L'emergenza sanitaria causata dalla diffusione del coronavirus in Italia non deve rappresentare una scusa per la diffusione di app che possono ledere la privacy dei cittadini. È il succo della nota diffusa dal garante per la privacy, che vuole mettere la parola fine al proliferare incontrollato di app e piattaforme per il contact tracing: questi software, utilizzati sempre più spesso da aziende ed enti locali, hanno lo scopo di tracciare potenziali nuovi contagiati da Covid-19 nei propri contesti di appartenenza, ma operano in un contesto giuridico inesistente e dunque non sono giustificati a incidere su diritti e libertà costituzionalmente protette, ad esempio raccogliendo o stoccando dati personali dei cittadini.

L'eccezione di Immuni

Il Garante ha precisato che "gli unici trattamenti di dati personali che, allo stato, possano vantare un'adeguata base giuridica, sono esclusivamente quelli che trovano il proprio fondamento in una norma di legge nazionale". Il riferimento indiretto è a Immuni, l'app per il contact tracing istituita su base nazionale e voluta fortemente proprio dal governo. La piattaforma del resto era già stata sottoposta a un'attenta analisi da parte dello stesso Garante, e aveva superato il test proprio per la sua incapacità di immagazzinare dati personali: né il numero di telefono, né elementi che permettano di risalire all'identità dell'utente, e neppure le posizioni GPS. L'esistenza di Immuni era stata inoltre prevista in un decreto legge entrato in vigore a maggio, motivo per cui anche da questo punto di vista l'app è del tutto in regola.

Le app non in regola

Diverso è il discorso per numerosi altri software in circolazione. La nota del Garante prosegue infatti specificando che "ogni altro trattamento finalizzato al contact tracing risulta pertanto privo di un'adeguata fonte giuridica legittimante e, pertanto, effettuato in violazione della normativa europea e nazionale in materia di protezione dei dati personali". Tutte le altre app che consentono "il tracciamento dei contatti da parte di qualsiasi titolare pubblico o privato" operano insomma in violazione del GDPR: dai software impiegati da aziende medie o grandi per tracciare la diffusione del contagio tra i dipendenti, o di sistemi adottati dagli enti locali a scopi simili.

La nota insomma non dice nulla di nuovo rispetto al passato ma si limita a ribadire quanto già disposto dalla legge, e lo fa per un buon motivo: il perdurare dell'emergenza Covid-19, che potrebbe indurre i cittadini a credere che le app di tracciamento dei contatti rappresentino la nuova normalità nonostante al momento non esistano leggi che regolamentino queste procedure. Questa condizione, conclude la comunicazione del garante "non rappresenta automaticamente, e di per sé, una base giuridica sufficiente volta a incidere su diritti e libertà costituzionalmente protette, legittimando trattamenti di dati particolarmente invasivi".