Continuano a proliferare le app anti Covid-19 sul web e negli store di Google e di Apple, ma l’ultimo monito del Garante per la Privacy é tassativo: fatta eccezione per Immuni, che é la app nazionale autorizzata a norma di legge, tutte le altre che trattano dati personali per finalità di contact tracing sono fuorilegge.
Mentre Immuni è stata infatti disciplinata dall’art. 6 del DL 28/2020 e poi regolarmente autorizzata dall’Autorità per la protezione dei dati personali con Provvedimento n.95 del 1 giugno 2020 (doc. web n. 9356568), nessuna delle altre app di prevenzione della diffusione del contagio da Coronavirus ha una valida base giuridica per raccogliere informazioni personali, che peraltro riguardano spesso le condizioni di salute degli interessati, e sono quindi di natura sensibile.
Dunque, come sottolinea il Garante in una nota dell’11 agosto 2020, l’emergenza Covid-19 “non rappresenta automaticamente, e di per sé, una base giuridica sufficiente volta a incidere su diritti e libertà costituzionalmente protette, legittimando trattamenti di dati particolarmente invasivi, quali appunto quelli atti a consentire il tracciamento dei contatti da parte di qualsiasi titolare pubblico o privato” .
Anche se il Garante per la Privacy si era già espresso sulla questione lo scorso 13 luglio con una dettagliata serie di FAQ pubblicate sul proprio sito istituzionale, tali tipologie di app continuano tuttavia ad essere largamente diffuse in rete o addirittura presentate come obbligatorie anche da enti pubblici per fornire servizi o accedere ad aree e territori, motivo per cui l’Autorità torna adesso a ribadire l’illiceità dei trattamenti di dati personali implicati nell’utilizzo delle applicazioni di tracciamento dei contatti.
L’energico richiamo del Garante riguarda principalmente due categorie di destinatari:
– i primi sono senza dubbio gli utenti, i quali per ovvi motivi sono spesso attratti dalla possibilità di dotarsi di una misura di sicurezza in più per non contrarre il virus, e che però dovrebbero evitare di scaricare app di contact tracing che non siano “Immuni”, anche perché il rischio concreto per chi si affida ad app proposte gratuitamente da operatori privati è quello di cedere i propri dati personali a dei perfetti sconosciuti che magari non sono dei filantropi, e che in genere hanno secondi fini, come quello di mettere a frutto le informazioni raccolte profilando gli ignari utenti in attività di marketing, oppure di impiegare i dati personali carpiti ai malcapitati per scopi criminosi, che possono includere il furto d’identità, campagne di phishing ed altre frodi online. Ma per tutelare la propria privacy non si dovrebbero scaricare sul proprio smartphone le app di contact tracing neanche se vengono richieste da enti locali, perchè come ha precisato lo stesso Garante, “le persone non possono essere obbligate ad installarle e che la mancata installazione non può comportare alcuna conseguenza pregiudizievole” nei loro confronti.
– In secondo luogo, l’invito del Garante somiglia più che altro ad un ultimatum per quei titolari del trattamento pubblici e privati che, nonostante i precedenti avvertimenti dell’Autorità, stanno continuando a proporre le app di contact tracing anti Covid-19, e come è ormai noto le violazioni sull’inosservanza dei requisiti di base del Regolamento UE 2016/679 (in primis quelle riguardanti i trattamenti illeciti) prevedono multe fino a 20 milioni di euro o fino al 4% del fatturato totale annuo globale del trasgressore, e per questo è pure insolito che gli operatori che avevano lanciato tali app abbiano ignorato il primo avvertimento come se niente fosse, forse pensando pericolosamente che il Garante si limiti a dei richiami di mero tenore istituzionale senza poi intervenire con provvedimenti e sanzioni.
Fatto sta che in questi ultimi mesi le app incriminate si sono letteralmente moltiplicate, e se ne trovano numerose sia per sistema Android che iOS, e in molti casi esse hanno registrato migliaia di download da parte di utenti che, più o meno consapevoli dei rischi, sono stati persuasi a scaricarle ed installarle sui propri dispositivi elettronici mettendo a rischio la loro privacy.
Nicola Bernardi, presidente di Federprivacy – @Nicola_Bernardi
