Quando saranno Apple e Google a fare direttamente la notifica, con i loro sistemi di Exposure Notification, per il rischio covid-19 si aprirà una bella questione giuridica.
Questa notifica, che arriva a dire quando c’è stato il contatto a rischio, è credo un trattamento dati. E c’è una bella differenza se a fare il trattamento è il Governo con Immuni o i due big, magari su server americani.
Certo, il cambiamento adottato da Google-Apple non è inatteso, sin dal lancio delle API necessarie per far funzionare le varie app come Immuni, a maggio le due big avevano chiarito nelle FAQ che il loro obiettivo era diventare autonome e poter così controllare meglio i dati. Quello però che c’è di nuovo è che nel frattempo le norme italiane sull’app hanno stabilito regole precise sulla titolarità e sul trattamento dei dati in Italia.
Se consideriamo, ad esempio, che i trasferimenti di dati verso gli USA sono oggi molto difficoltosi dopo la sentenza Schrems II della Corte di giustizia Ue, che ha bocciato gli accordi Privacy shield tra USA e Ue, ci rendiamo conto come il trattamento di dati di exposure notification possa essere oggetto di censure in termini di trattamento dei dati personali dei cittadini italiani.
In altre parole il trattamento di dati che avviene all’origine (la vera e propria exposure notification) potrebbe oggi, qualora i trattamenti fossero effettuati da Google in USA sfornito di una valida base giuridica.
Certo che la situazione è cambiata rispetto a quando il Garante Privacy ha dato le norme per Immuni e app simili. Ora, probabilmente, sarà chiamato a intervenire di nuovo. Gli aggiornamenti di sistema che integreranno la funzione sono del resto imminenti.
