Al centro del dibattito pubblico l’app Immuni, che verrà adottata per il contenimento dei casi durante la Fase 2, ma quali sono le implicazioni per la privacy degli utenti e per la sicurezza dei dati trattati?
Sviluppata e offerta pro bono da Bending Spoons, l’applicazione scelta dal Governo sarà disponibile – stando alle ultime news non ufficiali - alla fine del mese di maggio. L’app Immuni sarà composta da due sezioni, una dedicata al contact tracing vero e proprio, basato sulla tecnologia Bluetooth Low Energy (BLE), l’altra destinata ad ospitare un “diario clinico” dove l’utente potrà annotare dati relativi alle proprie condizioni di salute.
In particolare, una volta installata, Immuni genererà un codice (ID) temporaneo e anonimo che, grazie alla tecnologia BLE, scambierà chiavi anonime con i dispositivi vicini. Grazie ai dati raccolti e ad un algoritmo (ancora in via di affinamento), in caso di intervenuto contagio di uno dei “contatti” (una delle persone “frequentate”) l’utente verrà informato e potrà quindi adottare ogni più idonea misura di prevenzione. Si richiede, dunque, all’utente di aggiornare quotidianamente l’app con l’inserimento dell’eventuale dato sanitario dell’intervenuto contagio.
La Presidenza del Consiglio dei Ministri ha richiesto un parere al Garante privacy sulla proposta normativa per valutare possibili implicazioni per la privacy degli utenti. Con parere del 29 aprile 2020, il Garante ha rilevato che il sistema non si pone in contrasto con i principi dettati dal Regolamento 679/2016 (GDPR) e dal Codice Privacy ed anzi risulta in linea con i criteri indicati dalle Linee guida del Comitato europeo per la protezione dei dati del 21 aprile. Nello specifico, secondo il Garante:
- sono stati rispettati i requisiti di volontarietà, tipicità, trasparenza, determinatezza ed esclusività dello scopo, selettività e minimizzazione dei dati, non esclusività dell’algoritmo e reciprocità di anonimato tra gli utenti dell’app;
- la norma è sufficientemente dettagliata con riguardo alle modalità del trattamento, che risulta conforme ai principi di minimizzazione, di trasparenza e ai criteri di privacy by default e by design. Ciò escludendo la raccolta di dati di geolocalizzazione e limitando la conservazione dei dati rilevati al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine;
- la conformità dell’applicazione è confermata dalla previsione dell’adesione volontaria dell’interessato, essendo esclusa ogni forma di condizionamento della determinazione individuale e, quindi, di disparità di trattamento.
Stante l’importanza che l’applicazione avrà nella gestione e nel contenimento dell’emergenza, occorrerebbe verificare le capacità infrastrutturali della Pubblica Amministrazione, anche a fronte del grave data breach subito dall’INPS di recente. In tale ottica, sarà necessario vagliare l’implementazione delle misure di sicurezza previste dagli artt. 25 e 32 del GDPR non solo da parte del Ministero della Salute, in quanto titolare del trattamento, ma anche dei responsabili del trattamento.
Questi ultimi sono i soggetti operanti nel Servizio Nazionale della protezione civile, i soggetti cc.dd. “attuatori” di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile, nonché l’Istituto superiore di sanità e le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale.
Si segnala come, ad oggi, debba ancora essere svolta la valutazione d’impatto, obbligatoria ai sensi dell’art. 35 GDPR e che verrà vagliata dall’Autorità Garante per la protezione dei dati personali, nell’ambito del prior check.
Avv. Vincenzo Colarocco e Dott. Niccolò Olivetti