Le app per device mobili consentono di svolgere moltissime attività, e sono elementi della nostra quotidianità di cui non possiamo più fare a meno.
Non dobbiamo però dimenticare che un’app è un software che permette di connettersi con le informazioni (dati personali) e gli strumenti su cui è installata. Potrebbe richiedere l’accesso alle immagini, ai contatti in rubrica, l’accesso al microfono e alla fotocamera, l’accesso ai file in memoria, l’accesso ai dati sulla geolocalizzazione, la gestione dei cookie.
Condizione indispensabile per il trattamento di dati personali attraverso le app è il consenso preventivo all’installazione, in quanto spesso i dati memorizzati sul dispositivo possono essere condivisi.
Ai sensi dell’art. 7 del GDPR, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso al trattamento dei propri dati personali, e deve limitarsi all’utilizzo di tali dati per le finalità previste ed esplicitate al momento della richiesta di consenso, pena la violazione del principio di minimizzazione.
Inoltre, l’art. 32 del Regolamento Europeo 2016/679 stabilisce che “il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Le misure tecniche ed organizzative di uso comune da applicare sono:
- policy e procedure interne;
- cifratura dei dati personali;
- tempi di conservazione dei dati che devono essere sempre aggiornati, esatti e corretti;
- capacità di ripristinare nel più breve tempo possibile l’accesso ai dati in caso di data breach;
- pseudonimizzazione dei dati personali;
- implementazione della gestione del rischio tenendo presente il nuovo fronte di sicurezza che si apre con le app;
- aggiornare il registro del trattamento che dovrà essere implementato per i dati trattati dalle app.
Una questione particolare riguarda le app che trattano dati sanitari, nate con finalità diagnostiche/ terapeutiche e oggi sempre più diffuse con il Covid-19 per via della necessità di avere sempre a disposizione alcuni dati come Green Pass, esiti di tamponi e così via.
A dicembre 2021 il Garante per la protezione dei dati personali ha aperto un’istruttoria su un’app realizzata dalla Associazione Covid Healer Onlus per offrire consulenza e assistenza sanitaria, trattando i dati di “utenti pazienti” e di “professionisti sanitari”.
L’Autorità ricorda che la normativa italiana ed europea prevede un divieto generale di trattare “categorie particolari di dati”, tra cui rientrano quelli sulla salute, ad eccezione di alcuni casi esplicitamente indicati – ad esempio per motivi di interesse pubblico o per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria – e solo in seguito all’adozione di particolari garanzie.
Al fine di valutare la liceità dei trattamenti dei dati personali posti in essere tramite l’app, sarà approfondita la base giuridica di tale attività e le finalità perseguite dall’Associazione, oltre che il rispetto dei principi di base in materia di protezione dei dati personali.
In conclusione: l’utilizzo delle app mediche può aiutare a rendere la sanità più veloce e al passo con i tempi, ma è necessario che ciò avvenga nell’ottica di un bilanciamento con il rispetto e la tutela della privacy del soggetto interessato.
