Via libera del Garante Privacy al call center “Immuni”. L’Autorità ha dato, nei giorni scorsi,
parere favorevole allo schema di ordinanza del Commissario straordinario che regola
l’organizzazione e il funzionamento del Servizio nazionale di supporto telefonico e telematico alle
persone risultate positive al Covid-19, istituito dal decreto legge “Ristori”.

Lo schema individua, in particolare, le modalità con le quali il call center, su richiesta
dell’interessato, avvia la procedura di sblocco dell’app Immuni del chiamante risultato positivo per
inviare il messaggio di allerta ai suoi contatti; le modalità di trasmissione agli assistiti del codice
univoco nazionale (CUN) che identifica tutti i referti (positivi e negativi) dei test Covid-19; le regole
con cui le strutture sanitarie comunicano al sistema centrale denominato Tessera Sanitaria l’esito
(positivo o negativo) del tampone; il tempo di conservazione dei dati raccolti.
L’articolo continua qui sotto.

Nel corso delle interlocuzioni avute con il Ministero della Salute, il Ministero dell’economia
e finanze, il Commissario straordinario e il Dipartimento della trasformazione digitale della
Presidenza del Consiglio dei ministri, l’Ufficio del Garante ha fornito specifiche indicazioni per
individuare, seppur con l’urgenza richiesta dall’emergenza sanitaria, soluzioni rispettose della
protezione di dati degli assistiti.

In particolare l’Autorità ha ritenuto che l’identificazione di chi chiama il call center e del suo
stato di positività dovesse avvenire attraverso un apposito codice, il codice univoco nazionale del
referto Covid (CUN), che individua in modo univoco il singolo referto e la persona ad esso
associata, anziché con altre modalità meno sicure dal punto di vista della protezione dei dati degli
assistiti, evitando che fosse creata una nuova banca dati dei referti Covid, liberamente consultabile
dagli operatori del call center.

Il Garante ha chiesto inoltre che la piattaforma utilizzata dagli operatori del call center per
accedere al Sistema Tessera Sanitaria sia progettata e realizzata adottando stringenti misure di
sicurezza adeguate al rischio che presenta un trattamento di dati così delicato (in particolare,
riguardo alle modalità di autenticazione informatica, ai profili di autorizzazione e al tracciamento
delle operazioni svolte dagli stessi operatori).

L’Autorità, infine, ha prescritto al Ministero della salute di effettuare controlli costanti
sull’attività del soggetto a cui è affidata la gestione del call center Immuni, per verificare il pieno
rispetto della disciplina sulla privacy. Alla luce delle novità introdotte con l’istituzione del call
center, il Ministero dovrà aggiornare anche la valutazione d’impatto relativa ai trattamenti di dati
effettuati nell’ambito del sistema di allerta Covid-19.