La presente informativa privacy è resa in conformità al Regolamento (UE) 2016/679 (“GDPR”) e alla normativa vigente in materia di protezione dei dati personali e contiene tutte le informazioni sul trattamento e sulla gestione dei dati personali che vengono raccolti quando si installa l’applicazione diAry – Digital Arianna (di seguito “diAry” o “applicazione”) sul proprio dispositivo mobile.
Nell’ambito delle attività volte contenere il virus COVID-19 e a fronteggiare l’emergenza sanitaria, diAry responsabilizza i cittadini tramite la loro adesione volontaria al progetto di tracciatura dei propri spostamenti ed eventuale condivisione degli stessi, in forma anonima e/o aggregata, alle autorità.Una volta installata l’app e attivato il tracciamento, infatti, l’utente che in un momento successivo dovesse risultare positivo al coronavirus può decidere di mettere il diario dei propri spostamenti a disposizione delle autorità competenti, individuate per legge.
1. Titolare del trattamento
Il titolare del trattamento dei dati personali, cioè il soggetto che assume le decisioni in merito alle modalità e alle finalità del trattamento, è Digit s.r.l., con sede legale in Corso Giuseppe Garibaldi 66, 61029, Urbino (PU), nella persona del suo legale rappresentante.
Digit s.r.l. è uno spin-off dell’Università degli Studi di Urbino “Carlo Bo”.
2. Dati oggetto del trattamento
diAry raccoglie e tratta esclusivamente i dati relativi alla geolocalizzazione dell’utente.
Non vi è una fase di registrazione e dunque non sono raccolte o altrimenti trattate informazioni personali dell’utente di tipo anagrafico o di contatto.
In forma anonima e/o aggregata, sono raccolti anche i dati di funzionamento dell’applicazione.
3. Finalità del trattamento
La finalità generale del progetto “DiAry” è di fronteggiare la diffusione e contenere il contagio da COVID-19, mediante la registrazione degli spostamenti e dei luoghi frequentati durante e dopo il periodo di incubazione dall’utente che volontariamente decide di scaricare e usare l’applicazione.
I dati così raccolti sono usati in particolare per le seguenti quattro finalità:
- Localizzazione: Per localizzare l’utente e tenere traccia degli spostamenti che siano rilevanti al contenimento del contagio. La rilevanza dello spostamento è valutata dall’utente stesso che attiva la app nel momento in cui inizia a spostarsi da un luogo in un altro.
- Tracciatura indiretta dei contatti: Per consentire, in maniera indiretta, il tracciamento a ritroso dei contatti tenuti dall’utente nelle due settimane (o nel diverso tempo stabilito dalle autorità) precedenti la propria positività al COVID-19, tramite la segnalazione del luogo (in cui si è transitato o ci si è soffermati) catturato dall’app e/o annotato dall’utente sul diario.
- “Call to action”: Per ricevere e diramare alert provenienti dalle autorità pubbliche (in primis, le autorità sanitarie) con informazioni geografiche e temporali e poter così informare selettivamente le persone che sono state esposte ad alto rischio di contagio perché hanno frequentato luoghi specifici nel lasso temporale identificato. diAry, dopo aver ricevuto gli alert, li confronta con le tracce che ha raccolto localmente e li presenta all’utente solo se sono di suo reale interesse.
- Ricerca scientifica: Per consentire di condurre attività di ricerca scientifica, sui dati anonimizzati e/o aggregati che l’utente decide di condividere con un open data set.
- Miglioramento del funzionamento e troubleshooting: Per consentire il miglioramento del funzionamento e delle prestazioni dell’applicazione ai fini del raggiungimento delle finalità dichiarate. Tali dati sono trattati in forma anonima e/o aggregata.
4. Basi legali del trattamento
La base giuridica del trattamento consiste nel consenso liberamente espresso dall’utente al momento del download e della prima apertura dell’applicazione che permette a diAry di registrare in locale i suoi spostamenti. Tale consenso è dato per le finalità a), b), c) e d) di cui al punto 4.
In particolare, per la finalità d), l’utente esprime un consenso ulteriore al conferimento dei dati relativi agli spostamenti ad un open data set, in seguito ad anonimizzazione.
Per la finalità e), il trattamento è compiuto nel legittimo interesse del Titolare, su dati in forma anonima e/o aggregata.
5. Modalità di raccolta dei dati
Dopo l’installazione di “diAry” sul proprio dispositivo, vengono raccolti i dati relativi a localizzazione e spostamenti dell’utente, mediante lo sfruttamento di componenti di fabbrica del dispositivo, quali modulo GPS, modulo Wi-Fi, bluetooth, giroscopi, oscillatori, accelerometri e magnetometri.
6. Durata del trattamento
I dati sono memorizzati sul dispositivo dell’utente e vengono rimossi dopo 30 giorni dalla loro registrazione.
I dati conferiti liberamente dall’utente all’open data set per finalità statistiche non saranno rimossi. Tali dati sono tuttavia anonimizzati e dunque non riconducibili in alcun modo all’utente stesso.
7. Modalità del trattamento, comunicazione e diffusione dei dati
I dati raccolti da diAry sono memorizzati esclusivamente sul dispositivo dell’utente (local data storage). Tramite la memorizzazione, l’utente dispone di un diario dei propri spostamenti e luoghi visitati, che rimane a sua sola disposizione: non è previsto né in alcun modo attuato caricamento automatizzato in rete dei dati.
Nel momento in cui i dati sono registrati sul device dell’utente, l’utente può esportarli in formato CSV/JSON e deciderne in autonomia l’eventuale uso, elaborazione, diffusione e/o condivisione con terzi.
In particolare, può avvalersi della facoltà di conferire i dati raccolti, in forma anonima, cioè senza che siano a lui riconducibili in alcun modo, ad un open data set per per contribuire alla mappatura della diffusione del contagio come più ampio piano di protezione della salute pubblica e/o per finalità di ricerca scientifica.
8. Eventuali parti terze coinvolte
I dati sono memorizzati nella memoria del dispositivo (local data storage) e non vengono ceduti a soggetti terzi.
Il fornitore della mappa su cui l’utente può effettuare le proprie annotazioni (target) è Google, per il cui utilizzo valgono i “Termini e Condizioni” e la “Privacy Policy” che l’utente ha accettato quando ha scaricato il prodotto e a cui si rimanda. I target inseriti in diAry e riguardanti gli spostamenti e i luoghi visitati non sono tuttavia visibili o in alcun altro modo accessibili a Google. diAry opera infatti in modalità local overlay: le annotazioni, e tutti i dati relativi, sono gestiti in locale e vengono semplicemente visualizzati sulle mappe.
9. Diritti dell’interessato
Ai sensi degli artt. 15 e ss. del Regolamento, l’utente ha il diritto di:
- ricevere conferma dell’esistenza dei suoi dati personali, accedere al loro contenuto e ottenerne copia (diritto di accesso);
- aggiornare, modificare e/o correggere i suoi dati personali (diritto di rettifica);
- chiedere la cancellazione o la limitazione del trattamento dei dati personali nelle ipotesi previste dal Regolamento (diritto di cancellazione e diritto alla limitazione del trattamento);
- opporsi al trattamento nelle ipotesi in cui sia previsto dal Regolamento (diritto di opposizione),
- ricevere copia dei dati forniti in formato strutturato, di uso comune e leggibile da un dispositivo automatico e chiedere che tali dati siano trasmessi ad un altro Titolare del trattamento se tecnicamente fattibile (diritto alla portabilità).
L’interessato ha inoltre il diritto di proporre reclamo all’autorità di controllo.
Per esercitare i suoi diritti, l’utente può scrivere in ogni momento alla seguente e-mail: covid19app@uniurb.it oppure all’indirizzo:
DIGIT s.r.l.
Corso Giuseppe Garibaldi, 66
61029, Urbino (PU)
c.a. Responsabile della protezione dati personali
10. Aggiornamenti dell’informativa
La presente informativa privacy potrà essere aggiornata nel tempo, pertanto Digit s.r.l. indicherà la data dell’ultimo aggiornamento in calce all’informativa stessa.
Ultimo aggiornamento: 19/05/2020.