Articoli

Immuni: l’app non è per tutti. Quali le indicazioni del Garante?

Il Garante, precisando alcune misure che necessariamente dovranno essere adottate in fase di sperimentazione per arginare quanto più possibile i rischi connessi al trattamento dei dati, autorizza Immuni ma l’applicazione è in grado di funzionare solo sui dispositivi di ultima generazione. Il sistema di tracciamento inaccessibile a molti sarà lo stesso efficace?
 
La nuova applicazione Immuni

Il Garante per la protezione dei dati personali ha autorizzato, con il provvedimento dell’1 giugno 2020, il Ministero della salute, titolare del trattamento, ad avviare il sistema nazionale di tracciamento digitale dei contatti (di seguito “Sistema”) attraverso l’applicazione Immuni.

In particolare, tenuto conto della valutazione d’impatto trasmessa dal Ministero è stato rilevato che il trattamento di dati personali effettuato nell’ambito del Sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati, che attenuano i rischi che potrebbero derivare da trattamento illecito.

Le misure indicate dal Garante

Tuttavia, le cautele non sono mai troppe e, per queste ragioni, il Garante ha ritenuto opportuno precisare alcune misure che necessariamente dovranno essere adottate in fase di sperimentazione per arginare quanto più possibile i rischi connessi al trattamento dei dati.

Pertanto, il rispetto dei principi del GDPR diventa certamente prioritario.

Gli obblighi di trasparenza impongono da un lato, che gli utenti debbano essere informati adeguatamente in ordine al funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio e del fatto che le notifiche generate dal sistema non sempre riflettono una condizione di rischio; dall’altro, che particolare attenzione dovrà essere dedicata all’informativa e al messaggio di allerta, tenendo altresì conto del fatto che i soggetti attinti dal trattamento saranno anche minori ultra quattordicenni.

Il rispetto della limitazione delle finalità e del principio di minimizzazione dei dati comporta che i dati raccolti attraverso il Sistema non potranno essere trattati per finalità non previste dalla norma che istituisce l’applicazione, dovendo altresì evitare ogni forma di nuova associazione a soggetti identificabili e adottando idonee misure di sicurezza e tecniche di anonimizzazione.

Quanto, poi, all’osservanza del principio di limitazione delle conservazione la retention degli indirizzi IP dei cellulari dovrà essere commisurata ai tempi strettamente necessari per il rilevamento di anomalie e di attacchi.

L’apparente parità di trattamento

Sembra, tuttavia, che l’attesa, i dibattiti, i dubbi in merito al funzionamento dell’applicazione siano serviti a poco, perché il Sistema è sì funzionale alla tutela della salute pubblica di tutti ma non è per tutti. Solo gli smartphone di ultima generazione supportano l’utilizzo dell’applicazione: nelle FAQ ufficiali dell’applicazione si legge che “i requisiti di sistema per usare Immuni sono imposti dalla tecnologia sottostante di Apple e Google, che non è disponibile per versioni precedenti di iOS, Android e Google Play Services”.

Se tanti non potranno scaricare l’applicazione perché dotati di un dispositivo di vecchia generazione, il tanto discusso Sistema funzionerà effettivamente? 

Avv. Marta Cogode

Fase 2: quali misure per il ritorno sui luoghi di lavoro?

Il 4 maggio è iniziata in Italia la “Fase 2”. A fronte dell’individuazione da parte del Governo degli specifici settori merceologici, quali misure sono tenuti ad adottare i datori di lavoro per consentire il ritorno in sicurezza? A seguito dell’aggiornamento del “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” abbiamo predisposto alcune FAQ per le aziende.

Il 24 aprile 2020 è stato aggiornato il Protocollo del 14 marzo (poi confluito nel DPCM del 26.4.2020 sub allegato 6), in vista dell’inizio della “Fase 2”. Difatti, a seguito del primo Protocollo, con DPCM del 10 aprile 2020, il Governo ha istituito un Comitato di esperti in materia economica e sociale. Il Comitato ha elaborato le misure necessarie a fronteggiare l’emergenza e per una ripresa graduale nei diversi settori delle attività sociali, economiche e produttive, e ha tracciato le linee guida per l’aggiornamento del predetto protocollo sulla sicurezza dei lavoratori. Il nuovo Protocollo recepisce il documento tecnico sulla possibile rimodulazione delle misure di contenimento del contagio nei luoghi di lavoro e strategie di prevenzione reso disponibile dall’INAIL il 23 aprile 2020.

Le attività produttive individuate dai provvedimenti emanati possono fare ritorno sui luoghi di lavoro purché sia attuato il massimo utilizzo di modalità di lavoro agile (smart working) per le attività che possono essere svolte al proprio domicilio o in modalità a distanza. I datori di lavoro, inoltre, dovranno incentivare le ferie e i congedi retribuiti per i dipendenti nonché gli altri strumenti previsti dalla contrattazione collettiva, oltre a sospendere le attività dei reparti aziendali non indispensabili alla produzione. Infine, dovranno applicare protocolli di sicurezza anti-contagio che prevedano l’adozione di strumenti di protezione individuale in ogni caso in cui non sia possibile garantire il distanziamento sociale.

Per fare chiarezza sulle misure da adottare per un ritorno in sicurezza, il nostro Studio ha predisposto apposite FAQ.

Si segnala, inoltre, come in data 4 maggio 2020 il Garante per la protezione dei dati personali abbia fornito chiarimenti anche in relazione al trattamento di dati personali posto in essere per finalità di prevenzione e contenimento del contagio in ambito lavorativo, pubblico e privato, con apposite FAQ.

Avv.ti Vincenzo Colarocco e Chiara Benvenuto

In arrivo Immuni: quali implicazioni privacy per gli utenti?

Al centro del dibattito pubblico l’app Immuni, che verrà adottata per il contenimento dei casi durante la Fase 2, ma quali sono le implicazioni per la privacy degli utenti e per la sicurezza dei dati trattati?

Sviluppata e offerta pro bono da Bending Spoons, l’applicazione scelta dal Governo sarà disponibile – stando alle ultime news non ufficiali – alla fine del mese di maggio. L’app Immuni sarà composta da due sezioni, una dedicata al contact tracing vero e proprio, basato sulla tecnologia Bluetooth Low Energy (BLE), l’altra destinata ad ospitare un “diario clinico” dove l’utente potrà annotare dati relativi alle proprie condizioni di salute. In particolare, una volta installata, Immuni genererà un codice (ID) temporaneo e anonimo che, grazie alla tecnologia BLE, scambierà chiavi anonime con i dispositivi vicini. Grazie ai dati raccolti e ad un algoritmo (ancora in via di affinamento), in caso di intervenuto contagio di uno dei “contatti” (una delle persone “frequentate”) l’utente verrà informato e potrà quindi adottare ogni più idonea misura di prevenzione. Si richiede, dunque, all’utente di aggiornare quotidianamente l’app con l’inserimento dell’eventuale dato sanitario dell’intervenuto contagio.

La Presidenza del Consiglio dei Ministri ha richiesto un parere al Garante privacy sulla proposta normativa per valutare possibili implicazioni per la privacy degli utenti. Con parere del 29 aprile 2020, il Garante ha rilevato che il sistema non si pone in contrasto con i principi dettati dal Regolamento 679/2016 (GDPR) e dal Codice Privacy ed anzi risulta in linea con i criteri indicati dalle Linee guida del Comitato europeo per la protezione dei dati del 21 aprile. Nello specifico, secondo il Garante:

  • sono stati rispettati i requisiti di volontarietà, tipicità, trasparenza, determinatezza ed esclusività dello scopo, selettività e minimizzazione dei dati, non esclusività dell’algoritmo e reciprocità di anonimato tra gli utenti dell’app;
  • la norma è sufficientemente dettagliata con riguardo alle modalità del trattamento, che risulta conforme ai principi di minimizzazione, di trasparenza e ai criteri di privacy by default e by design. Ciò escludendo la raccolta di dati di geolocalizzazione e limitando la conservazione dei dati rilevati al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine;
  • la conformità dell’applicazione è confermata dalla previsione dell’adesione volontaria dell’interessato, essendo esclusa ogni forma di condizionamento della determinazione individuale e, quindi, di disparità di trattamento.

Stante l’importanza che l’applicazione avrà nella gestione e nel contenimento dell’emergenza, occorrerebbe verificare le capacità infrastrutturali della Pubblica Amministrazione, anche a fronte del grave data breach subito dall’INPS di recente. In tale ottica, sarà necessario vagliare l’implementazione delle misure di sicurezza previste dagli artt. 25 e 32 del GDPR non solo da parte del Ministero della Salute, in quanto titolare del trattamento, ma anche dei responsabili del trattamento. Questi ultimi sono i soggetti operanti nel Servizio Nazionale della protezione civile, i  soggetti cc.dd. “attuatori” di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile, nonché l’Istituto superiore di sanità e le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale.

Si segnala come, ad oggi, debba ancora essere svolta la valutazione d’impatto, obbligatoria ai sensi dell’art. 35 GDPR e che verrà vagliata dall’Autorità Garante per la protezione dei dati personali, nell’ambito del prior check.

Avv. Vincenzo Colarocco e Dott. Niccolò Olivetti