Sistema di allerta COVID-19: l’App Immuni è uno strumento sicuro?
Roma, 6 Lug – Ci siamo già soffermati in diversi articoli, spesso a cura di Adalberto Biasiotti, sul delicato tema dei possibili conflitti tra libertà individuali e interessi collettivi in materia di protezione dei dati personali.
E sicuramente uno degli argomenti più dibattuti in queste settimane riguardo alle eventuali preoccupazioni sulla tutela della privacy riguardano l’uso dell’App Immuni, una applicazione che, come indicato nel sito ufficiale, è “creata per aiutarci a combattere l'epidemia di COVID-19” utilizzando la tecnologia “per avvertire gli utenti che hanno avuto un'esposizione a rischio, anche se sono asintomatici”. Inoltre “venendo informati tempestivamente, gli utenti possono contattare il proprio medico di medicina generale e ridurre così il rischio di complicanze”.
Per avere tuttavia ulteriori informazioni sull’applicazione, sulla normativa, sugli eventuali problemi correlati alla privacy e sulle soluzioni adottate possiamo tornare a fare riferimento ad un rapporto dell’Istituto Superiore di Sanità (ISS) dal titolo “ Protezione dei dati personali nell’emergenza COVID-19. Versione del 28 maggio 2020” (Rapporto ISS COVID-19 n. 42/2020).
L’articolo si sofferma sui seguenti argomenti:
- La normativa e il sistema di allerta COVID-19
- App Immuni: le garanzie per gli utenti
- L’applicazione come strumento utile per contenere il virus
La normativa e il sistema di allerta COVID-19
Riguardo all’App Immuni si indica che il sistema di tracciamento dei contatti e dei contagi per prevenire la diffusione del COVID-19 è stato introdotto dal decreto-legge 30 aprile 2020, n. 28 recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta COVID-19”.
Si segnala che la decisione di intervenire “con un atto avente forza di legge, di rango primario, soddisfa i requisiti di cui all’art. 9, par. 2, lett. i) del GDPR e agli artt. 2-ter e 2-sexies del Codice, con garanzie ulteriori che potranno essere stabilite con il provvedimento del Garante da adottare ai sensi dell’art. 2-quinquiesdecies del medesimo Codice”.
In aggiornamento a quanto contenuto nel Rapporto ricordiamo che nella seduta nella seduta del 25 giugno la Camera ha approvato in via definitiva la conversione in legge con modifiche del decreto-legge 30 aprile 2020, n. 28. E in sede di conversione è stata confermata l'introduzione del sistema di tracciamento dei contatti e dei contagi per prevenire la diffusione del COVID-19( App Immuni). Ed è prevista l'istituzione presso il Ministero della Salute di una piattaforma per il tracciamento dei contatti tra le persone che, su base volontaria, installeranno sui propri cellulari l'apposita applicazione.
Dal testo del decreto-legge 30 aprile 2020, n. 28, coordinato con la Legge di conversione 25 giugno 2020, n. 70 (entrata in vigore il 30 giugno) riprendiamo alcune indicazioni introduttive anche in relazione allo scopo dell’applicazione (‘allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione’).
Art. 6. Sistema di allerta Covid-19 1. Al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19, è istituita una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile. Il Ministero della salute, in qualità di titolare del trattamento, si coordina, sentito il Ministro per gli affari regionali e le autonomie, anche ai sensi dell’articolo 28 del Regolamento (UE) 2016/679, con i soggetti operanti nel Servizio nazionale della protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e con i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3 febbraio 2020, nonché con l’Istituto superiore di sanità e, anche per il tramite del Sistema Tessera Sanitaria, con le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale, nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all’emergenza epidemiologica da COVID 19, per gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l’adozione di correlate misure di sanità pubblica e di cura. Le modalità operative del sistema di allerta tramite la piattaforma informatica di cui al presente comma sono complementari alle ordinarie modalità in uso nell’ambito del Servizio sanitario nazionale. Il Ministro della salute e il Ministro per gli affari regionali e le autonomie informano periodicamente la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano sullo stato di avanzamento del progetto. (…) |
App Immuni: le garanzie per gli utenti
Nel Rapporto ISS - curato dal Gruppo di lavoro ISS Bioetica COVID-19 - si indica che la normativa ha recepito l’indirizzo offerto dall’Autorità garante e dal Comitato europeo per la protezione dei dati, sulla “necessaria volontarietà dell’utilizzo dell’applicazione: il comma 4 dell’articolo chiarisce a tal proposito che il mancato utilizzo ‘non comporta alcuna conseguenza pregiudizievole’ e assicura il rispetto del principio di parità di trattamento. La mancata adesione al sistema, pertanto, non comporta alcun svantaggio né rappresenta la condizione per l’esercizio di diritti”.
Si ricorda poi che il titolare del trattamento dei dati è il Ministero della Salute, Ministero che “si coordina, sentito il Ministro per gli affari regionali e le autonomie, anche ai sensi dell’articolo 28 del GDPR, con i soggetti operanti nel Servizio nazionale della protezione civile e con i soggetti ‘attuatori’ di cui all’art. 1 dell’ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3.2.2020, nonché con l’ISS e, anche per il tramite del Sistema Tessera Sanitaria, con le strutture pubbliche e private accreditate che operano nell’ambito dell’SSN. Le modalità operative del sistema di allerta sono complementari alle ordinarie modalità in uso nell’ambito dell’SSN”.
Come poi indicato al comma 2 dell’articolo 6 del DL il Ministero della salute, all’esito di una valutazione di impatto, sempre aggiornata ed effettuata ai sensi dell’art. 35 del GDPR, ‘adotta misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati’, sentito il Garante per la protezione dei dati personali”.
Si assicura, in particolare, che:
- “gli utenti ricevano, prima dell’attivazione dell’applicazione, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati (art. 13 e 14 GDPR);
- per impostazione predefinita i dati personali raccolti dovranno essere esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, individuati secondo criteri stabiliti dal Ministero della Salute, ed agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti (art. 25 GDPR);
- il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati. È esclusa, in ogni caso la geolocalizzazione dei singoli utenti;
- siano garantite, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento”;
- i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero. I dati sono cancellati in modo automatico alla scadenza del termine;
- i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento UE 2016/679 possano essere esercitati anche con modalità semplificate”.
Ricordiamo che per pseudonimizzazione si intende il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive.
L’applicazione come strumento utile per contenere il virus
Si indica poi che il comma 3 dell’art. 6 del DL 28/2020 chiarisce che i dati così raccolti “non possono essere trattati per finalità diverse da quella indicata nell’articolo. L’unica deroga ammessa è per l’utilizzo ‘in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica’ (ai sensi degli artt. 5, par.1, lett.a) e 9, par. 2, lett. i) e j), del GDPR).
In ogni caso l’utilizzo dell’App. e della piattaforma, nonché il trattamento dei relativi dati sono “interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31.1.2020 – che indica come data il 31 luglio – e comunque non oltre il 31 dicembre 2020: ‘entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi’ (comma 6).
Come indicato “la piattaforma è di titolarità pubblica ed è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da soggetti pubblici o società a totale partecipazione pubblica; anche i programmi informatici sviluppati per la realizzazione della piattaforma sono di titolarità pubblica”.
Si ricorda che il Garante per la protezione dei dati personali, nel parere sulla normativa del 29 aprile 2020, ha rilevato che “la disciplina contenuta nel decreto tiene conto di molte delle indicazioni fornite dallo stesso nell’audizione tenuta in data 8 aprile presso la IX Commissione trasporti e comunicazioni della Camera dei deputati, dal Segretario generale in riscontro alle ipotesi avanzate all’interno del Gruppo di lavoro ‘data-driven’ per l’emergenza COVID-19, istituito presso la Presidenza del Consiglio dei ministri. Essa appare poi conforme ai criteri indicati dalle linee guida del Comitato europeo per la protezione dei dati del 21 aprile per quanto riguarda: la trasparenza, la necessaria previsione normativa, la volontarietà, la determinatezza ed esclusività dello scopo, la selettività e la minimizzazione dei dati, la non esclusività del processo algoritmico, l’interoperabilità con altri sistemi di contact tracing utilizzati in Europa, la reciprocità di anonimato tra gli utenti dell’App. La norma sul sistema di tracciamento è poi sufficientemente dettagliata per quanto riguarda l’articolazione del trattamento, la tipologia di dati raccolti, le garanzie accordate agli interessati e la temporaneità della misura”.
In definitiva – continua il Rapporto ISS – “l’App, insieme ai tamponi e ai test sierologici, sarà uno strumento utile per contenere la diffusione del virus”. E l’’efficienza del contributo che le App possono fornire alla gestione della pandemia “dipende però da molteplici fattori.
Inoltre è chiaramente importante, per il contributo delle App Immuni, “la percentuale delle persone che installeranno l’applicazione stessa: a tal proposito risulta necessaria non solo la predisposizione di una disciplina garantista ma anche un’ampia campagna informativa in grado di sensibilizzare la collettività. La tutela della salute, individuale e collettiva, e il principio di solidarietà dovrebbero essere il perno del sistema in grado di abbattere le ‘resistenze’ per il bene comune”.
Si ricorda in conclusione che anche la Commissione UE “ha riconosciuto l’importanza della lotta comune europea al virus, anche attraverso l’uso di App: essa ha affermato che ‘le applicazioni mobili di solito installate su smartphone (App) possono aiutare le autorità sanitarie, a livello nazionale e dell’UE, a monitorare e contenere l’attuale pandemia di COVID-19 e sono particolarmente importanti in fase di revoca delle misure di contenimento’, fornendo ‘indicazioni dirette ai cittadini’ e sostenendo ‘lo sforzo di tracciamento dei contatti’” (Commissione UE, Comunicazione, Orientamenti sulle App a sostegno della lotta alla pandemia di covid-19 relativamente alla protezione dei dati).
Tuttavia la Commissione chiarisce anche che ‘conditio sine qua non per lo sviluppo, l’accettazione e l’utilizzo di tali App da parte delle persone è la fiducia’.
In altre parole, ‘i cittadini devono essere certi che è garantito il rispetto dei diritti fondamentali e che le App verranno utilizzate solo per finalità specificamente definite, che non saranno utilizzate per la sorveglianza di massa e che le persone continueranno ad avere il controllo dei propri dati’. E – ribadisce il Rapporto – è importante sottolineare che “le limitazioni e le deroghe consentite per la lotta al virus al diritto alla protezione dei dati personali sono intrinsecamente legate allo stato di emergenza e destinate a decadere non appena superata la crisi”.
Le indicazioni per scaricare l’applicazione.
Scarica il documento da cui è tratto l'articolo:
Gruppo di Lavoro ISS Bioetica COVID-19, “ Protezione dei dati personali nell’emergenza COVID-19. Versione del 28 maggio 2020”, Roma - Istituto Superiore di Sanità – 2020 - Rapporto ISS COVID-19 n. 42/2020 (formato PDF, 1.64 MB).
Scarica la normativa di riferimento:
Leggi gli altri articoli di PuntoSicuro sul nuovo coronavirus Sars-CoV-2
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.