Il Garante si è pronunciato nuovamente sul tema delle attività di tracciamento via applicazione della diffusione della pandemia Covid-19: sono vere e proprie FAQ, disponibili qui, valide sia per l'applicazione di tracciamento nazionale (Immuni) che per le applicazioni regionali. Rispondono a domande comuni e diffuse, sulle quali il Garante ha ritenuto necessario esprimere una chiara posizione, ribadendo comunque che l'intero sistema di tracciamento è stato analizzato e validato dal Garante stesso. Vediamole in breve:

> App Immuni e la mancata installazione
Anzitutto il Garante ribadisce che l'installazione dell'applicazione non è, e non può essere, obbligatoria: il download e utilizzo deve avvenire su base volontaria. L'adesione al sistema di tracciamento deve essere una libera scelta da parte dell'interessato: tale volontarietà deve essere garantita in ogni fase del trattamento.

La mancata installazione invece non puòc omportare conseguenze che arrechino pregiudizio, danno o disparità di trattamento: in particolare, spiega il Garante, aderire o meno al sistema di tracciamento non può inficiare l'esercizio di diritti ne l'accesso ai servizi. Tra questi rientra la libertà di circolazione: in breve nessuna regione può subordinare l'accesso entro i propri confini all'utilizzo di una applicazione.

> Telemedicina e la base giuridica del trattamento
Il Garante ribadisce anche che le strutture sanitarie che volessero avvalersi di strumenti definibili di "telemedicina" (app di telediagnosi, teleconsulto, teleassistenza e monitoraggio) non devono richiedere uno specifico consenso al trattamento dati: tale trattamento ha la sua base giuridica nell'art 9 par.2 e 3 del GDPR, costituendo solo una diversa modalità di svolgimento del rapporto medico-paziente, ma con uguale finalità ovvero diagnosi e terapia. Ciò non sgravia la struttura sanitaria dal fornire una completa e apposita informativa all'interessato, ne dall'effettuare una valutazione di impatto al trattamento su larga scala di dati sensibili per via telematica.

Anche qui vale la volontarietà: qualora un soggetto non volesse ricorrere all'uso e installazione di queste particolari tecnologie, diviene dovere del SSN garantire comunque la prestazione sanitaria.

> Altre app di servizi
Al contrario delle app di telemedicina, applicazioni destinate a fornire servizi diversi e non strettamente legati alla cura, devono prevedere specifico consenso dell'interessato.

> Trasferimento dei dati a terzi
Il Garante ha anche sottolinato come Amministrazioni pubbliche, Regioni e in generale le strutture sanitarie debbano valutare attentamente, nell'ambito della valutazione d'impatto, anche dei rischi derivanti dall'eventuale trasferimento dei dati a terze parti. La quesione viene indicata come di massima importanza sopratutto se le terze parti sono poste al di fuori dell'Unione Europea.

> Privacy a 360°
Infine, specifica il Garante, il trattamento dei dati attraverso le app deve avvenire nel rispetto dei due principi cardine del GDPR: la privacy by design e by default. Concretamente parlando:

• occorre garantire integrità, riservatezza, esattezza dei dati;
• va rispettato il principio di minizzazione: devono essere cioè trattati solo ed esclusivamente quei dati necessari a perseguire le finalità del trattamento. Ciò esclude ogni base giuridica per la raccolta dei dati relativi all'ubicazione del dispositivo sul quale l'app è installata;
• le app devono richiedere permessi per accedere a funzionalità o dati specifici nel dispositivo se e solo se tali permissioni sono indispensabili.