La Camera,
   premesso che:
    il disegno di legge in esame, approvato dal Senato, di conversione del decreto-legge n. 28 del 2020, reca misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l'introduzione del sistema di allerta COVID-19;
    l'articolo 6 del provvedimento istituisce presso il Ministero della salute una piattaforma per il tracciamento dei contatti tra le persone che installino, su base volontaria, un'apposita applicazione per dispositivi di telefonia mobile complementare; la piattaforma è intesa a consentire la gestione di un sistema di allerta, in relazione alle persone che siano entrate in contatto stretto con soggetti risultati positivi al virus COVID-19. Si prevede infine che la piattaforma venga realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla Sogei (società a totale partecipazione pubblica) e tramite programmi informatici di titolarità pubblica. L'utilizzo di applicazione e piattaforma, nonché ogni trattamento di dati personali, devono essere interrotti alla data di cessazione dello stato di emergenza. Entro tale ultima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi;
    a tal proposito, è importante realizzare quanto previsto dal Piano della Commissione Europea in materia di sovranità digitale dei dati, presentato il 23 febbraio 2020, ed a tenere in debita considerazione quanto segnalato dal Copasir nella relazione sui profili di sicurezza del sistema di allerta COVID-19 previsto dall'articolo 6 del decreto-legge n. 28 del 30 aprile 2020. L'Organo parlamentare aveva infatti segnalato che «Sulla base di quanto sopra esposto, si possono inoltre evidenziare rischi non trascurabili sul piano geopolitico, che secondo quanto emerso dalle audizioni sarebbero non mitigabili. Infatti, la definizione dettata da privati dell'architettura dell'intero sistema informatico, inclusa la App, nonché la necessità di ricorrere a soggetti privati non nazionali, per quanto da considerare affidabili, per il CDN destinato a contenere i dati raccolti, potrebbero prestarsi a manipolazioni dei dati stessi, per finalità di diversa natura: politica, militare, sanitaria o commerciale. Si sottolinea inoltre come la possibile alterazione dei dati potrebbe far sovrastimare o sottostimare l'entità stessa dell'epidemia»;
    in particolare si vuole evitare che eventuali soggetti privati che gestiscano l'intesa sistema della piattaforma nazionale delineata dall'articolo 6 del decreto-legge possano «trasportare» i dati sulla salute all'estero ed essere soggetti, a prevalenza su quanto previsto dalle norme europee ed italiane, ad una disciplina normativa di paesi diversi,

impegna il Governo

ad adottare ogni opportuna iniziativa volta a prevedere che la piattaforma di cui in premessa sia realizzata esclusivamente con infrastrutture e server collocati sul territorio nazionale, disponendo altresì che il fornitore dei server e delle infrastrutture dichiari all'avvio della fornitura la conformità delle procedure adottate a quanto previsto dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 e dal decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)», a prevalenza su qualsiasi altra disposizione di Paesi esteri non soggetti all'ambito di applicabilità delle norme sopra citate.
9/2547/116. Pettarin.