Privacy, la Regione non può condizionare l’accesso al proprio territorio all’installazione di una app di contact racing

L’installazione tanto della app di contact tracing nazionale, quanto di quelle regionali, viene effettuata su base volontaria, ragion per cui dalla mancata installazione non può derivare per il cittadino alcuna conseguenza pregiudizievole. Le strutture sanitarie che intendono avvalersi di strumenti di telemedicina per effettuare diagnosi o terapie a distanza non devono richiedere uno specifico consenso al trattamento dei dati personali dell’interessato.

Sono, questi, alcuni dei chiarimenti più significativi forniti dal Garante privacy in una serie di Faq pubblicate sul sito dell’Autorità (www.garanteprivacy.it), disponibili da ieri e ispirate anche a reclami e richieste di chiarimenti presentati nel corso dell’emergenza Covid-19.

Una dei principali punti interrogativi, come anticipato, riguardava la possibilità per una Regione di condizionare l’accesso sul proprio territorio all’installazione di una app di contact racing di sua elaborazione: una richiesta irricevibile per il Garante, il quale ha ribadito che la mancata installazione non può comportare alcuna conseguenza. Un ragionamento che vale anche per la app “Immuni”, a valenza nazionale e installabile solo su base volontaria senza rischio di vedere limitata la fruizione di beni e servizi.

Non esiste alcun obbligo di richiedere uno specifico consenso al trattamento dei dati all’interessato, poi, per le strutture sanitarie che si avvalgono di strumenti di telemedicina, come le app di telediagnosi, teleconsulto, teleassistenza e telemonitoraggio utilizzate dal personale medico allo scopo di effettuare diagnosi o terapie a distanza, mentre nel caso delle app divulgative o di raccolta informazioni serve sempre il consenso e va fornita una corretta informazione sull’utilizzo dei dati archiviati.

L’Autorità ha anche evidenziato che le app devono contenere solo i dati strettamente necessari per perseguire le finalità di trattamento: non andranno così raccolti dati eccedenti, come ad esempio quelli relativi all’ubicazione del dispositivo mobile dell’utente, limitandosi a richiedere permessi per accedere a funzionalità e informazioni contenute nel dispositivo solo se indispensabili.

Il Garante, ancora, ha invitato la Pa, le Regioni e le strutture sanitarie ha valutare i rischi potenziali derivanti dall’eventuale trasferimento di dati a terze parti con strumenti come social login o notifiche push, soprattutto se queste siano stabilite fuori dalla Ue.