Autorizzazione al trattamento dei dati personali effettuato attraverso l’App Immuni (sistema di allerta Covid-19) da parte del Ministero della Salute

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) – Il trattamento di dati personali effettuato da parte del Ministero della salute nell’ambito del Sistema di allerta Covid-19 mediante l’App “Immuni” presenta una valutazione d’impatto, modificata secondo le indicazioni del Garante, contenente la previsione di misure adeguate a garantire il rispetto dei diritti e delle libertà degli interessati, che attenuano i rischi che potrebbero derivare dal trattamento, e un nuovo meccanismo per consentire in autonomia, a un soggetto risultato positivo, di caricare le TEK (Temporary Exposure Key) nel backend di Immuni e dunque di interagire direttamente con il sistema di allerta Covid-19 per comunicare l’esito positivo del referto, consentendo una maggior efficienza complessiva del sistema medesimo.

Massima (2) – Il trattamento dei dati personali operato dal Ministero della salute in relazione al Sistema di allerta Covid-19 (App “Immuni”) – che ha la propria base giuridica in specifiche previsioni normative (tra cui l’art. 6, d.l. n. 28/2020, conv. con mod. dalla l. 27/2020) per il perseguimento di un interesse pubblico rilevante , ai sensi degli artt. 6, par. 1, lett. e), e 9, par. 2, lett. i), GDPR ed è caratterizzato dall’adesione volontaria dell’utente che scarica l’App sul proprio smartphone previa adeguata informativa – è autorizzato dal Garante per la protezione dei dati personali.

Provvedimento: GPDP, Docweb n. 9555987 del 25 febbraio 2021

Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9555987

Keywords: App immuni, Covid-19, autorizzazione al trattamento, trasparenza informativa, principio di minimizzazione, cybersecurity, privacy, bilanciamento diritti costituzionali, interesse pubblico, interesse pubblico rilevante, principio di liceità, adesione volontaria, conferimento facoltativo di dati, TEK (Temporary Exposure Key), referto, sistema di allerta, valutazione d’impatto, Ministero della Salute, contact tracing, BLE, Bluetooth Low Energy, Privacy by design.

Riferimenti normativi: art. 6 del d.l. 30 aprile 2020, n. 28, conv. con mod. dall’art. 1, co. 1, della l. 25 giugno 2020, n. 70 (che ha introdotto il «Sisitema di allerta Covid-19»), succ. mod. e integr. dall’art. 2, co. 1, lett. b), del d.l. 7 ottobre 2020, n. 125, conv. con mod. dalla l. 27 novembre 2020 n. 159; art. 17-bis del d.l. 17 marzo 2020, n. 18 (concernente «Disposizioni sul trattamento dei dati personali nel contesto emergenziale»), convertito, con modificazioni, dall’art. 1, co. 1, della l. 24 aprile 2020, n. 27; artt. 5, 6 e 9 del Reg. UE 2016/679 (GDPR).

Data del commento: 21 maggio 2022

Massime e Commento di Elena Guerri

1. Il caso

Nell’ambito del sistema di allerta per fronteggiare l’emergenza pandemica da Covid-19, il Ministero della Salute, in qualità di titolare del trattamento dei dati, ha approntato l’App di tracciamento dei contatti al fine di agevolare l’individuazione dei casi di positività, denominata “Immuni”, sottoposta all’obbligo di valutazione di impatto di cui all’art. 35 GDPR. A seguito di una prima disamina, il Garante ha autorizzato il trattamento dei dati personali mediante la predetta App, imponendo tuttavia al Ministero titolare del trattamento di seguire specifiche prescrizioni, a garanzia degli utenti interessati, e di integrare conseguentemente la valutazione di impatto in conformità alle indicazioni espresse dall’Authority nel primo provvedimento autorizzatorio.

A seguito delle modifiche apportate alla valutazione di impatto, ritenute congrue, il Garante, ai sensi degli artt. 36, par. 3, e 58, par. 3, lett. c), del GDPR, nonché dell’art. 2-quinquiesdecies del Codice privacy, ha autorizzato il Ministero della salute, con il prevvedimento in esame, ad effettuare il trattamento relativo al Sistema di allerta Covid-19, così come rappresentato nella predetta valutazione di impatto modificata.

2. Le questioni

L’analisi del caso presenta diverse questioni rilevanti in ordine ai trattamenti di dati personali effettuati mediante App di contact tracing per la gestione di crisi pandemiche, come quella da Covid-19, tra le quali viene posta attenzione alle seguenti: (i) l’individuazione di meccanismi idonei, volti a consentire agli utenti di interagire autonomamente con il sistema di allerta, facendo uso dell’App di tracciamento contatti significativi anche al fine di procedere con la comunicazione dei risultati positivi del referto e la loro menzione nella valutazione di impatto (DPIA); (ii) la condizione di liceità del trattamento e la non obbligatorietà dell’App per la gestione dell’emergenza pandemica, il cui uso deve essere rimesso alla libera scelta dell’utente, in presenza di adeguata informativa sul suo funzionamento e su tutti gli elementi necessari per supportare tale libera scelta, inclusa l’illustrazione dell’algoritmo, basato su criteri epidemiologici di rischio e modelli probabilistici, che deve essere messo a disposizione anche della comunità scientifica ed esposto nella valutazione di impatto, anche ai fini dell’autorizzazione al trattamento concessa dal Garante ex artt. 36, par. 6, e 58, par. 1, lett. c), GDPR e art. 2-quinquiesdecies Codice privacy.

2.1. Sui meccani idonei a consentire agli utenti, risultati positivi al Covid-19, di interagire autonomamente con l’App Immuni e sull’integrazione della valutazione d’impatto (DPIA)

È bene ricordare, preliminarmente, che l’art. 6 del decreto legge 30 aprile 2020 n. 28 (conv. con mod. dall’art. 1, co. 1, della l. 25 giugno 2020, n. 70) e ss.mm.ii. ha fissato le regole per l’introduzione della App di allerta del Covid-19 chiamata “Immuni” e promossa dal Ministero della Salute per il tracciamento dei contatti (contact tracing).

In breve, gli utenti che decidano di partecipare al tracciamento dei contatti su base volontaria sono tenuti prima a scaricare l’App sul proprio smartphone e poi ad abilitare la connettività Bluetooth (BLE – Bluetooth Low Energy), in modo da consentire a tale App di tenere traccia di tutti gli altri smartphone (con l’App Immuni installata) rilevati in prossimità, entro una certa distanza. Gli smartphone con l’App Immuni “dialogano” tra loro attraverso il BLE, scambiando codici casuali, memorizzati localmente sul dispositivo, unitamente ad informazioni ulteriori quali la durata del contatto e la potenza del segnale ricevuto, usato quale indicatore approssimativo della distanza tra i dispositivi degli utenti collocati entro il perimetro di prossimità. Sullo smartphone viene dunque salvato un database in tempo reale di codici corrispondenti agli smartphone degli utenti rilevati nel raggio di azione del BLE, privi di dati identificativi e di informazioni georeferenziate.

Quando le strutture sanitarie e le Asl riscontreranno un nuovo caso positivo, dietro consenso del soggetto, gli operatori inseriranno un codice nel sistema. A questo punto il sistema invierà la notifica agli utenti con i quali il caso positivo è stato a stretto contatto.

Come sinteticamente rimarcato sul sito ufficiale dell’App Immuni, nelle spiegazioni sul funzionamento dell’App per l’utente, «L’operatore sanitario del servizio di prevenzione che ti ha comunicato l’esito del tampone ti chiederà di entrare nella sezione “Impostazioni” e di scegliere “Segnala positività”. Immuni ti mostrerà un codice monouso, una sequenza di dieci caratteri generati in modo casuale. Comunica questo codice all’operatore, che ti darà l’autorizzazione a proseguire. Fai clic su “Prosegui”. Immuni ti mostrerà un riepilogo dei dati che saranno caricati. Facendo clic su “Carica i dati”, l’app caricherà i tuoi dati. Ti verrà infine chiesto il permesso per accedere ai codici casuali salvati sul tuo dispositivo. L’app ti mostrerà un messaggio di conferma una volta completato il caricamento».

Più precisamente, l’App genera algoritmi protetti dalla crittografia che danno luogo a una chiave temporanea associata al dispositivo, chiave denominata TEK (temporary exposure key) che cambia giornalmente.

Nel caso in cui un soggetto risulti positivo al Covid ed abbia installato l’App Immuni, potrà acconsentire a rendere disponibile l’elenco delle proprie TEK degli ultimi 14 giorni al fine di attivare l’allerta sui dispositivi che sono entrati in contatto con il proprio.

Con tale autorizzazione, l’App trasmette al sistema l’informazione sanitaria del contagio e anche ulteriori informazioni di interesse per l’indagine epidemiologica (analytics di tipo Epidemiologico), quali la provincia di domicilio dell’utilizzatore, il numero di contatti che ha avuto, la durata dei contatti a rischio.

Il titolare del trattamento dei dati personali è il Ministero della Salute, obbligato ad elaborare una “valutazione di impatto sulla protezione dei dati” (Data Protection Impact Assessment, DPIA) relativa alla predetta App, previo parere del Garante per la protezione dei dati personali, in conformità agli artt. 35 e 36 del GDPR e della specifica normativa emergenziale per fronteggiare la crisi pandemica.

Il Ministero della Salute, con nota del 28 maggio 2020, ha trasmesso al Garante la valutazione di impatto, contenente, tra l’altro, la descrizione del meccanismo di funzionamento dell’App immuni, l’analisi dei rischi per i diritti e le libertà degli interessati e le misure per fronteggiarli, ed il 1° giugno 2020, con provv. Docweb n. 9356568, il Garante ha emesso parere favorevole all’avvio della sperimentazione della App, deliberandone la conformità ai principi in tema di privacy, ma rilevando alcune criticità del sistema ed ha pertanto autorizzato il Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19 di cui all’art. 6 del d.l. 30 aprile 2020, n. 20, nel rispetto di dodici prescrizioni da soddisfare, tra cui:

a) indicare puntualmente nella valutazione d’impatto, l’algoritmo, basato su criteri epidemiologici di rischio e modelli probabilistici, aggiornandolo costantemente, specificando i parametri di configurazione impiegati e le assunzioni effettuate, rendendolo disponibile alla comunità scientifica;

b) informare adeguatamente gli utenti in ordine alla possibilità che l’App generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio;

c) consentire agli utenti dell’App di disattivarla temporaneamente attraverso una funzione facilmente accessibile nella schermata principale, informando di tale facoltà all’atto dell’istallazione dell’Applicazione;

d) individuare le modalità adeguate a proteggere gli analytics nel backend di Immuni, evitandone ogni forma di riassociazione a soggetti identificabili, adottando altresì idonee misure di sicurezza e tecniche di anonimizzazione;

e) precisare, nel modello di informativa, la descrizione delle operazioni effettuate con riferimento agli analytics di tipo Epidemiological;

f) integrare la valutazione d’impatto e l’informativa in relazione alle modalità di esercizio del diritto di cancellazione e di opposizione

g) integrare, sulla base del principio di responsabilizzazione, la valutazione d’impatto con la descrizione del ruolo e delle operazioni ascrivibili ad altri soggetti lì citati o suscettibili, comunque, di coinvolgimento nel Sistema Immuni, evidenziando la sussistenza di eventuali rischi per gli interessati i cui dati siano trattati dal sistema;

g) commisurare i tempi di conservazione degli indirizzi IP nella misura strettamente necessaria al rilevamento di anomalie e di attacchi;

h) adottare misure tecniche e organizzative per mitigare i rischi derivanti dall’upload di TEK non riferite a soggetti positivi a seguito di eventuali errori materiali o diagnostici.

Il Ministero, con nota del 10 febbraio 2021, ha trasmesso una nuova versione della valutazione d’impatto sulla protezione dei dati modificata ed integrata.

Il Garante, con provvedimento del 25 febbraio 2021 (Docweb n. 9555987), ora in esame, ha concesso l’autorizzazione al trattamento dei dati, rilevando che il Ministero ha adempiuto alle prescrizioni indicate, rilevando tra l’altro che, a quanto consta dalla nuova vauazione di impatto integrata in ossequio alle prescrizioni impartite con il precedente provvedimento del 1° giugno 2021 (Docweb n. 9356568) l’interessato è ora in grado di interagire direttamente con il Sistema di allerta Covid-19 inserendo, nell’Apposita sezione dell’App Immuni, il codice CUN (codice univoco nazionale attribuito dal Sistema TS ai referti dei test diagnostici per SARS-CoV-2) associato a un proprio referto con esito positivo unitamente alle ultime 8 cifre della propria tessera sanitaria, con il meccanismo che si è sopra più dettagliatamente descritto, illustrato anche nella nuova valutazione di impatto presentata al Garante per la concessione dell’autorizzazione al trattamento dei dati.

Il Garante ha altresì riscontratto il rispetto del principio di limitazione della conservazione dei dati personali, con particolare riferimento alla conservazione degli analytics [art. 5, par. 1, lett. e), GDPR], la protezione dell’infrastruttura tecnologica con adeguate modalità di conservazione dei dati relativi agli indirizzi IP utilizzati dagli utenti dell’App Immuni e un’adeguata valutazione dei rischi presentati dal trattamento nel suo complesso, con conseguente individuazione delle misure necessarie ad assicurare la protezione dei dati personali in tale contesto, anche con riferimento alle nuove modalità di caricamento delle TEK tramite call center e sblocco in-App, volte a consentire una maggiore efficienza del Sistema di allerta Covid-19 nel suo complesso.

2.2. Sulla condizione di liceità del trattamento mediante App Immuni e sull’uso della stessa su base volontaria, in presenza di adeguata informativa sul suo funzionamento, anche con riguardo all’algoritmo

L’App Immuni, come già precisato, è un’Applicazione per il tracciamento dei contatti per effettuare una mappatura dei contagi da Covid-19, nata per fare fronte alla c.d. seconda ondata dei contagi, con lo scopo di arginare la diffusione del virus e non è escluso che possa essere utilizzata, in futuro, anche per altre analoghe emergenze.

E’ uno strumento di contact tracing, volto a limitare e prevenire i contagi, ove riservatezza e trattamento dei dati raccolti dal Ministero della salute tramite l’applicazione si intersecano a tal punto da porre molti interrogativi [cfr. D. Poletti, Contact tracing e App Immuni: atto secondo, in Persona e mercato, 2021, 1, p. 93, la quale osserva che «Questo scenario oltrepassa la dimensione interindividuale del rapporto medico (o struttura ospedaliera)-paziente che ha sempre connotato il trattamento di dati “particolari” come quelli alla salute e tratteggia un orizzonte più articolato e ancora più complesso»).

Il contact tracing realizza un trattamento di dati personali ed è soggetto all’applicazione del GDPR e ad altre fonto normative, incluso quella in tema di riservatezza nelle comunicazioni elettroniche (direttiva 2022/58/CE sull’e-privacy e relative norme di attuazione contenute nel codice in materia di protezione dei dati personali).

Ai sensi degli artt. 6, par. 1, e 9, par. 2, GDPR il trattamento dei dati personali è lecito in presenza di determinate condizioni, tra cui si citano l’espresso ed esplicito consenso del titolare, oppure il caso in cui occorra proteggere gli interessi vitali dell’interessato o di altra persona, oppure sussista l’esigenza di eseguire un compito di interesse pubblico.

Con riferimento al trattamento posto in essere mediante l’App di contact tracing per la gestione della crisi pandemica, l’EDPB (European Data Protection Board), con proprie Linee Guida n. 04/2020 del 21 aprile 2020, ha precisato che la base giuridica del trattamento (e duqnue la condizione di liceità) va individuata nell’esecuzione di un compito di interesse pubblico di cui all’art. 6, par. 1, lett. e), del GDPR, che (ai sensi dell’art. 6 par. 3, GDPR) deve essere stabilita dal diritto dell’UE o degli Stati membri. A tale condizione di liceità si aggiunge ovviamente quella, omologa, di cui all’art. 9, par. 2, lett. g), GDPR, relativa al trattamento di dati “particolari” (quali quelli relativi allo stato di salute), consentito qualora il trattamento sia «necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure approprate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato».

Entrambe le condizioni di liceità, relative all’interesse pubblico e all’interesse pubblico rilevante, rispettivamente contemplate all’art. 6, par. 1, lett. e), e 9, par. 2, lett. g), del GDPR, sono alternative al consenso dell’interessato, che non è affatto richiesto ai fini del trattamento dei dati, ma necessitano di una specifica previsione normativa volta a individuare l’interesse pubblico o l’interesse pubblico rilevante a base dello specifico trattamento. In altri termini, occorre una precisione normativa per effettuare il trattamento mediante l’App Immuni al fine di soddisfare l’interesse pubblico rilevante per il tracciamento dei contatti rilevanti ai fini del contrasto alla pandemia da Covid-19 e per la segnalazione della positività al virus.

Si tenga altresì presente che il considerando n. 46 del GDPR specifica che «Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica. Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana».

La base giuridica del trattamento è dunque da rinvenire, in relazione agli artt. 6, par. 1, lett. e), e 9, par. 2, lett. g), del GDPR, nella normativa emergenziale e, segnatamente, nell’art. 6 del d.l. 30 aprile 2020, n. 28, convertito, con modificazioni, dall’art. 1, comma 1, della l. 25 giugno 2020, n. 70 (che ha introdotto il «Sisitema di allerta Covid-19»), succ. mod. e integr. dall’art. 2, co. 1, lett. b), del d.l. 7 ottobre 2020, n. 125, conv. con mod. dalla l. 27 novembre 2020 n. 159, oltre che nell’art. 17-bis del d.l. 17 marzo 2020, n. 18 (concernente «Disposizioni sul trattamento dei dati persnali nel contesto emergenziale»), convertito, con modificazioni, dall’art. 1, co. 1, della l. 24 aprile 2020, n. 27. Va poi tenuto conto anche degi numerosi DPCM che sono intervenuti in materia, tra cui ad es., il DPCM del 3 dicembre 2020, che all’art. 5, lett. b), prevedeva espressamente l’obbligo per gli operatori sanitari dei dipartimenti di prevenzione delle ASL di ricorrere all’App Immuni al fine di caricare il codice chiave in presenza di un caso di positività al Covid-19.

Un differente aspetto riguarda l’obbligatorietà o meno dell’uso dell’App in questione per fronteggiare l’emergenza pandemica. È un tema, questo, che non riguarda la condizione di liceità del trattamento, ma l’obbligatorietà o meno dello stesso, il che è tutt’altra cosa. Visto che il consenso al trattamento non è necessario in presenza di un trattamento necessario per la soddisfazione di un interesse pubblico o un interesse pubblico rilevante determinato sulla base di una previsione normativa contenuta nell’ordinamento giuridico dell’UE o di uno Stato membro, il trattamento mediante Immuni è lecito anche senza il consenso dell’interessato, per le ragioni sopra esposte. Ciò non vuol dire, ovviamente, che il trattamento sia obbligatorio per l’utente, non può essergli imposto, sia per ragioni di carattere pratico-operativo, sia per ragioni di ordine giuridico.

L’obbligatorietà del trattamento di per sé appare impraticabile perché implicherebbe, ad esempio, l’obbligo per l’utente di acquistare un dispositivo per il funzionamento dell’App, ove ne sia sprovvisto, di effettuare sia il downolad e che l’installazione dell’App, nonché di portare sempre con sé il dispositivo e di mantenerlo sempre acceso, oltre che di attivare il Bluetooth. Vi sarebbe comunque un ostacolo giuridico al trattameto, in quanto si trattarebbe di tecnologia invasiva e in grado di compromettere in maniera rilevante la riservatezza degli interessati: il trattamento per soddisfare un interesse pubblico rilevante deve comunque essere “proporzionato” alle finalità perseguite e “rispettare l’essenza del diritto alla protezione dei dati”, come richiesto dall’art. 9, par. 2, lett. g), del GDPR.

Il rispetto di tali criteri richiede che il trattamento dei dati, possibile da parte del titolare del trattamento senza necessità del consenso da parte degli interessati, sia comunque facoltativo e non obbligatorio per questi ultimi, il quale in autonomia possono decidere se utilizzare o meno l’App in questione sul proprio device. Il ricorso all’App Immuni deve essere, cioè, il frutto di una libera scelta per l’utente, interessato al trattamento dei dati personali, in linea con la natura non obbligatoria del trattamento dei dati. Tale scelta può avvenire in maniera consapevole solamente se l’interessato sia adeguatamente informato sul funzionamento dell’App, con tutte le sue caratteristiche, incluso l’algoritmo con cui vengono gestiti, tra l’altro, i criteri epidemiologici di rischio e i modelli probabilistici.

Anche la Commissione UE (cfr. Com. 17/04/2020, n. 2020/C126/01, Tabella di marcia comune europea verso la revoca delle misure di contenimento della COVID-19, pubblicata nella G.U.U.E. 17 aprile 2020, n. C 126), ha precisato che l’uso delle App «dovrebbe essere volontario per ciascuno, basato sul consenso degli utenti e totalmente rispettoso delle norme europee in materia di tutela della vita privata e della protezione dei dati personali».

La procedura adottata per il trattamento dei dati tramite la App immuni, che ha ricevuto l’autorizzazione finale del Garante, garantisce il rispetto dei principi di trasparenza, proporzionalità, minimizzazione dei dati e temporaneità perché:

1) assicura che gli utenti che scaricano la App sul proprio smartphone ricevano informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, imprescindibile anche per assumere le decisioni in ordine alla soggezione al trattamento non obbligatorio, ma facoltativo, mediante l’App medesima. Sono messi a disposizione sia le specifiche tecniche della App sia i requisiti richiesti per la compliance in materia di protezione dei dati personali. La App è disponibile gratuitamente anche negli store di Apple e Google, oltre che sul sito ufficiale (https://immuni.italia.it) su cui sono disponibili la documentazione e le informazioni utili sul suo funzionamento; inoltre è stato attivato un numero verde per fornire chiarimenti a cittadini ed operatori sanitari;

2) in conformità al principio di minimizzazione, il trattamento relativo al contact tracing riguarda esclusivamente i dati diretti a tracciare i contatti stretti e non i movimenti o l’ubicazione del soggetto, escludendo ogni mappatura attraverso sistemi di geolocalizzazione e/o tracciamento costante dell’ubicazione dei soggetti che hanno scaricato l’App;

3) circa la durata, il trattamento non potrà perdurare oltre il periodo di emergenza ed entro la medesima data tutti i dati personali trattati dovranno essere cancellati o resi definitivamente anonimi.

Connotato dalle predette caratteristiche, di cui viene reso edotto l’utente, il trattamento dei dati, modificato secondo le prescrizioni imposte dal Garante per la protezione dei dati personali e corredato dalla nuova valutazione di impatto, ritenuta adeguata dall’Authority medesima, ha ricevuto la definitiva autorizzazione.

3. Precedenti

La questione ha il suo più immediato precedente nel citato provvedimento reso dal Garante per la protezione dei dati personali il 1° giugno 2020, Docweb n. 9356568, con cui è stata inizialmente concessa l’autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19, App Immuni, con indicazione di dodici prescrizioni per il Ministero della salute, quale titolare del trattamento. A seguito delle modifiche apportate in ossequio alle prescrizioni impartite dal Garante, con il citato provv. doc. web n. 9555987 del 25 febbraio 2021, ora in esame, il Garante ha riscontrato la correttezza degli adeguamenti prescritti e la complaince alla disciplina di settore, autorizzando definitivamente il trattamento.

Degno di nota, in materia, è anche il provv. del 29 aprile 2020, Docweb n. 9328050, con cui il Garrante ha espresso il proprio «Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da Covid-19», ricollegabile alle Linee Guida n. 04/2020 del 21 aprile 2020, rese dall’EDPB sull’utilizzo dei dati di localizzazione e deli strumento per il tracciamento dei contatti nel contesto dell’emergenza legata al Covi-19 (ved., sul sito del Garante, Docweb n. 9322516).

Poiché la questione si inserisce nella tematica del bilanciamento tra diritti costituzionali, salute (art. 32 Cost.) da un lato e privacy (artt. 2, 14, 15, 21 Cost.) dall’altro, si cita al riguardo, tra le tante emanate in materia di contemperamento tra diversi diritti fondamentali, anche la sentenza della Consulta n. 85/2013, sul noto caso Ilva, ove si legge che «Tutti i diritti fondamentali tutelati dalla Costituzione si trovano in rapporto di integrazione reciproca e non è possibile pertanto individuare uno di essi che abbia la prevalenza assoluta sugli altri, per cui la tutela deve essere sempre “sistemica e non frazionata in una serie di norme non coordinate ed in potenziale conflitto tra loro” (C. Cost., sent. 264 del 2012). Se così non fosse, si verificherebbe l’illimitata espansione di uno dei diritti, che diverrebbe “tiranno” nei confronti delle altre situazioni giuridiche costituzionalmente riconosciute e protette, che costituiscono, nel loro insieme, espressione della dignità della persona» (Corte Cost., sent. 85/2013, cit.). Ancora, ivi viene ulteriormente ribadito che «Per le ragioni esposte, non si può condividere l’assunto (…) secondo cui l’aggettivo “fondamentale”, contenuto nell’art. 32 Cost., sarebbe rivelatore di un “carattere preminente” del diritto alla salute rispetto a tutti i diritti della persona. Né la definizione data da questa Corte (…) della salute come “valor[e] primari[o]” (sentenza n. 365 del 1993 […]) implica una “rigida” gerarchia tra diritti fondamentali. La Costituzione italiana, come le altre Costituzioni democratiche e pluraliste contemporanee, richiede un continuo e vicendevole bilanciamento tra princìpi e diritti fondamentali, senza pretese di assolutezza per nessuno di essi. (…) Il punto di equilibrio, proprio perché dinamico e non prefissato in anticipo, deve essere valutato – dal legislatore nella statuizione delle norme e dal giudice delle leggi in sede di controllo – secondo criteri di proporzionalità e di ragionevolezza, tali da non consentire un sacrificio del loro nucleo essenziale» (Corte Cost., sent. 85/2013, cit.). È appunto quanto avvenuto nella legislazione d’emergenza, nell’individuazione dei trattamenti mediante l’App di contact tracing, necessari per il soddisfacimento dell’interesse pubblico rilevante ai fini della gestione della crisi pandemica, bilanciato dalla non obbligatorietà del trattamento e, dunque, dall’adesione volontaria dell’utente-interessato al trattamento, ai fini della salvaguarsia del nucleo essenziale del diritto alla protezione dei dati personali, sottoposto a sacrificio, il tutto con il presidio del Garante, investito ex lege dell’attività di controllo.

4. Bibliografia

Con riferimento alle questioni giuridiche relative al rapporto tra pandemia da Covid-19 e disciplina in materia di protezione dei dati personali, oltre che sul tema specifico relativo all’App di contact tracing, si veda, segnatamente: D. Poletti, Il trattamento dei dati inerenti alla salute all’epoca della pandemia: cronaca dell’emergenza, in Persona e mercato, 2020, 2, pp. 65 ss.; D. Poletti, Contact tracing e App Immuni: atto secondo, in Persona e mercato, 2021, 1, pp. 92 ss.; G. Resta, La protezione dei dati personali nel diritto dell’emergenza Covid-19, in giustiziacivile.com, editoriale del 5 maggio 2020; V. Cuffaro-R. D’orazio, La protezione dei dati personali ai tempi dell’epidemia, in Corriere giuridico, 2020, 6, pp. 729 ss.; C. Colapietro-A. Iannuzzi, App di contact tracing e trattamento dei dati con algoritmi: la falsa alternativa tra tutela del diritto alla salute e protezione dei dati personali, in Dirittifondamentali.it, 2020, 2, pp. 803 ss.; S. Fidanzia, Il bilanciamento dei diritti costituzionali nella giurisprudenza amministrativa in tempo di emergenza da Covid-19, in Il Merito, 2020, 2, pp. 1 ss.; F.P. Micozzi, Le tecnologie, la protezione dei dati e l’emergenza Coronavirus: rapporto tra il possibile e il legalmente consentito, in BioLaw Journal, 2020, 1 (special issue), pp. 623 ss.; T. Pertot, Immuni e tracciamento digitale: la protezione dei dati personali, problemi di efficacia e qualche prospettiva futura, in Nuove leggi civ. comm., 2020, 5, pp. 1131 ss.

Sul tema più generale delle condizioni di liceità del trattamento si rimanda, invece, a F. Bravo, Le condizioni di liceità del trattamento di dati personali, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, pp. 110-193; F. Bravo, Il consenso e le altre condizioni di liceità del trattamento di dati personali, in G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, pp. 101-178; nonché D. Poletti, Le condizioni di liceità del trattamento dei dati personali, in Giur. it., 2019, 12, p. 2783 ss.; D. Poletti, Comm. all’art. 6 (Liceità del trattamento), in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, p. 191 ss.

In materia di bilanciamento tra diritti fondamentali, anche in relazione alla protezione dei dati personali, si veda invece F. Bravo, Sul bilanciamento proporzionale dei diritti e delle libertà “fondamentali”, tra mercato e persona: nuovi assetti nell’ordinamento europeo?, in Contratto e impresa, 2018, 1, pp. 190-216. In tema di trasparenza dell’algoritmo, seppur in direzioni diverse rispetto a quella legata all’uso dell’App di concat tracing, si rimanda infine a F. Bravo, Trasparenza del codice sorgente e decisioni automatizzate, in Dir. inf., 2020, 4-5, pp. 693-724; F. Bravo, Rating reputazionale e trasparenza dell’algoritmo. Il caso “Mevaluate”, in Dir. inf., 2021, 6, pp. 1001-1029.