App Immuni al vaglio del Garante: quali requisiti?

Con il parere del 1 giugno 2020, il Garante per la protezione dei dati personali ha emanato un provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 – App Immuni, sulla scorta della valutazione d’impatto trasmessa dal Ministero della salute con la nota del 28 maggio 2020.

Il Ministero della salute, infatti, aveva effettuato la valutazione d’impatto prevista dall’articolo 35 GDPR, trasmettendola al Garante, ai sensi dell’art. 36, paragrafo 5, del GDPR e dell’art. 2-quinquiesdecies del Codice privacy, per essere autorizzato ad avviare il trattamento di dati personali relativo al “Sistema di allerta Covid-19”, istituito dall’art. 6 del decreto legge 30 aprile 2020, n. 28. Nella valutazione d’impatto il Ministero della salute ha rappresentato l’esigenza, condivisa con le Regioni, di una preliminare fase di sperimentazione del processo di contact tracing digitale in un numero limitato di Regioni o Province autonome.

Il parere del Garante, come esaminato nei precedenti post, costituisce l’ultimo tassello del più ampio iter di implementazione del software di contact tracing, inaugurato con l’ordinanza n. 10/2020 del 16 aprile 2020: a seguito di stipula di un appalto di servizio gratuito con la società Bending Spoons S.p.a., infatti, si è gradualmente proceduto alla realizzazione dell’App “Immuni”, finalizzata alla tracciatura dei contatti per la prevenzione e contenimento della diffusione del contagio da Covid-19.

In seguito, la Presidenza del Consiglio dei Ministri ha richiesto un primo parere del Garante per la protezione dei dati personali sulla proposta normativa per il tracciamento dei contatti fra soggetti, attuata mediante apposita applicazione su dispositivi di telefonia mobile.

Sin dal primo parere, il Garante ha ribadito che l’impiego dell’App da parte di un’autorità pubblica non elide il rispetto degli standard previsti dal GDPR in tema di protezione dei dati personali e di sicurezza del trattamento.

Come chiarito anche dal Comitato dei Garanti (EDPB) con le recenti Guidelines 3/2020, anche il trattamento di dati relativi alla salute attraverso app deve essere conforme al GDPR. In particolare, devono essere garantiti:

• La sussistenza di una base giuridica legittimante le operazioni di trattamento;
• La trasparenza e la correttezza del trattamento, anche attraverso la predisposizione dell’informativa ai sensi degli artt. 13 – 14 GDPR;
• La predisposizione di misure che garantiscano la sicurezza del trattamento;
• L’esercizio dei diritti degli interessati di cui agli artt. 15-22 GDPR.

Da ultimo, con il parere del 1 giugno il Garante ha tenuto conto della complessità del sistema di allerta e del numero dei soggetti potenzialmente coinvolti. Tali circostanze richiedono, secondo l’Autorità, l’adozione di una serie di misure volte a rafforzare la sicurezza dei dati delle persone che scaricheranno la app, che potranno essere adottate sin dalle prime sperimentazioni regionali.

In particolare, l’Autorità ha chiesto che gli utenti:

• Siano informati adeguatamente in ordine al funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio;
• Siano portati a conoscenza del fatto che il sistema potrebbe generare notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio.
• Abbiano sempre la possibilità di disattivare temporaneamente l’app attraverso una funzione facilmente accessibile nella schermata principale.

I dati raccolti attraverso il sistema di allerta, infine, non potranno essere trattati per finalità non previste dalla norma che istituisce l’app.

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya propone:

• percorsi di formazione e aggiornamento;
• percorsi di approfondimento e perfezionamento;
• servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

1. Corsi di formazione per Data Protection Officer

• Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
• Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

• Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.
• Non da ultimo, risulta indispensabile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.

Ulteriori dettagli sui percorsi formativi sono disponibili qui.