Il sistema di tracciamento durante l’epidemia da COVID-19: l’app italiana “Immuni”

1. Introduzione

Da un paio di mesi l’Italia si trova in una situazione di piena emergenza sanitaria a causa del Covid-19, il nuovo coronavirus che ha stravolto le nostre vite repentinamente. In base ai decreti varati dal Presidente del Consiglio Giuseppe Conte è stata imposta una limitazione alla circolazione dei cittadini nelle città con l’obiettivo di arginare la diffusione del virus. Nonostante il c.d. lockdown dichiarato il 9 marzo 2020 ancora molti cittadini escono o a piedi o in auto e questo è dimostrato dai dati forniti dalla Regione Lombardia, la regione più colpita in assoluto per contagi e decessi.[1] Si è quindi diffusa l’idea, a livello istituzionale, di tracciare attraverso le celle telefoniche e i dati dei social network, i movimenti delle persone per avere un maggiore controllo sulle stesse. È chiaro che affrontare questa situazione non è affatto semplice, anzi stiamo vedendo le numerose difficoltà in primis per il personale medico e sanitario, ma anche per le istituzioni chiamate a gestire una emergenza mai vissuta prima dal Paese. Anche l’Organizzazione Mondiale della Sanità si è espressa a favore del ‘contact tracing’ per contenere la pandemia.[2] Il Garante per la protezione dei dati personali, nella persona del Presidente Soro, ha evidenziato che già la regione Lombardia, attraverso alcune compagnie telefoniche, ha analizzato gli spostamenti dei cittadini, garantendo tuttavia una acquisizione anonima di questi dati. Nonostante la odierna centralità del ruolo del Garante, quest’ultimo non era stato informato dell’iniziativa adottata dalla regione Lombardia.[3] È notizia di pochi giorni fa il via libera all’utilizzo dell’app italiana per il tracciamento del contagio del Covid-19. L’app si chiama ‘Immuni’ ed è stata firmata dal Commissario Arcuri l’ordinanza per l’acquisizione dell’app e la stipula del contratto con Bending Spoons.[4] Il sistema di contact tracing messo a punto in Italia dovrebbe essere di sostegno alla c.d. Fase 2 della lotta al Covid-19, cioè la fase in cui si dovrebbero allentare le misure del lockdown in atto da marzo. In quest’ultima settimana il dibattito riguardo il funzionamento dell’app, il tracciamento e la raccolta dati si è fatto sempre più ampio. A tal riguardo l’esecutivo prevede che si assegni al Ministero della Salute la gestione e il funzionamento dell’app in accordo con la protezione civile che saranno titolari del trattamento dati ex art. 28 GDPR.

2. Il contact tracing nella lotta al Covid-19

Oggi l’impiego delle nuove tecnologie come il contact tracing e la geolocalizzazione dimostrano la possibilità di arginare il contagio attraverso il controllo degli spostamenti delle persone, in particolare di coloro che hanno contratto il virus. Si tratta di una soluzione che se adottata consentirebbe di individuare chiunque abbia avuto contatti con un soggetto positivo al Covid-19. Questo comporta l’inserimento di informazioni e dati sui luoghi frequentati e sulle persone incontrate per avere un quadro dei soggetti da contattare (innanzitutto familiari, ma anche colleghi di lavoro). Ad esempio Stati come Sud Corea o Taiwan hanno già adottato il contact tracing ed è dimostrato che essi siano riusciti a contenere i contagi nei loro territori rilevando gli spostamenti dei cittadini. Siamo di fronte ad una modalità già conosciuta e adottata da altri stati per prevenire o contenere fenomeni virali.[5] Il modello adottato dalla Sud Corea ha dimostrato la possibilità di arginare il contagio agendo nell’immediatezza, senza dover dichiarare il blocco totale dello Stato. Sono stati eseguiti tamponi direttamente dalle autovetture e i tempi di risposta erano molto celeri (15 minuti in confronto alle 4-6 ore necessarie per ottenere il risultato del tampone). Tuttavia l’elemento che rappresenta la novità nella lotta al virus è l’uso delle nuove tecnologie che ha dato la possibilità di tracciare e, dunque, individuare i focolai di Covid-19 presenti nel paese attraverso un sistema che segnalava su una mappa la presenza di soggetti positivi al virus indicando anche quando era avvenuto il transito in quella determinata area. La raccolta di questi dati, anonimizzati, ha consentito alle autorità del Sud Corea di “mappare il virus e la sua propagazione, indicando, nelle singole zone geografiche, la presenza in un determinato arco temporale, di persone contagiate dal virus”.[6]

3. Il modello coreano può essere applicato in Italia?

Dai dati che quotidianamente vengono forniti è emerso come l’Italia sia uno dei paesi con il maggior numero di contagi e la cui situazione ha mostrato appieno la sua gravità, ma è evidente che nessuno Stato è esente dal contagio. Allora la domanda da porsi è se il modello adottato dalla Sud Corea può essere adottato anche nel nostro Paese. È chiaro che da una parte questa modalità consente di ‘controllare’ il virus, ma dall’altra il tracciamento dei dati delle persone può avere risvolti negativi nell’ambito delle libertà riconosciute e garantite da un paese. E’ appurato che il tracciamento è una forma di controllo, di ‘sorveglianza’ della popolazione. Finora l’Italia si è affidata al cd. lockdown, seguita, di fatto, anche da altri Stati come ad esempio la Spagna. Tenendo conto del Decreto del Presidente del Consiglio Conte del 8 marzo 2020 è previsto all’art. 1 l’obbligo per un cittadino di giustificare i suoi spostamenti validi esclusivamente per esigenze di lavoro o situazioni di necessità o di salute nel caso in cui si venga fermati dalle forze di polizia incaricate di effettuare i controlli sul territorio. Ciò che va preso in considerazione e discusso è la modalità con cui viene attuato il contact tracing. Esso deve necessariamente tenere conto delle disposizioni in materia di privacy e protezione dei dati personali nel rispetto del Reg. UE 2016/679 e del D. Lgs. 101/2018. I sistemi usati dalla Corea del Sud, ma anche dalla Cina comportavano (e comportano) un controllo sulla popolazione, anche attraverso la videosorveglianza, con l’obiettivo di imporre ai soggetti contagiati l’obbligo di restare in casa e di non violare le misure adottate, il tracciamento attraverso degli spostamenti dei soggetti trovati positivi per ricostruire i legami e i rapporti con altre persone, e infine la realizzazione di una sorta di ‘censimento’ della popolazione positiva al virus per consentire alle autorità di effettuare interventi mirati.[7] Già dal mese di febbraio in Corea del Sud il governo faceva ricorso all’app di geolocalizzazione. Vige il divieto di violare le misure adottate da governo, ma nel caso di mancato rispetto delle stesse viene avviato un meccanismo di ritorsione nei confronti del soggetto che ha violato la quarantena al punto da portarlo a riconoscersi nei particolari dettagli che vengono diffusi.[8] Da qui si può dedurre che nel nostro ordinamento, questi atti non sono pensabili o attuabili.[9] Tuttavia sono state previste dal Governo italiano sanzioni di tipo pecuniaro che vengono irrogate nel momento in cui le autorità chiamate ad effettuare i controlli accertano che vi sono cittadini che non osservano in maniera rigorosa le prescrizioni governative.

4. Il contact tracing alla prova del Reg. UE 2016/679

Stefano Quintarelli esperto di AI presso la Commissione Europea ha proposto con il suo team il ‘Coronavirus outbreak control’ con la finalità di monitorare i soggetti che hanno contratto il virus. Si tratta di un app (Covid Anonymous Tracker) che deve ‘controllare’, in maniera anonima, i dispositivi elettronici che si trovano nelle vicinanze del nostro dispositivo. Il funzionamento di questa app dipende dal bluetooth del proprio smartphone, quindi il raggio di azione è limitato alle vicinanze in cui ci si trova. L’app Covid Anonymous Tracker raccoglie gli ID anonimi dei proprietari degli smartphone che si trovano in una determinata zona. Essa consente ai medici che operano a contatto con soggetti contagiati di poter aggiornare, quotidianamente, i dati in modo da avere un quadro sempre completo della casistica. Il PEPP-PT (acronimo di Pan European Privacy Preserving Proximity Tracing) vede la collaborazione di 130 ricercatori di 8 Paesi per lo sviluppo di app di contact tracing. È stato lanciato un sistema che utilizza il bluetooth nel rispetto delle norme del Reg. UE 2016/679.[10] Qualsiasi attività di tracciamento che uno stato membro UE vorrà mettere in campo dovrà rispettare determinati principi regolamentati dal GDPR. Queste app avranno un ruolo fondamentale nel contenimento/rallentamento dei contagi da COVID-19 “una volta che le misure di blocco a livello nazionale saranno riuscite ad appiattire la curva di diffusione della pandemia”.[11] In primis si dovrà tenere conto delle finalità in base alle quali viene attuato il contact tracing, ovvero arginare la diffusione del virus. In secondo luogo si deve prendere in considerazione la modalità di attuazione. Significa che i dati raccolti e un loro eventuale incrocio dovrà avvenire garantendo l’osservanza delle disposizioni del Reg. UE 2016/679. Altro punto di fondamentale importanza riguarda l’arco temporale durante il quale vengono raccolti e utilizzati questi dati. Essi potranno essere utilizzati esclusivamente per il periodo necessario per contenere il virus. In tal caso la base giuridica più idonea è rappresentata dall’art. 9 GDPR che di fronte a dati relativi alla salute, cioè a dati particolari, ne vieta il trattamento, ma trovandoci, tuttavia, in una situazione di reale emergenza sanitaria a livello nazionale – oltre che globale – il riferimento normativo è il paragrafo 2 dell’art. 9 GDPR che alla lett. i) prevede che “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”. Si tratta di una deroga che viene riconosciuta dal Regolamento del 2016. Il disposto dell’art. 9 GDPR si ricollega ad una serie di garanzie che possono essere individuate anche nei considerando e, in particolare, nel n. 46 che prevede che il trattamento dei dati personali sia “considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica” .[12] Nell’ambito della categoria di dati sensibili e particolari godono di una particolare forma di tutela i dati relativi alla salute di un soggetto.[13] Nel nostro ordinamento, in seguito al recepimento del GDPR attraverso il D.Lgs. 101/2018 può essere individuata una novità afferente al trattamento “di dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale delle persone”.[14] Analizzando invece il successivo paragrafo 4 dell’art. 9 GDPR si evidenzia come gli Stati membri possano agire introducendo condizioni o misure più restrittive in particolare relativamente ai dati sanitari, ad esempio quando uno Stato si trova ad affrontare situazioni emergenziali come quella che stiamo vivendo. A tal riguardo il legislatore italiano ha inserito questa disposizione nell’art. 2 septies del Codice Privacy modificato nel 2018 e rubricato “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute” asserendo che “i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo e in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo”. Da qui si evince che i trattamenti sanitari devono essere previsti per legge e regolamentati in modo tale da garantire oltre alle misure di sicurezza anche la pseudonomizzazione.[15]

In data 29 aprile 2020 il Garante Privacy ha espresso il suo parere favorevole, in seguito alla richiesta della Presidenza del Consiglio dei Ministri, “sulla proposta normativa concernente il tracciamento dei contatti fra soggetti tramite apposta applicazione sui dispositivi di telefonia mobile” sulla base della disposizione dell’art. 57 par.1 lett. c) del Regolamento UE 2016/679.[16]

5. L’app italiana: Immuni. Potrà funzionare?

Immuni è l’app italiana per il tracciamento del contagio da Covid-19. È stata scelta a livello governativo e il Commissario Arcuri ha firmato l’ordinanza con la quale viene data autorizzazione alla “stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons SpA” che si presterà ai successivi aggiornamenti che si renderanno necessari.[17] L’azione della Bending Spoons SpA si è inserita in un contesto di solidarietà che il Paese sta ricevendo per fronteggiare l’emergenza sanitaria in primis, che presenta ovviamente forti risvolti sociali ed economici.[18] Il Commissario straordinario Arcuri ha evidenziato che l’app ‘Immuni’ “sarà un pilastro importante nella gestione della fase successiva dell’emergenza”, cioè la Fase 2. La scelta dell’app non è stata immediata perché è stata scelta tra ben 300 proposte giunte al Ministero dell’Innovazione. Come evidenziato dall’ EPDB la finalità delle app è essere “strumenti per dare alle persone la possibilità di fare la propria parte”.[19] L’obiettivo, quindi, è dare la possibilità alle autorità sanitarie di ricostruire i rapporti di soggetti positivi al COVID-19 e di conseguenza di prevedere il loro isolamento e di effettuare tutte le analisi del caso. Come funziona l’app? Come già evidenziato nel paragrafo precedente, il funzionamento è legato al sistema bluetooth, seguendo di fatto quanto previsto dalla Commissione Europea il 14 aprile 2020 che ribadisce la necessità di rispettare le norme in materia di protezione dei dati personali e di agire seguendo “criteri di responsabilizzazione, documentando attraverso una valutazione di impatto sulla protezione dei dati tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default”.[20] Infatti vengono fissate, a livello comunitario, alcuni punti chiave tra cui il divieto di geolocalizzazione e la garanzia di anonimato. Su questi punti gli Stati membri UE si sono mostrati concordi nell’adottare “soluzioni che minimizzano il trattamento dei dati personali”.[21] Va evidenziato che uno dei punti di partenza è il concetto di volontarietà, ma anche di agire comune tra gli Stati comunitari. Perché si è scelto di ricorrere al bluetooth? Perché si tratta di una tecnologia che deve “stimare con sufficiente precisione la vicinanza tra le persone per rendere efficace l’avvertimento” nel caso in cui si sia entrati in contatto con un soggetto positivo al Covid-19.[22] Il Bluetooth Low Energy opera assegnando un ID temporaneo all’utente ed evita che i dati ‘escano’ dal dispositivo dell’utente. Per quanto riguarda il funzionamento dell’app uno dei primi punti è il rispetto dell’anonimato; è quindi previsto che vengano utilizzati dei codici di identificazione degli utenti (c.d. ID). Venendo ora ad una ‘conclusione’ e partendo dalla concezione che si tratta di un app su base volontaria, ovvero il cittadino è libero di effettuare o meno il download (a partire dagli inizi di maggio), riuscirà ad assolvere al fine per il quale è stata pensata?[23] È necessario che venga fatta luce su alcuni punti innanzitutto relativamente a quali dati personali verranno trattati e di conseguenza minimizzati ex art. 5 GDPR. Inoltre è stato chiarito che il trattamento dei dati che verranno raccolti tramite l’app Immuni dovrà cessare entro il 31 dicembre 2020 o dovranno essere resi anonimi. Questi dati verranno conservati anche sullo smartphone dell’utente. Non è prevista, come già detto in precedenza, la geolocalizzazione, vietata in base alla normativa attualmente in vigore. Un altro punto sul quale erano stati sollevati dubbi riguardava la mancata DPIA. Fortunatamente viene specificato che dovrà essere fatta la valutazione di impatto sulla protezione dei dati personali ex art. 35 GDPR.  Viene prevista l’obbligatorietà della DPIA nel caso in cui il trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione di impatto dei trattamenti previsti sulla protezione dei dati personali”.

6. Come funziona il contact tracing con l’app ‘Immuni’?

Il Ministero per l’innovazione tecnologica e la digitalizzazione ha fornito degli aggiornamenti sul c.d. contact tracing considerato fin dall’inizio, in accordo con il Ministero della Salute, una ipotesi da considerare. [24] Nel caso in cui Governo, che sta seguendo questa strada, e Parlamento dovessero “renderlo operativo, il contact tracing potrebbe aiutare ad identificare individui potenzialmente infetti prima che emergano sintomi e, se condotto in modo sufficientemente rapido, potrebbe impedire la trasmissione successiva del virus dai casi secondari”.[25] Dal punto di vista tecnico, e sulla base dei dati forniti dall’ECDC (European Centre for Disease Prevention and Control), un’operazione di contact tracing ‘manuale’ avviene nell’arco di 12 ore, tuttavia emerge la ‘difficoltà’ nel “identificare tutti i contatti del soggetto che ha contratto il virus o comunque a ridurre il numero di contatti secondari infettati non identificati e isolati sotto l’unità”, invece il contributo che la tecnologia può apportare in questa delicata fase che stiamo attraversando è molto importante perché consente una drastica riduzione dei tempi di tracciamento dei soggetti entrati in contatto con la persona risultata positiva al COVID-19. Nel momento in cui un soggetto effettua il download dell’app ed è positivo al Covid-19, riceverà un codice dagli operatori sanitari attraverso il quale scaricare su un server ministeriale “il log degli ID con cui è stato in contatto nei giorni precedenti (a un metro, per un numero sufficiente di secondi), così da consentire il loro ‘abbinamento’ agli utenti che hanno scaricato l’app”. a questo punto, attraverso gli algoritmi viene effettuata una valutazione individuando “la vicinanza fra i dispositivi e tempo di esposizione fra gli stessi e restituisce un valore di ‘rischio contagio’ e genera un elenco di persone da avvertire” attraverso notifiche inviate agli smartphone, cioè messaggi concordati dall’autorità sanitaria portando così all’avvio del protocollo sanitario predisposto per l’emergenza che stiamo vivendo. Il percorso che porterà all’adozione dell’app è ancora in evoluzione poiché si attende di sapere dal Governo quale sarà il server ministeriale al quale si appoggerà l’app Immuni per scaricare il log degli ID con cui il soggetto positivo al coronavirus è entrato in contatto.[26]

7. Conclusioni

In Italia l’obiettivo che l’app dovrà perseguire non è la geolocalizzazione, bensì ricostruire i contatti tra persone. Una sorta di ‘mappatura’ “delle prossimità fra cittadini”[27]. Di fatto non si ricorrerà al modello coreano[28], e sarà un app che potrà essere scaricata su base volontaria e che grazie al bluetooth e wi-fi “avverte chi è entrato in contatto con una persona risultata positiva”. Tuttavia la volontarietà del sistema potrebbe non avere l’efficacia sperata vanificandone gli sforzi e i sacrifici sostenuti in fase di sviluppo.[29] Perché l’app possa esplicare la sua efficacia è necessario che almeno il 60% degli italiani ne effettui il download. Va, inoltre, evidenziato che una parte degli italiani non ha familiarità con gli strumenti tecnologici e con probabilità questo sarà un vulnus che questa app dovrà affrontare. Il Ministro per l’Innovazione, Paola Pisano, ha chiarito che “l’obiettivo è ridurre le possibilità di contagio, ma non sarà una sola applicazione a risolvere tutto. L’applicazione è parte di un sistema integrato del quale i protagonisti saranno inevitabilmente aspetti non tecnologici”.

A livello comunitario sono state dettate le linee guida da rispettare, da ultimo le Guidelines 04/2020 “on the use of location data and contact tracing tools in the context of COVID-19 outbreak” ove viene evidenziata la necessità di garantire, in particolare nei casi di emergenza sanitaria come quella che stiamo vivendo, la protezione dei dati per creare le condizioni per ‘l’accettabilità sociale’ di azioni o soluzioni atte a garantire la salute della collettività.[30] Viene così riconosciuto il ruolo che la tecnologia può avere in una fase così complessa ovvero quello di essere uno ‘strumento’ per combattere il virus e cioè non per controllare, come se si fosse in un ‘grande fratello’, bensì per rafforzare questa battaglia che gli stati e i cittadini stanno affrontando.[31] Nell’era delle nuove tecnologie e dell’intelligenza artificiale da applicare alla situazione emergenziale che stiamo vivendo sorge la necessità di mostrarsi consapevoli dell’importanza della protezione e tutela dei dati personali, in particolare dei dati sanitari intesi come dati sensibili. Il periodo successivo a questa emergenza sanitaria sarà molto delicato per la tutela dei dati che sono stati raccolti, sono dati “appetibili”[32], ma saranno dati che non potranno più essere utilizzati nel rispetto del GDPR, come evidenziato nel paragrafo precedente.

Oggi, per via delle norme varate e della situazione che ci troviamo a vivere, anche i nostri diritti appaiono ‘limitati’ per la tutela di un bene superiore, quale è la salute pubblica, ma deve essere chiaro che una volta superata l’emergenza sanitaria sia i nostri diritti, costituzionalmente riconosciuti, che la tutela dei nostri dati personali dovranno tornare al centro dell’attenzione ed essere garantiti e riconosciuti a tutti gli effetti.

[1] DPCM 9 marzo 2020 recante “ulteriori disposizioni attuative del decreto legge 23 febbraio 2020 n. 6, recante misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19 applicabili sull’intero territorio nazionale”. Qui disponibile: https://www.gazzettaufficiale.it/eli/id/2020/03/09/20A01558/sg

Per un approfondimento si veda: M. Pennisi, S. Ravizza, AllertaLOM, app di Regione Lombardia per mappare gli infetti: ecco come funziona, in Corriere  della Sera, 1 aprile 2020. Qui disponibile: https://www.corriere.it/tecnologia/20_aprile_01/app-mappare-infetti-debutta-lombardia-governo-chiama-74-esperti-e4964616-73e6-11ea-b181-d5820c4838fa.shtml

[2] L’OMS ha scritto: “We have seen a rapid escalation in social distancing measures like closing schools &cancellinge sporting events & other gatherings. But we haven’t seen an urgent enough escaltion in testing, isolation & contact tracing, which isthe backbone of the COVID 19”

[3] Intervista al Presidente del Garante per la protezione dei dati personali, Coronavirus, come funzionato il controllo delle celle e il tracciamento dei contagi. Il Garante: “Non bisogna improvvisare”, a cura di M. Pennisi, Corriere della Sera, 18 marzo 2020. Qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9294705

[4]Redazione Forbes, Chi sono i giovani italiani di Bending Spoons: gli ideatori della app Immuni, 17 aprile 2020, qui disponibile:https://forbes.it/2020/04/17/coronavirus-app-di-tracciamento-immuni-bending-spoons-gli-ideatori/

[5] L. Mischitelli, App contro il coronavirus, ecco le tecniche per la privacy, 3 aprile 2020. Qui disponibile:  https://www.agendadigitale.eu/sicurezza/privacy/app-contro-il-coronavirus-le-tecniche-per-la-privacy/

[6] F. De Stefani, Covid-19, il contenimento della diffusione attraverso la tecnologia e il contact tracing, 16 marzo 2020, qui disponibile: https://www.bigdata4innovation.it/big-data/covid-19-il-contenimento-della-diffusione-attraverso-la-tecnologia-e-il-contact-tracing/

[7] G. Zunino, Coronavirus, app e sistemi per tracciare i positivi: come funzionano,  31 marzo 2020, qui disponibile: https://www.agendadigitale.eu/sicurezza/privacy/coronavirus-i-sistemi-per-tracciare-i-positivi-come-funzionano/

[8] Scrive G. Zunino, “l’app avvia una notifica quando ci si vvicina entro 100 m dalla visita del sospetto o contagiato: sia sul territorio nazionale o internazionale. Tutto quello che devi fare è verificare l’area e si riceva una notifica quando a 100 m da te vi è un potenziale rischio, o come per altre app che usano il sistema collaborativo segnalare tu stesso qualcuno”.

Zunino, op.cit.

[9] La geolocalizzazione sulla base della normativa GDPR può avvenire solo se vengono adottate tutte le misure di protezione per garantire che i dati degli utenti siano protetti. La geolocalizzazione ha avuto sempre più importanza con l’introduzione dei concetti di privacy by design e privacy by default.

Come evidenzia A. Vasta “la possibilità d geolocalizzare persone o veicoli per varie finalità è sicuramente ammessa nel corso degli anni, ma una forma di geolocalizzazione così diffusa, da parte dell’Autorità pubblica, dovrebbe trovare fondamento in altre basi giuridiche rispetto a quelle utilizzate fino ad oggi”. Quindi il nostro ordinamento permette che vengano trattati i dati “relativi all’ubicazione solo qualora gli stessi siano anonimi o vi sia stato il previo consenso dell’utente medesimo”. Si veda A. Vasta, Data tracing, servono misure ad hoc tecniche e organizzative, in Corriere Comunicazioni, 3 aprile 2020.  Qui disponibile: https://www.corrierecomunicazioni.it/privacy/data-tracing-servono-misure-ad-hoc-tecniche-e-organizzative/

[10] B. Ruffilli, Ecco l’app europea per il tracciamento che combatte il coronavirus rispettando la privacy, in La Stampa, 1 aprile. Qui disponibile: https://www.lastampa.it/tecnologia/news/2020/04/01/news/ecco-l-app-europea-per-il-tracciamento-che-combatte-il-coronavirus-rispettando-la-privacy-1.38665734

[11] B. Ruffilli, op. cit. Qui disponibile: https://www.lastampa.it/tecnologia/news/2020/04/01/news/ecco-l-app-europea-per-il-tracciamento-che-combatte-il-coronavirus-rispettando-la-privacy-1.38665734

[12] Si veda il considerando n. 45 GDPR

[13] La definizione di ‘dato sanitario’ è fornita all’art. 4 paragrafo 1 n. 15 “dati relativi alla salute”, si tratta cioè dei dati sanitari. Siamo di fronte a “tipologie di dati che, per loro natura, sono soggetti a una tutela rafforzata e a particolari cautele come il divieto di diffusione”.

Si veda F. Guerrieri, commento sub art. 4 GDPR, in GDPR e Normativa Privacy Commentario, a cura di G.M. Riccio, G. Scorza, E. Belisario, IPSOA Wolters Kluwer, 2018, p. 39.

Nel 2017 con la sentenza n. 30981 le Sezioni Unite della Suprema Corte è stato statuito che i dati sensibili sono dati che richiedono un trattamento adeguato ad esempio attraverso tecniche di cifratura.

[14] G. Cristofari, F. Sartore, L. Bolognini, commento sub art. 9 GDPR, in Codice della disciplina privacy, Giuffrè, 2019, p. 114.

[15]“i trattamenti in ambito sanitario devono essere previsti dalla legge, da regolamenti o altre dalla normativa comunitaria. Permane l’obbligo di rispettare le misure di garanzia disposte dal Garante […]”, in G. Druetta, commento sub art. 9 GDPR, in GDPR e Normativa privacy Commentario, a cura di G.M. Riccio, G. Scorza, E. Belisario, IPSOA, 2018, p. 104.

Rimando anche ad un mio precedente contributo relativo ai dati sanitari: G. Cavallari, I dati sanitari e l’evoluzione normativa nazionale e comunitaria fino all’introduzione del Regolamento UE 2016/679, 29 gennaio 2020, qui disponibile: https://www.iusinitinere.it/i-dati-sanitari-e-levoluzione-normativa-nazionale-e-comunitaria-fino-allintroduzione-del-regolamento-ue-2016-679-25202

[16] Parere del Garante per la protezione dei dati personali n. 79 del 29 aprile 2020, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9328050

[17] Ordinanza n. 10/2020 del Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica Covid-19, 16 aprile 2020, qui disponibile: http://www.governo.it/sites/new.governo.it/files/CSCovid19_Ord_10-2020_txt.pdf

[18] Redazione Sole 24 Ore, Scelta la nuova app di tracciamento dei contagi: si chiama Immuni, 17 aprile 2020, qui disponibile: https://www.ilsole24ore.com/art/scelta-nuova-app-tracciamento-contagi-si-chiama-immuni-AD1icnK

[19]Comunicato Stampa EDPB, 14 aprile 2020, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9316030

[20] Qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9316030

[21] È necessario evidenziare e ricalcare quanto affermato dall’EDPB che la finalità non consiste nel “seguire i movimenti delle persone o far rispettare le regole perché questo creerebbe rilevanti problemi di sicurezza e privacy”.  Qui disponibile: https://www.ilsole24ore.com/art/scelta-nuova-app-tracciamento-contagi-si-chiama-immuni-AD1icnK

[22] Si veda l’articolo del Sole 24 Ore su citato.

[23] E. Pelino, F. Sarzana, App coronavirus, 10 domande urgenti al Governo italiano, Agenda Digitale, 17 aprile 2020,

Qui disponibile: https://www.agendadigitale.eu/sicurezza/privacy/app-coronavirus-9-domande-urgenti-al-governo-italiano/

[24] Ministero per l’innovazione tecnologica e la digitalizzazione, Un aggiornamento sull’applicazione di contact tracing digitale per l’emergenza coronavirus, qui disponibile: “si tratta infatti di una delle azioni di sanità pubblica utilizzate in precedenza all’estero per prevenire la diffusione di alcune malattie infetive e potrebbe rappresentare un elemento importante in una strategia posst-emergenza”..

[25] Ministero dell’innovazione tecnologica e per la digitalizzazione, parere su citato

[26] R. Berti, S. Zanetti, Immuni: come funziona l’app italiana contro il coronavirus, 19 aprile 2020, qui disponibile: https://www.agendadigitale.eu/cultura-digitale/immuni-come-funziona-lapp-italiana-contro-il-coronavirus/

[27] J. D’Alessandro, Coronavirus, ecco come funzionerà la app italiana per combattere la pandemia, La Repubblica, 8 aprile 2020. Qui disponibile: https://www.repubblica.it/tecnologia/2020/04/08/news/coronavirus_ecco_come_funzionera_la_app_italiana_per_combattere_la_pandemia-253498265/

[28] Come evidenziato dalla Professoressa Finocchiaro, “il modello coreano si è spinto al limite della protezione dei dati personali”. intervista alla Professoressa Finocchiaro, Passata la bufera riparleremo di diritti sospesi, in La Repubblica, 31 marzo 2020. Qui disponibile: http://www.blogstudiolegalefinocchiaro.it/2020/03/7070/

[29] D’Alessandro, Coronavirus, ecco come funzionerà la app italiana per combattere la pandemia, op. cit., qui disponibile:https://www.repubblica.it/tecnologia/2020/04/08/news/coronavirus_ecco_come_funzionera_la_app_italiana_per_combattere_la_pandemia-253498265/

[30]European Data Protection Board, Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak, 21 aprile 2020, qui disponibile: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf

Punto 1 paragrafo 3 “The EPDB firmly believes that, when processing of personal data is necessary for managing the COVID-19 pandemic, data protection is indispensable to build trust, creaate the conditions for social acceptability of any solution, and  thereby guarantee the effectiveness ofthese meaures. Because the virus knows no borders, it seems preferable to develop a common European approach in response to the current crisis, or at least put in place in an interoperable framework”.

[31] EPDB, Guidelines 04/2020, 21 aprile 2020. Punto 1, paragrafo 4 “the EPDB generally considers that data anf technology used to help fight COVID-19 should be used to empower, rather than control, stigmatise, or repress individuals. Furthermore, while data and technology can be important tools, they have intrinsic limitations and can merely leverage the effectiveness  necessity, and proportionality must guide any measures adopted by Member States or EU institutions that involve processing of personal data to fight COVID-19”.

[32] Intervista a Giusella Finocchiaro: “Dopo questa bufera, dovremo parlare dei diritti sospesi”, qui disponibile: http://www.blogstudiolegalefinocchiaro.it/2020/03/7070/