati personali al cui esito deve consultare il Garante per la protezione dei dati personali ai sensi dell’art. 36 comma 5 del GDPR e 2-quinquiesdecies del Codice Privacy. Questo snodo, indicato come cruciale da tutti i commentatori del progetto, non è chiaro dalla formulazione della norma. Non è infatti previsto che la Valutazione d’Impatto sia resa pubblica, e non viene incorporata nella legge come suo presupposto.

Non è inoltre chiara la regola d’ingaggio del Garante Privacy, ma il riferimento alle due norme citate, lette in combinazione con l’articolo 58 comma 3 let. c) del GDPR fa comprendere che all’autorità viene chiesta un’autorizzazione e non un parere.

L’App risiederà su piattaforma pubblica italiana, gestita da enti pubblici o “in controllo pubblico”: possibile il coinvolgimento di una società controllata dallo Stato. I dati verranno cancellati o anonimizzati entro la fine di quest’anno (salvo emendamenti successivi, ovviamente), e potranno essere riutilizzati in forma aggregata o anonima per finalità di ricerca scientifica successiva.

La disposizione lascia intendere che dovranno esserci un paio di decreti ministeriali integrativi per chiarire specifiche tecniche: ad esempio, il Ministero della salute dovrà specificare il termine entro il quale “i dati relativi ai contatti stretti saranno conservati, anche nei dispositivi mobili degli utenti”.

Insomma, va componendosi il puzzle normativo necessario per il lancio della soluzione digitale, che ieri il commissario Arcuri aveva dato per imminente, ma mancano ancora dei tasselli fondamentali, quali la Valutazione d’impatto pubblica e il parere/autorizzazione del Garante, che sposteranno più in là in maggio la data di concreta operatività di Immuni.

• Scudiero
• privacy
• covid-19
• app Immuni