Contact Tracing: Regione che vai, App che trovi. Stop del Garante
App sul tracciamento anti-Covid: quali requisiti?
La permanenza di un elevato numero dei contagi a distanza da oltre un mese dal lockdown, assieme alla contestuale programmazione della fase di riapertura delle attività su tutto il territorio nazionale, ha spinto il governo a ricercare le più idonee misure per garantire il distanziamento sociale e il contenimento del contagio.
Per attuare tale politica di prevenzione, si è ritenuto di procedere al contact tracing: la tracciatura dei contatti è considerata una delle azioni di sanità pubblica utilizzate per la prevenzione e contenimento della diffusione di molte malattie infettive.
Con l’ordinanza n. 10/2020 del 16 aprile 2020, il Commissario straordinario per l’emergenza ha disposto di di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a. per la realizzazione dell’App “Immuni”, utilizzabile su tutto il territorio nazionale.
La misura disposta dal Commissario rappresenta soltanto l’ultima delle molteplici iniziative consolidatesi a livello regionale: nell’inerzia statuale, infatti, varie regioni hanno provveduto alla realizzazione ovvero sperimentazione di App in grado di monitorare gli spostamenti nel territorio regionale, specialmente nel caso di soggetti sottoposti a quarantena obbligatoria.
Tra le varie Regioni, la Sardegna è stata una delle prime che ha deciso di ricorrere alle app di contact tracing. Pertanto, è stata predisposta l’app Covid 19 Regione Sardegna: si tratta di un’app scaricabile sia su dispositivi Android, sia su dispositivi ios, che completa le misure già adottate per tracciare gli spostamenti dei soggetti di recente sbarcati sull’isola. Ispirandosi al modello coreano, l’app mira a tracciare in tempo reale gli spostamenti delle persone, sfruttando i loro smartphone e tecniche avanzate di geolocalizzazione.
In particolare, il sistema si prefiggeva un obiettivo ambizioso, consistente nel monitoraggio della posizione degli utenti ogni 60 secondi, comune per comune, con approssimazione fino al numero civico.
L’impiego delle App, anche se gestite da autorità pubbliche, richiede comunque il rispetto degli standard previsti dal GDPR in tema di protezione dei dati personali e di sicurezza del trattamento.
Come chiarito anche dal Comitato dei Garanti (EDPB) con le recenti Guidelines 3/2020, anche il trattamento di dati relativi alla salute attraverso app deve essere conforme al GDPR. In particolare, dovranno essere garantiti:
- La sussistenza di una base giuridica legittimante le operazioni di trattamento;
- La trasparenza e la correttezza del trattamento, anche attraverso la predisposizione dell’informativa ai sensi degli artt. 13 – 14 GDPR;
- La predisposizione di misure che garantiscano la sicurezza del trattamento;
- L’esercizio dei diritti degli interessati di cui agli artt. 15-22 GDPR.
Tali linee sono state ribadite dal Garante privacy, che nel rammentare le regole fissate dall’Europa per il tracciamento, ha confermato l’impossibilità di ricorrere alla geolocalizzazione, optando al contrario per la tecnologia bluetooth, garantendo anonimato e volontarietà.
Per quanto riguarda la differenziazione regionale, il Garante privacy ha consigliato l’arresto di ogni iniziativa regionale a contenuto tecnologico. Occorrerebbe, invece, uniformare al massimo i comportamenti per inserire il data tracing in una strategia più generale che consenta di scongiurare nuovi focolai. Pertanto, se ogni regione adottasse la sua app ed effettua il suo tracciamento, il potere persuasivo viene meno e il rischio di trattamento scorretto dei dati aumenta a dismisura.
La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya
Le recenti misure adottate a livello nazionale confermano che per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR, nonché delle più importanti applicazioni pratiche, costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.
Per tali ragioni, Hedya propone:
- percorsi di formazione e aggiornamento;
- percorsi di approfondimento e perfezionamento;
- servizi di consulenza per verificare la conformità alla normativa rilevante in materia.
Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.
In particolare, si prevede:
- Corsi di formazione per Data Protection Officer
- Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
- Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;
- Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati
- Corso “GDPR: LE PRINCIPALI NOVITÀ SULLA PROTEZIONE DEI DATI PERSONALI”, per consentire a tutti i soggetti coinvolti nel trattamento dei dati personali (ad esempio, personale dipendente) di ottenere un’adeguata formazione e aggiornamento in materia di gestione dei dati personali.
- Non da ultimo, risulta indispensabile formare l’amministratore di sistema attraverso il corso “Amministratore di sistema”, appositamente dedicato a tale figura.
Ulteriori dettagli sui percorsi formativi sono disponibili qui.