Il  “contact tracing” è un sistema, utilizzato dall’app Immuni, che permette di rintracciare tutte le persone venute a contatto con un soggetto, nel caso specifico con il contagiato.

Il tracciamento è una tipologia di trattamento molto invasiva, non a caso il Garante ha disposto con apposito Decreto legge (n 30/2020), tutte le regole per l’utilizzo di questo applicativo, sottolineando che:

  • garantisce il completo anonimato agli utenti
  • non c’è alcun tipo di obbligo
  • il funzionamento di questo applicativo è circoscritto al territorio nazionale.

Il via libera da parte del Garante per l’utilizzo dell’app Immuni ha generato quesiti riguardo alla possibilità di utilizzare questo sistema di tracciamento anche in altri ambiti.

Proprio per questo l’Autorità ha pubblicato un FAQ, Il 6 Luglio 2020, riguardante l’utilizzo delle App di “contact tracing” in ambito lavorativo e in relazione alla pandemia da Covid-19.

Di seguito il quesito posto all’Autorità:

“Sono utilizzabili applicativi con funzionalità di “contact tracing” in ambito aziendale?”.

La risposta del garante è molto chiara:

“La funzionalità di “contact tracing”, prevista da alcuni applicativi al dichiarato fine di poter ricostruire, in caso di contagio, i contatti significativi avuti in un periodo di tempo commisurato con quello individuato dalle autorità sanitarie in ordine alla ricostruzione della catena dei contagi ed allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi, è − allo stato − disciplinata unicamente dall’art. 6, d.l. 30.4.2020, n. 28”.
La risposta del Garante mette in evidenza che la tutela delle persone fisiche, dei loro dati e della loro privacy, non è solo una questione di sicurezza informatica, ma anche e soprattutto una questione di scelte e di valori, quindi, di politica legislativa.

Questa considerazione sottolinea che non basta che il dispositivo, la rete o il sistema siano sicuri ma è fondamentale esista un motivo giuridicamente valido per legittimare il trattamento.

Il Garante risponde alla domanda con una descrizione del quadro normativo, che però è importante interpretare in senso limitativo e l’utilizzo dell’avverbio “unicamente” ne è la conferma.

Questo tono sottolinea che le app di “contract trading“ sono disciplinate  solo dall’articolo 6 del decreto legge 28/2020, convertito dalla legge 70/2020 (pubblicata sulla Gazzetta Ufficiale del 29/06/2020, n. 162)

Per poter raccogliere informazioni sui contatti interpersonali è necessario esista un motivo giuridicamente valido, quindi una base giuridica, che deve essere specifica e proporzionata secondo il principio di finalità del trattamento.

Tutti questi aspetti legati alla sicurezza e alla legittimità del trattamento sono disciplinati dall’art: 35 del Regolamento Europeo ma è comunque necessario creare un documento per valutare e classificare il rischio che un certo trattamento comporta per i dati degli utenti, la così detta, valutazione di impatto.

Il Rgpd (Regolamento Generale sulla protezione dati) non è solo una questione di protezione di dati, ma anche di privacy.

Un’altra domanda posta al Garante riguarda la possibilità di usare applicativi che trattano dati personali al fine di contenere il rischio di contagio sul luogo di lavoro.

Il garante risponde di sì, quindi, è confermato che il datore di lavoro può ricorrere all’utilizzo di queste tipologie di app, a condizione che non comportino il trattamento di dati personali riferiti a soggetti identificati o identificabili, ciò significa che è consentito solo nel caso in cui, non ci sia alcuna registrazione dei dati trattati e che quindi non ci sia alcun collegamento all’interessato.

Alcuni esempi concreti sono:

  • le applicazioni che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, attivando un “semaforo rosso” al superamento di un prestabilito numero di persone contemporaneamente presenti;
  • dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita (dunque senza tracciare chi indossa il dispositivo e senza registrare alcuna informazione).
  • Applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione).

E’ importante sottolineare che è onere del titolare del trattamento, verificare il grado di affidabilità dei sistemi scelti, predisponendo misure da adottare in caso di malfunzionamento dei dispositivi.

Questa considerazione informa che la responsabilità diretta non è del fornitore dello strumento, ma dell’azienda che l’acquista.

Il Garante è molto attento a delimitare la descrizione degli applicativi utilizzabili:

  • devono al massimo contare gli individui o misurare distanze
  • non devono analizzare o conservare dati riferiti a soggetti anche solo potenzialmente identificabili.

 

Fonte:  Federprivacy