Il parere del Garante privacy sulla disciplina proposta per l’app di tracciamento dei contatti

Il Garante per la privacy, con provvedimento del 29 aprile 2020, ha adottato un parere sulla proposta normativa per la previsione di una app volta al tracciamento dei contagi da COVID-19.

L'Autorità ha rilevato che la norma presentata ha tenuto in considerazione gli aspetti da essa già segnalati durante apposita audizione parlamentare, nonché quelli segnalati dal Comitato europeo per la protezione dei dati nelle apposite Linee guida del 21 aprile scorso.

In tal senso, il sistema di contact tracing (o “sistema di allerta”) prefigurato sarebbe conforme ai principi sulla protezione dei dati. A supporto di questa conclusione, il Garante evidenzia, ad esempio, che il sistema è stato disciplinato mediante una norma di legge sufficientemente dettagliata rispetto alle caratteristiche del trattamento, che si fonda sull'adesione volontaria dell'interessato (con esclusione di ogni forma di condizionamento) e che risulta preordinato esclusivamente al perseguimento di fini di interesse pubblico. Il sistema, inoltre, rispetterebbe i principi di minimizzazione e i criteri di privacy by design e by default, prevedendo il solo trattamento dei dati di prossimità, con esclusione di quelli di geolocalizzazione, e l'automatica cancellazione dei dati alla scadenza del termine previsto.

L'Autorità ha dunque espresso parere favorevole sulla proposta normativa, limitandosi a indicare alcune lievi modifiche da introdurre in alcuni punti del testo.

La normativa sul sistema di contact tracing, da ultimo, è stata adottata con il decreto legge n. 28 del 30 aprile 2020, attualmente in vigore. Il decreto ha previsto che la piattaforma di gestione del sistema sarà di titolarità pubblica e che verrà realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale. In ogni caso, l'utilizzo dell'app e della piattaforma e ogni relativo trattamento di dati personali sarà interrotto alla data di cessazione dello stato di emergenza nazionale e comunque non oltre il 31 dicembre 2020 (data in cui tutti i dati personali saranno cancellati o resi definitivamente anonimi).

(Garante per la protezione dei dati personali, provvedimento del 29 aprile 2020)

(Decreto legge n. 28 del 30 aprile 2020)