1. Al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell'ambito delle misure di sanita' pubblica legate all'emergenza COVID-19, e' istituita una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un'apposita applicazione sui dispositivi di telefonia mobile. Il Ministero della salute, in qualita' di titolare del trattamento, si coordina, sentito il Ministro per gli affari regionali e le autonomie, anche ai sensi dell'articolo 28 del Regolamento (UE) 2016/679, con i soggetti operanti nel Servizi nazionale della protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e con i soggetti attuatori di cui all'articolo 1 dell'ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3 febbraio 2020, nonche' con l'Istituto superiore di sanita' e, anche per il tramite del Sistema Tessera Sanitaria, con le strutture pubbliche e private accreditate che operano nell'ambito del Servizio sanitario nazionale, nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all'emergenza epidemiologica da COVID 19, per gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l'adozione di correlate misure di sanita' pubblica e di cura. Le modalita' operative del sistema di allerta tramite la piattaforma informatica di cui al presente comma sono complementari alle ordinarie modalita' in uso nell'ambito del Servizio sanitario nazionale. Il Ministro della salute e il Ministro per gli affari regionali e le autonomie informano periodicamente la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano sullo stato di avanzamento del progetto.

2. Il Ministero della salute, all'esito di una valutazione di impatto, costantemente aggiornata, effettuata ai sensi dell'articolo 35 del Regolamento (UE) 2016/679, adotta misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le liberta' degli interessati, sentito il Garante per la protezione dei dati personali ai sensi dell'articolo 36, paragrafo 5, del medesimo Regolamento (UE) 2016/679 e dell'articolo 2-quinquiesdecies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, assicurando, in particolare, che:
a) gli utenti ricevano, prima dell'attivazione dell'applicazione, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalita' e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati;
b) per impostazione predefinita, in conformita' all'articolo 25 del Regolamento (UE) 2016/679, i dati personali raccolti dall'applicazione di cui al comma 1 siano esclusivamente quelli necessari ad avvisare gli utenti dell'applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, individuati secondo criteri stabiliti dal Ministero della salute e specificati nell'ambito delle misure di cui al presente comma, nonche' ad agevolare l'eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti;
c) il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimita' dei dispositivi, resi anonimi oppure, ove cio' non sia possibile, pseudonimizzati; e' esclusa in ogni caso la geolocalizzazione dei singoli utenti;
d) siano garantite su base permanente la riservatezza, l'integrita', la disponibilita' e la resilienza dei sistemi e dei servizi di trattamento nonche' misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento;
e) i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata e' stabilita dal Ministero della salute e specificata nell'ambito delle misure di cui al presente comma; i dati sono cancellati in modo automatico alla scadenza del termine;
f) i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento (UE) 2016/679 possano essere esercitati anche con modalita' semplificate.

3. I dati raccolti attraverso l'applicazione di cui al comma 1 non possono essere trattati per finalita' diverse da quella di cui al medesimo comma 1, salva la possibilita' di utilizzo in forma aggregata o comunque anonima, per soli fini di sanita' pubblica, profilassi, statistici o di ricerca scientifica, ai sensi degli articoli 5, paragrafo 1, lettera a) e 9, paragrafo 2, lettere i) e1), del Regolamento (UE) 2016/679. ((Al solo fine indicato al comma 1, previa valutazione d'impatto ai sensi dell'articolo 35 del
regolamento (UE) 2016/679, e' consentita l'interoperabilita' con le piattaforme che operano, con le medesime finalita', nel territorio dell'Unione europea.))

4. Il mancato utilizzo dell'applicazione di cui al comma 1 non comporta alcuna conseguenza pregiudizievole ed e' assicurato il rispetto del principio di parita' di trattamento.
5. La piattaforma di cui al comma 1 e' di titolarita' pubblica e e' realizzata dal Commissario di cui all'articolo 122 del decreto-legge 17 marzo 2020, n. 18, convertito, con modificazioni, dalla legge 24 aprile 2020, n. 27, esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla societa' di cui all'articolo 83, comma 15, del decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133. I programmi informatici di titolarita' pubblica sviluppati per la realizzazione della piattaforma e l'utilizzo dell'applicazione di cui al medesimo comma 1 sono resi disponibili e rilasciati sotto licenza aperta ai sensi dell'articolo 69 del decreto legislativo 7 marzo 2005, n. 82.

6. L'utilizzo dell'applicazione e della piattaforma, nonche' ogni trattamento di dati personali effettuato ai sensi al presente articolo sono interrotti alla data di cessazione ((delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione del COVID-19 anche a carattere transfrontaliero, individuata con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro della salute, e comunque entro il 31 dicembre 2021,)) ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi. (4) ((5))

7. Agli oneri derivanti dall'implementazione della piattaforma di cui al presente articolo, nel limite massimo di 1.500.000 euro per l'anno 2020, si provvede mediante utilizzo delle risorse assegnate per il medesimo anno al Commissario straordinario di cui all'articolo 122 del decreto-legge 17 marzo 2020, n. 18 con delibera del Consiglio dei Ministri a valere sul Fondo emergenze nazionali di cui all'articolo 44 del decreto legislativo 2 gennaio 2018, n. 1.

Fonte : Relazione GPDP 2020