Si è molto discusso in piena pandemia della legittimità o meno, in termini di protezione dei dati personali, delle app di contact tracing, spingendo il Garante ad esprimersi in maniera affermativa pur con una serie di cautele molto stringenti, tra tutte la totale anonimizzazione delle informazioni necessarie a realizzare il tracciamento dei dati personali.
Ora però con i loro sistemi di Exposure Notification saranno direttamente i due colossi, Google e Apple ad inviare la notifica e questo apre scenari molto diversi rispetto a quanto visto finora.
Il trattamento è infatti completamente diverso, come è diverso il soggetto che lo effettua e pertanto necessita di una propria base giuridica.
La questione non deve sorprendere e non è certo una novità, sin dall’inizio infatti i due colossi americani avevano manifestato l’intenzione di divenire totalmente autonomi a riguardo con lo scopo di aver un maggior controllo sulle informazioni, quello che però è cambiato sono i riferimenti normativi ed interpretativi in Italia ed Europa.
Un primo punto fondamentale, oltre all’individuazione della base giuridica sulla quale viene effettuato il trattamento di queste informazioni, risiede nella sentenza Schrems II della Corte di Giustizia UE, che annulla l’accordo Privacy Shield tra USA e Ue sui quali si reputavano legittimi la gran parte dei trasferimenti fino ad oggi adottati.
Qualora i due colossi intendano elaborare le informazioni sui propri server americani dovranno trovare una base giuridica alternativa al Privacy Shield per i dati che si riferiscono a persone che si trovano sul suolo europeo.
Attualmente, e in attesa di un intervento da parte del Garante, pertanto non si può escludere che tali trattamenti possano rimanere privi di una base giuridica valida e pertanto illeciti.
