Il Garante italiano Antonello  Soro si è espresso sulla proposta avanzata dalla Presidenza del Consiglio dei Ministri, di adozione di un'apposita applicazione sui dispositivi di telefonia mobile, come strategia di contenimento dell'epidemia  Covid-19. L'applicazione installata su base volontaria è destinata alla  registrazione dei soli contatti tra soggetti che abbiano scaricato  l'applicazione e servirebbe ad adottare le adeguate misure di informazione e  prevenzione sanitaria nel caso di soggetti entrati in contatto con utenti che  risultino all'esito dei test o della diagnosi medica contagiati. In  particolare, l’applicazione appare conforme, nelle sue linee generali, ai  criteri indicati dalle Linee guida del Comitato europeo per la protezione dei  dati del 21 aprile scorso in relazione ai sistemi di contact tracing:
   a) volontarietà: in ragione del rilevante impatto individuale del  tracciamento, l’adesione al sistema deve essere frutto di una scelta  realmente libera da parte dell’interessato.
   b) previsione normativa: il presupposto può individuarsi nell’esigenza di  svolgimento di un compito di interesse pubblico, in particolare per esigenze  di sanità pubblica, in base a “previsione normativa o disposizione  legislativa” dell’Unione europea o degli Stati membri.
   c)  trasparenza: è necessario  assicurare il pieno rispetto degli obblighi di trasparenza previsti dal  Regolamento nei confronti degli interessati. In linea con tale esigenza  è la previsione di cui all’articolo 1,  comma 2, lett. a), della norma che assicura agli interessati un’idonea  informazione sul trattamento e in particolare sulla pseudonimizzazione dei  dati;
   d) determinatezza ed esclusività dello scopo: il tracing dev’essere  finalizzato esclusivamente al contenimento dei contagi, escludendo fini  ulteriori, ferme restando le possibilità di utilizzo a fini di ricerca  scientifica e statistica, purché nei soli termini generali previsti dal  Regolamento;.
   e) selettività e minimizzazione dei dati: i dati raccolti devono poter  tracciare i contatti stretti e non i movimenti o l’ubicazione del soggetto.  Devono essere raccolti solo i dati strettamente necessari ai fini della  individuazione dei possibili contagi, con tecniche di anonimizzazione e  pseudonimizzazione affidabili. Anche la conservazione deve limitarsi al  periodo strettamente necessario, da valutarsi sulla base delle decisioni  dell’autorità sanitaria su parametri oggettivi come il periodo di  incubazione.
   f) non esclusività del processo algoritmico e possibilità di esercitare in  ogni momento i diritti di cui agli articoli da 15 a 22 del Regolamento;
   g) interoperabilità con altri sistemi di contact tracing utilizzati in  Europa.
   h) reciprocità di anonimato tra gli utenti dell’app, i quali devono  peraltro non essere identificabili dal titolare del trattamento, dovendo la  identificazione ammettersi al limitato fine dell’individuazione dei  contagiati.
   In conclusione, quindi, il Garante esprime parere favorevole sullo schema  di norma in esame.