Secondo le indicazioni fornite in un continuum ideale e valoriale dal nostro Garante Privacy e dalle Autorità europee con riferimento alla nuova app Immuni, per attuare gli strumenti di contact tracing su tutto il territorio nazionale un requisito fondamentale è rappresentato da una fonte normativa che ne sancisca l’assoluta necessità.
In data 30 aprile 2020, con il Decreto Legge n. 28 sono state approvate “Misure urgenti per la funzionalità’ dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19”(GU n.111 del 30-4-2020).
In particolare, le misure urgenti per l’introduzione del sistema di allerta Covid-19 si trovano al Capo II, Art. 6, dove viene descritto il “Sistema di allerta Covid-19”.
Al comma 1 si stabilisce che “al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19, é istituita una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile”.
Il titolare del trattamento è il Ministero della salute, che si coordina, sentito il Ministro per gli affari regionali e le autonomie, anche ai sensi dell’articolo 28 del Regolamento (UE) 2016/679 (GDPR), con i soggetti operanti nel Servizio nazionale della protezione civile, nonché con l’Istituto superiore di sanità e, anche per il tramite del Sistema Tessera Sanitaria, con le strutture pubbliche e private accreditate del Servizio sanitario nazionale, “nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all’emergenza epidemiologica da COVID 19, per gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l’adozione di correlate misure di sanità pubblica e di cura”. Le modalità operative del sistema di allerta tramite la piattaforma informatica sono complementari alle ordinarie modalità’ in uso nell’ambito del Servizio sanitario nazionale (cd. ‘tracciamento manuale dei contatti’).
In ottemperanza alle prescrizioni del Regolamento (UE) 2016/679, il Ministero della salute
- dopo una valutazione di impatto, effettuata ai sensi dell’articolo 35,
- ha adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà’ degli interessati,
- sentito il Garante per la protezione dei dati personali ai sensi dell’articolo 36, paragrafo 5, e dell’articolo 2-quinquiesdecies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196.
Era infatti necessario assicurare, in particolare, che:
- a) gli utenti ricevessero, prima dell’attivazione dell’App, informazioni chiare e trasparenti, ai sensi degli articoli 13 e 14, al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati;
- b) per impostazione predefinita, in conformità’ all’articolo 25, i dati personali raccolti fossero esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19 (individuati secondo criteri stabiliti dal Ministero della salute), nonché ad agevolare l’eventuale assistenza sanitaria in loro favore;
- c) il trattamento effettuato per allertare i contatti fosse basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati; “é esclusa in ogni caso la geo-localizzazione dei singoli utenti”;
- d) fossero garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento;
- e) i dati relativi ai contatti stretti fossero conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata é stabilita dal Ministero della salute e specificata nell’ambito delle presenti misure; i dati fossero infine cancellati in modo automatico alla scadenza del termine;
- f) i diritti degli interessati di cui agli articoli da 15 a 22 potessero venire esercitati anche con modalità’ semplificate.
I dati raccolti attraverso l’App non possono essere trattati per finalità diverse da quelle sopra indicate, salva la possibilità’ di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità’ pubblica, profilassi, statistici o di ricerca scientifica, ai sensi degli articoli 5, paragrafo 1, lettera a) e 9, paragrafo 2, lettere i) e j), del Regolamento (UE) 2016/679.
Viene espressamente ribadita la volontarietà dell’utilizzo dell’App: “il mancato utilizzo dell’applicazione non comporta alcuna conseguenza pregiudizievole ed é assicurato il rispetto del principio di parità di trattamento”.
La piattaforma informatica “é di titolarità pubblica ed é realizzata dal Commissario Straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica Covid-19”. Utilizza solo infrastrutture pubbliche situate all’interno dei confini nazionali ed è gestita esclusivamente dalla società pubblica Sogei SpA Il codice sorgente è stato sviluppato per la presidenza del Consiglio dei ministri da Bending Spoons SpA ed è rilasciato sotto licenza GNU Affero General Public License (versione 3).
L’utilizzo dell’App e della piattaforma, nonché ogni trattamento di dati personali dovranno essere interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati dovranno essere cancellati o resi definitivamente anonimi.
In data 1 giugno 2020 il Garante per la protezione dei dati personali ha autorizzato il Ministero della salute ad avviare il trattamento relativo al “Sistema di allerta Covid-19” (App “Immuni”), sicché da pari data l’App è stata resa disponibile sugli store digitali di Apple e Google.
Come si legge nel Provvedimento, sulla base della valutazione d’impatto effettuata dal Ministero ut supra, il trattamento di dati personali effettuato nell’ambito del Sistema “può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati, che attenuano i rischi che potrebbero derivare da trattamento”.
Tuttavia, anche a causa della complessità del sistema e del numero dei soggetti coinvolti, il Garante ha voluto indicare una serie di misure, volte a rafforzare la sicurezza dei dati degli utenti dell’App.
In particolare, l’Autorità ha disposto che, utilizzando anche il periodo di test che dall’8 giugno ha riguardato quattro regioni (Abruzzo, Liguria, Marche e Puglia):
- gli utenti fossero informati adeguatamente in ordine al funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio;
- fossero portati a conoscenza del fatto che il sistema potrebbe generare notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio;
- avessero inoltre la possibilità di disattivare temporaneamente l’App attraverso una funzione facilmente accessibile nella schermata principale;
- Fosse anche garantita la trasparenza del trattamento a fini statistico-epidemiologici dei dati raccolti e individuate modalità adeguate a proteggerli, evitando ogni forma di riassociazione a soggetti identificabili e adottando idonee misure di sicurezza e tecniche di anonimizzazione;
- venissero introdotte misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati;
- la conservazione degli indirizzi Ip dei cellulari venisse commisurata ai tempi strettamente necessari per il rilevamento di anomalie e di attacchi;
- venissero adottate misure tecniche e organizzative per mitigare i rischi derivanti da “falsi positivi”;
- particolare attenzione fosse dedicata all’informativa e al messaggio di allerta, tenendo altresì conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultra quattordicenni.
Il Garante ha sottolineato infine che il trattamento di dati personali raccolti attraverso l’App “da parte di soggetti non autorizzati può determinare un trattamento di dati personali illecito, eventualmente anche sotto il profilo penale”.
Sin dalla sua attivazione, secondo gli aggiornamenti forniti dal ministero dell’Innovazione, l’App Immuni è stata scaricata da 2,2 milioni di persone.
Da lunedì 15 giugno è utilizzabile in tutta Italia e ci si augura che presto venga scaricata dal maggior numero possibile di persone, in quanto strumento fondamentale nella strategia globale di lotta alla pandemia.
Sergio Guida