Art. 1
Scambio transfrontaliero di dati tramite il gateway federativo tra applicazioni mobili nazionali di tracciamento dei contatti e di allerta
In vigore dal 15 lug 2020
La decisione di esecuzione (UE) 2019/1765 è così modificata:
1)
all’, paragrafo 1, sono aggiunte le seguenti lettere g), h), i), j), k), l), m), n) e o):
«g)
«utente dell’applicazione»: una persona in possesso di un dispositivo intelligente che ha scaricato e utilizza un’applicazione mobile di tracciamento dei contatti e di allerta approvata;
h)
«tracciamento dei contatti»: le misure attuate al fine di tracciare le persone che sono state esposte a una fonte di una grave minaccia per la salute a carattere transfrontaliero ai sensi dell’articolo 3, lettera c), della decisione n. 1082/2013/UE del Parlamento europeo e del Consiglio (*1);
i)
«applicazione mobile nazionale di tracciamento dei contatti e di allerta»: un’applicazione software approvata a livello nazionale che funziona su dispositivi intelligenti, in particolare smartphone, di norma progettata per un’interazione ampia e mirata con risorse web, e che elabora dati di prossimità e altre informazioni contestuali raccolte da molti sensori presenti nei dispositivi intelligenti allo scopo di tracciare i contatti con le persone infette da SARS-CoV-2 e di allertare le persone che potrebbero essere state esposte a SARS-CoV-2; queste applicazioni mobili sono in grado di rilevare la presenza di altri dispositivi che utilizzano il Bluetooth e di scambiare informazioni con server back-end avvalendosi di Internet;
j)
«gateway federativo»: un gateway di rete gestito dalla Commissione mediante uno strumento informatico sicuro che riceve, conserva e mette a disposizione un insieme minimo di dati personali tra i server back-end degli Stati membri allo scopo di garantire l’interoperabilità delle applicazioni mobili nazionali di tracciamento dei contatti e di allerta;
k)
«chiave»: un identificativo temporaneo unico relativo a un utente dell’applicazione che segnala di essere stato contagiato da SARS-CoV-2 o che potrebbe essere stato esposto a SARS-CoV-2;
l)
«verifica dell’infezione»: il metodo applicato per confermare un’infezione da SARS-CoV-2, che indica in particolare se l’infezione è stata segnalata dall’utente dell’applicazione o se risulta dalla conferma di un’autorità sanitaria nazionale o mediante test di laboratorio;
m)
«paesi di interesse»: lo Stato membro o gli Stati membri in cui un utente dell’applicazione ha soggiornato durante i 14 giorni precedenti la data di caricamento delle chiavi e in cui ha scaricato l’applicazione mobile nazionale di tracciamento dei contatti e di allerta approvata e/o ha viaggiato;
n)
«paese di origine delle chiavi»: lo Stato membro in cui è situato il server back-end che ha caricato le chiavi nel gateway federativo;
o)
«dati di log»: una registrazione automatica di un’attività in relazione allo scambio di dati trattati tramite il gateway federativo e all’accesso agli stessi, che indica in particolare il tipo di attività di trattamento, la data e l’ora dell’attività di trattamento e l’identificativo della persona che effettua il trattamento dei dati.»;
(*1) Decisione n. 1082/2013/UE del Parlamento europeo e del Consiglio, del 22 ottobre 2013, relativa alle gravi minacce per la salute a carattere transfrontaliero e che abroga la decisione n. 2119/98/CE (GU L 293 del 5.11.2013, pag. 1)."
2)
all’articolo 4, paragrafo 1, è aggiunta la seguente lettera h):
«h)
fornire orientamenti agli Stati membri sullo scambio transfrontaliero di dati personali tramite il gateway federativo tra applicazioni mobili nazionali di tracciamento dei contatti e di allerta.»;
3)
all’articolo 6, paragrafo 1, sono aggiunte le seguenti lettere f) e g):
«f)
sviluppa, applica e mantiene misure tecniche e organizzative adeguate relative alla sicurezza della trasmissione e dell’hosting dei dati personali nel gateway federativo allo scopo di garantire l’interoperabilità delle applicazioni mobili nazionali di tracciamento dei contatti e di allerta;
g)
sostiene la rete eHealth nella verifica della conformità tecnica e organizzativa delle autorità nazionali ai requisiti per lo scambio transfrontaliero di dati personali nel gateway federativo eseguendo i test e conducendo gli audit necessari. Esperti degli Stati membri possono assistere gli auditor della Commissione.»;
4)
l’articolo 7 è così modificato:
a)
il titolo è sostituito da «Protezione dei dati personali trattati tramite l’infrastruttura di servizi digitali di eHealth»;
b)
al paragrafo 2, il termine «allegato» è sostituito dal termine «allegato I»;
5)
è inserito il seguente articolo 7 bis:
«Articolo 7 bis
Scambio transfrontaliero di dati tramite il gateway federativo tra applicazioni mobili nazionali di tracciamento dei contatti e di allerta
1. Laddove sono scambiati dati personali tramite il gateway federativo, il trattamento è limitato alla finalità di facilitare l’interoperabilità delle applicazioni mobili nazionali di tracciamento dei contatti e di allerta all’interno del gateway federativo e la continuità del tracciamento dei contatti in un contesto transfrontaliero.
2. I dati personali di cui al paragrafo 3 sono trasmessi al gateway federativo in forma pseudonimizzata.
3. I dati personali pseudonimizzati scambiati tramite il gateway federativo e trattati al suo interno comprendono soltanto le seguenti informazioni:
a)
le chiavi trasmesse dalle applicazioni mobili nazionali di tracciamento dei contatti e di allerta fino a 14 giorni prima della data di caricamento delle chiavi;
b)
i dati di log associati alle chiavi in linea con il protocollo di specifiche tecniche utilizzato nel paese di origine delle chiavi;
c)
la verifica dell’infezione;
d)
i paesi di interesse e il paese di origine delle chiavi.
4. Le autorità nazionali o gli organismi ufficiali designati che effettuano il trattamento dei dati personali nel gateway federativo sono contitolari del trattamento dei dati elaborati nel gateway federativo. Le rispettive responsabilità dei contitolari del trattamento sono attribuite in conformità dell’allegato II. Gli Stati membri che desiderano partecipare allo scambio transfrontaliero di dati tra applicazioni mobili nazionali di tracciamento dei contatti e di allerta notificano alla Commissione la propria intenzione prima di aderirvi, indicando l’autorità nazionale o l’organismo ufficiale che è stato designato come titolare del trattamento competente.
5. La Commissione è responsabile del trattamento dei dati personali elaborati all’interno del gateway federativo. In qualità di responsabile del trattamento, la Commissione garantisce la sicurezza del trattamento dei dati personali all’interno del gateway federativo, ivi compresi trasmissione e hosting, e rispetta gli obblighi incombenti al responsabile del trattamento di cui all’allegato III.
6. L’efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del trattamento dei dati personali all’interno del gateway federativo è periodicamente verificata, esaminata e valutata dalla Commissione e dalle autorità nazionali autorizzate ad accedere al gateway federativo.
7. Fatta salva la decisione dei contitolari del trattamento di terminare il trattamento nel gateway federativo, il funzionamento del gateway federativo è disattivato al più tardi 14 giorni dopo che tutte le applicazioni mobili nazionali di tracciamento dei contatti e di allerta connesse hanno cessato di trasmettere chiavi tramite il gateway federativo.»;
6)
l’allegato diventa l’allegato I;
7)
sono aggiunti gli allegati II e III, il cui testo figura nell’allegato della presente decisione.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:dec_impl:2020:1023:oj#art-1