[doc. web n. 9775888]

Parere sullo schema di decreto del Ministro della salute sull’organizzazione e il funzionamento del servizio telefonico di supporto per gli utenti dell’app Immuni - 28 aprile 2022

Registro dei provvedimenti
n. 142 del 28 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTO l’art. 6 del decreto legge 30 aprile 2020, n. 28, convertito, con modificazioni, dall’art. 1, comma 1, della legge 25 giugno 2020, n. 70, che ha introdotto il “Sistema di allerta Covid-19”, sul quale l’Autorità ha espresso il proprio parere con il provvedimento del 29 aprile 2020, doc. web n. 9328050;

VISTO il provvedimento di questa Autorità del 1° giugno 2020 con il quale è stato autorizzato il trattamento dei dati personali effettuato attraverso il predetto Sistema di allerta Covid-19 (doc. web n. 9356568) e il successivo provvedimento del 25 febbraio 2021 (doc. web n. 9555987);

VISTO l’art. 20 del decreto legge 28 ottobre 2020, in virtù del quale il Ministero della salute ha adottato il decreto del 30 ottobre 2020 delegando al Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica Covid-19 la disciplina dell’organizzazione e del funzionamento del servizio nazionale di supporto telefonico e telematico;

VISTA l’ordinanza n. 34 del 19 dicembre 2020 del Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica Covid-19, su cui il Garante ha espresso il proprio parere il 17 dicembre 2020, doc. web n. 9516719;

VISTO il decreto 18 marzo 2021 del Ministero dell’economia e delle finanze, di concerto con il Ministero della salute, modificativo del decreto 3 giugno 2020, recante disposizioni inerenti allo sblocco dell’app Immuni in autonomia da parte dell’utente, su cui il Garante ha espresso il proprio parere il 25 febbraio 2021, doc. web n. 9561715;

VISTO il decreto legge 22 aprile 2021, n. 52, convertito, con modificazioni, dalla legge 17 giugno 2021, n. 87, in materia di certificazioni verdi Covid-19;

VISTO il decreto del Presidente del Consiglio dei ministri in data 17 giugno 2021, recante «Disposizioni attuative dell'articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52», modificato dai decreti del Presidente del Consiglio dei ministri del 10 settembre 2021, del 12 ottobre 2021, del 17 dicembre 2021 e del 2 marzo 2022, su cui il Garante ha espresso i propri pareri del 9 giugno 2021, doc. web n. 9668064, del 31 agosto 2021, doc. web n. 9694010, dell’11 ottobre 2021, doc. web n. 9707431, del 13 dicembre 2021, doc. web n. 9727220 e del 18 febbraio 2022, doc. web n. 9746905;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Il Ministero della salute, con la nota del 23 marzo 2022 (prot. n. 1972), ha trasmesso al Garante, per il prescritto parere, lo schema di decreto del predetto dicastero sull’organizzazione e il funzionamento del servizio telefonico di supporto per gli utenti dell’app Immuni.

Con nota del 30 marzo 2021 (prot. n. 17910), l’Ufficio ha richiesto informazioni al Ministero in merito agli aspetti di protezione dei dati personali, rappresentando che l’acquisizione dei richiesti chiarimenti interrompeva i termini per il rilascio del parere. Con la predetta nota, in particolare, sono stati evidenziati gli elementi da disciplinare nello schema di decreto in esame relativamente a:

1. la sorte dei dati personali raccolti e conservati dal Commissario straordinario per l’emergenza epidemiologica e dagli altri responsabili di cui lo stesso si è avvalso con particolare riferimento a quelli trattati in virtù dell’ordinanza n. 34 del 2020 (art. 2 dello schema di decreto inviato);

2. le finalità della trasmissione al Sistema Tessera Sanitaria (TS), da parte delle Regioni e delle Province autonome, dei dati di contatto dell’interessato che ha effettuato un test anche alla luce di quanto previsto dal d.P.C.M. 17 giugno 2021;

3. la natura del decreto di cui all’art. 3, comma 2, dello schema di decreto trasmesso sul quale, in considerazione del previsto contenuto, dovrebbe essere preventivamente acquisito il parere del Garante;

4. i tempi di conservazione dei diversi dati raccolti o generati dal Sistema TS, differenziandoli in funzione del momento della loro raccolta o generazione (es. dati relativi agli esiti dei test, log degli accessi e delle operazioni compiute, ecc.) (art. 3, comma 3, dello schema di decreto);

5. il ruolo assunto dal Ministero dell’Economia e delle Finanze che, attraverso il Sistema TS, raccoglie -dalle regioni e dalle province autonome- i dati relativi agli esiti dei test per l’accertamento della positività al virus SARS-CoV-2 nei casi descritti dall’art. 5 dello schema di decreto inviato;

6. le tipologie di “altri canali” che le regioni o le province autonome possono utilizzare al fine di comunicare il CUN ai dati di contatto forniti dall’assistito (art. 6, comma 1, lett. c), dello schema di decreto);

7. le considerazioni svolte in relazione all’invio del CUN all’interessato solo in caso di esito positivo del test, tenuto conto di quanto indicato dal d.P.C.M. 8 agosto 2013 (concernente le modalità di consegna, da parte delle aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento on-line delle prestazioni erogate, su cui il Garante ha espresso parere favorevole con il provvedimento del 6 dicembre 2012, doc. web 2223206) e dal decreto del Ministero delle Finanze del 3 novembre 2020 (“Modalità attuative delle disposizioni di cui all'art. 19, comma 1, del decreto-legge n. 137 del 28 ottobre 2020, sul quale il Garante ha reso il parere del 3 novembre 2020, doc. web 9563445).

Con la predetta richiesta di informazioni, l’Ufficio ha inoltre evidenziato che:

l’eventualità astratta che possa essere avanzata un’istanza da parte dell’Autorità giudiziaria non costituisce di per sé un’idonea fonte legittimante la conservazione dei dati raccolti dal Sistema Tessera Sanitaria, dovendo il titolare fornire, nei limiti di legge, all’Autorità giudiziaria preposta alle indagini, solo le informazioni che sono già lecitamente in suo possesso;

lo schema di decreto nella formulazione inviata era privo dell’indicazione delle motivazioni che rendono allo stato ancora necessario mantenere l’efficacia del Sistema di allerta Covid-19;

la normativa sul predetto Sistema prevede il costante aggiornamento della valutazione di impatto sulla protezione dei dati eseguita dal Ministero della salute in relazione ai trattamenti effettuati nell’ambito dello stesso (cfr., in particolare, l’art. 35, parr. 5 e 11, del Regolamento e l’art. 6, comma 2, d.l. n. 28 del 2020). Ciò anche in considerazione della necessità di aggiornare i parametri di rilevazione dei contatti stretti di un soggetto risultato positivo al Covid-19, in funzione dei mutati criteri a tal fine rilevanti, nonché i messaggi forniti agli interessati tramite l’app Immuni.

Con nota dell’8 aprile 2022 (prot. n. 9717), il Ministero della salute ha fornito riscontro alla predetta richiesta di informazioni dell’Ufficio, trasmettendo uno schema di decreto “modificato e integrato”.

In particolare, nei chiarimenti resi il Ministero ha rappresentato di aver previsto:

1. nell’art. 2, comma 1, dello schema di decreto, la cancellazione dei dati trattati dal Commissario straordinario, in qualità di responsabile del trattamento, in conformità all’ordinanza n. 34 del 2020. Al riguardo, è stato anche specificato dal Ministero che la struttura commissariale ha inviato al sub-responsabile formale richiesta di conferma della fine del trattamento dei dati inerenti al call center Immuni, ricevendone risposta via pec, a cui è stato annesso il verbale di cancellazione dei dati in data 21 marzo 2022 (documentazione in atti);

2. nell’art. 3 dello schema di decreto, che i dati di contatto dell’interessato sono utilizzati per le finalità connesse al Sistema di allerta Covid-19 e per quelle di cui al d.P.C.M. 17 giugno 2021;

3. nell’art. 3, comma 2, dello schema di decreto, il parere dell’Autorità sul decreto di cui all’art. 3, comma 2, del medesimo schema, che sarà adottato dal Ministero dell’economia e delle finanze di concerto con il Ministero della salute;

4. nelle premesse dello schema di decreto, un richiamo all’art. 6, comma 6, del decreto legge 30 aprile 2020, n. 28, secondo cui il trattamento di dati personali effettuato ai sensi del medesimo articolo è interrotto alla data di cessazione delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione del Covid-19 anche a carattere transfrontaliero, individuata con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro della salute, e comunque entro il 31 dicembre 2022, ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi;

5. che il Ministero dell’economia e delle finanze tratta i dati personali per le finalità indicate nello schema di decreto in qualità di responsabile del trattamento per conto del Ministero della salute (art. 8 dello schema);

6. che gli enti territoriali debbano garantire “adeguati livelli di riservatezza” nel definire le tipologie degli altri canali che le regioni o le province autonome possono utilizzare al fine di comunicare il CUN (art. 6, comma 1, lett. c) dello schema di decreto).

Con riferimento all’invio del CUN all’interessato solo in caso di esito positivo del test previsto dall’art. 6, commi 2 e 3, dello schema di decreto in esame, il Ministero ha rappresentato che, considerato che si “potrebbe comunque ipoteticamente desumere la positività incrociando gli invii di CUN e AUTHCODE”, “Si ritiene pertanto antieconomico proseguire con la previsione precedentemente in vigore di inviare il codice CUN indipendentemente dall’esito, considerati gli elevati costi di trasmissione dei CUN con SMS”.

Il Ministero della salute ha inoltre evidenziato che è in corso l’aggiornamento della valutazione di impatto sulla protezione dei dati personali e che i messaggi forniti agli interessati tramite l’app Immuni verranno adeguati all’evolversi delle indicazioni sanitarie e legislative.

Lo schema di decreto trasmesso si compone di 10 articoli di seguito sinteticamente descritti. L’art. 1 riporta le definizioni e l’art. 2 descrive le attività del servizio nazionale di supporto telefonico e telematico non più delegato al Commissario straordinario per l’emergenza epidemiologica, bensì al Ministero della salute. L’art. 3 indica le modalità di funzionamento del servizio di supporto per l’assistito circa la disponibilità dei test per la ricerca del virus SARS-CoV-2, mentre gli artt. 4 e 6 dettano le regole di generazione del CUN e di trasmissione dello stesso agli assistiti. L’art. 5 descrive le modalità di trasmissione degli esiti dei test da parte delle regioni e delle province autonome al Sistema TS e l’art. 7 quelle per consentire lo sblocco di Immuni da parte dell’interessato in autonomia utilizzando il CUN o il codice identificativo ricevuto in relazione a un test con esito positivo. Gli artt. 8 e 9 definiscono il ruolo di responsabile del trattamento dei dati del Ministero dell’economia e delle finanze e quello dei medici. L’art. 10 riguarda la copertura finanziaria e l’entrata in vigore del decreto.

OSSERVA

In via preliminare, si prende atto delle modifiche apportate dal Ministero della salute allo schema di decreto trasmesso il 24 marzo u.s. e di quanto indicato nel nuovo testo inviato l’8 aprile 2022 in cui sono state anche evidenziate le motivazioni che rendono ancora necessario mantenere operativo il Sistema di allerta Covid-19 nonostante la cessazione dello stato di emergenza sanitaria.

Al riguardo, si prende atto degli interventi migliorativi del testo con riferimento agli aspetti di protezione dei dati personali oggetto della citata richiesta di informazioni, concernenti, in particolare, la cancellazione dei dati trattati dal Commissario straordinario, l’indicazione puntuale delle finalità del trattamento dei dati di contatto dell’interessato e il ruolo assunto dal Ministero dell’economia e delle finanze.

Si prende atto, inoltre, che è stato accolto il rilievo relativo alla circostanza che un’eventuale istanza da parte dell’Autorità giudiziaria non costituisce di per sé un’idonea fonte legittimante la conservazione dei dati raccolti dal Sistema TS. Resta fermo in ogni caso che il titolare del trattamento deve fornire, nei limiti di legge, all’Autorità giudiziaria preposta alle indagini, le informazioni che sono già lecitamente in suo possesso, definendo tempi di conservazione dei dati che tengano conto anche delle esigenze del Ministero della salute di effettuare le previste verifiche sulla liceità dei trattamenti, anche al fine di garantire l’integrità e la riservatezza dei dati trattati.

Tenuto conto di quanto rappresentato dal Ministero della salute in ordine all’aggiornamento della valutazione di impatto sulla protezione dei dati personali, di cui è prevista la trasmissione al Garante, e che i messaggi forniti agli interessati tramite l’app Immuni verranno adeguati all’evolversi delle indicazioni sanitarie e legislative, si evidenzia la necessità di valutare anche l’aggiornamento dei parametri di rilevazione dei contatti stretti di un soggetto risultato positivo al Covid-19, in funzione dei mutati criteri a tal fine rilevanti.

Con specifico riferimento ai tempi di conservazione dei diversi dati raccolti o generati dal Sistema TS, nel prendere atto di quanto indicato dal Ministero in ordine al rinvio all’art. 6, comma 6, del decreto-legge 30 aprile 2020, n. 28, si evidenzia l’opportunità, relativamente alla conservazione dei log degli accessi e delle operazioni compiute, di individuare un criterio univoco e differente rispetto alle altre tipologie di dati, al fine di scongiurare il rischio che i dati relativi al tracciamento delle operazioni -a seconda del momento storico in cui sono rilevati- siano conservati per periodi molto brevi come accadrebbe, per esempio, per gli accessi effettuati in prossimità del 31 dicembre p.v..

In merito all’invio del CUN all’interessato solo in caso di esito positivo del test, si prende atto delle motivazioni addotte dal Ministero in ordine al carattere “antieconomico” dell’invio del codice CUN indipendentemente dall’esito del test e, considerata la perduranza dell’esigenza di monitorare nella popolazione la diffusione del virus SARS-CoV-2, la circostanza che l’invio del CUN non coincide con l’invio del referto e che l’AUTHCODE per il recupero della certificazione verde è inviato solo in caso di esito negativo del test, si richiama l’attenzione sulla necessità che, a prescindere dalla modalità di invio del CUN e dell’AUTHCODE, la comunicazione all’interessato dell’esito del test continui ad avvenire nel rispetto del richiamato d.P.C.M. 8 agosto 2013 e del decreto del Ministero delle Finanze del 3 novembre 2020.

Si rileva, infine, con favore che è stato previsto il parere dell’Autorità sul decreto di cui all’art. 3, comma 2, dello schema in esame, che sarà adottato dal Ministero dell’economia e delle finanze di concerto con il Ministero della salute.

Fermo restando quanto sopra osservato, tenuto conto che lo schema da ultimo trasmesso tiene conto delle indicazioni fornite nel corso dell’attività istruttoria, non vi sono ulteriori rilievi da formulare sotto il profilo della protezione dei dati personali.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministro della salute sull’organizzazione e il funzionamento del servizio telefonico di supporto per gli utenti dell’app Immuni.

Roma, 28 aprile 2022

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei