Via libera al contact tracing
Con il decreto legge n. 28 del 30 aprile scorso il Governo ha dato il via libera al tracciamento, con l’applicazione Immuni, dei contagi da COVID-19, finalizzata a contenere la diffusione del virus.
Viste le polemiche suscitate nei giorni scorsi, cerchiamo di esaminare i dubbi più frequenti in merito ai possibili rischi di violazione della privacy.
Di cosa si tratta?
Viene istituita presso il Ministero della Salute una piattaforma per il tracciamento dei contatti tra le persone che, su base volontaria – probabilmente già a partire dalla fine di maggio[1] -, installeranno sui propri smartphone l’applicazione nota come app Immuni.
Titolare del trattamento dei dati personali raccolti tramite l’app è il Ministero della Salute, il quale, all’esito di una valutazione di impatto, costantemente aggiornata, effettuata ai sensi dell’art. 35 GDPR (Reg. UE 679/2016)[2], adotta misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali[3].
Queste le linee guida del sistema di contact tracing fissate dal decreto:
- la piattaforma è affidata esclusivamente ad infrastrutture localizzate sul territorio nazionale e gestite da soggetti pubblici o società a totale partecipazione pubblica; i programmi informatici sviluppati per la realizzazione della piattaforma sono di titolarità pubblica;
- informativa e trasparenza: prima di attivare l’app, agli utenti vengono date informazioni chiare circa le finalità e le operazioni di trattamento, le tecniche di pseudonimizzazione[4] utilizzate (per impedire l’identificazione degli interessati) e i tempi di conservazione dei dati;
- possono essere raccolti solo dati necessari ad avvisare gli utenti che essi rientrano tra i contatti stretti di altri utenti accertati positivi al Covid-19 e ad agevolare l’eventuale adozione di misure di assistenza sanitaria in loro favore;
- i dati raccolti non possano essere trattati per finalità diverse da quella indicate, salvo l’utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica;
- i dati di prossimità dei dispositivi saranno resi anonimi o, se non è possibile, pseudonimizzati; in ogni caso è esclusa la geolocalizzazione dei singoli utenti;
- l’utilizzo dell’applicazione e della piattaforma e i trattamenti dei dati personali saranno interrotti nel momento in cui sarà decretata la cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020 (30.6.2020), e comunque non oltre il 31 dicembre 2020; entro la medesima data saranno cancellati o resi definitivamente anonimi tutti i dati personali trattati, anche nei cellulari;
- l’uso dell’app avverrà su base volontaria (non ci sarà quindi nessun obbligo a scaricarla) e il mancato utilizzo non comporterà alcuna conseguenza pregiudizievole o disparità di trattamento;
- i diritti degli interessati (di cui agli articoli da 15 a 22 del Regolamento) potranno essere esercitati anche con modalità semplificate.
Come funziona concretamente l’applicazione?
Stando alle notizie che circolano, l’app Immuni funziona tramite il bluetooth degli smartphone (e non tramite GPS, che avrebbe permesso il tracciamento costante dei cittadini), non chiederà l’accesso ai numeri della rubrica, il numero telefonico dell’utente, né invierà SMS. Potrà determinare un contatto stretto tra due utenti, ma non rivelerà il luogo.
Come?
Quando ci si avvicina a qualcuno, i telefonini si scambiano in automatico un segnale anonimo cifrato che registra il contatto annotando anche la distanza ed il tempo; questo perché il rischio di contagio cambia a seconda che due persone sono entrate in contatto per pochi secondi o per mezzora, così come se si trovano a meno di un metro o a 10 metri di distanza.
Se una persona scopre di essere positiva, a tutti i codici registrati sullo smartphone del contagiato viene inviata una notifica; questo trasforma lo status di chi riceve il messaggio in giallo (contatto breve o a distanza) o in arancione (contatto ravvicinato o prolungato, ovvero a meno di due metri o per più di quindici minuti), senza che il destinatario della notifica sappia da chi sia stata generata, né il luogo in cui si sarebbe verificato il presunto contagio.
A quel punto dovrebbero scattare i test almeno per gli arancioni e quindi l’isolamento per i positivi.
I limiti e gli obiettivi fissati dal Governo con il decreto in commento hanno già incontrato il parere positivo del Garante per la Privacy[5], con queste motivazioni:
- il tracciamento è previsto da una norma di legge sufficientemente dettagliata quanto ad articolazione del trattamento dei dati personali, tipologia di dati raccolti, garanzie accordate agli interessati, temporaneità della misura;
- si fonda sull’adesione volontaria dell’interessato, escludendo ogni forma di condizionamento della determinazione individuale e, quindi, di disparità di trattamento basata sulla scelta di consentire o meno il tracciamento;
- è preordinato al perseguimento di fini di interesse pubblico indicati con sufficiente determinatezza ed escludendo il trattamento secondario dei dati così raccolti per fini diversi, salva la possibilità (nei termini generali previsti dal Regolamento) di utilizzo, in forma anonima o aggregata, a fini statistici o di ricerca scientifica;
- appare conforme ai principi di minimizzazione e ai criteri di privacy by design e by default, nella misura in cui prevede la raccolta dei soli dati di prossimità dei dispositivi, il loro trattamento in forma pseudonima, sempre che non sia possibile in forma del tutto anonima, escludendo il ricorso a dati di geolocalizzazione e limitandone la conservazione al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine;
- si conforma al principio di trasparenza nei confronti dell’interessato, garantendone la dovuta informazione;
- ammette l’ulteriore precisazione delle caratteristiche di dettaglio del trattamento e delle misure di sicurezza adeguate da parte del Ministero della salute e, per quanto concerne il vaglio del Garante per la Privacy, mediante l’atto di cui all’art. 2-quinquiesdecies del Codice Privacy. In tali sedi potranno, inoltre, essere previste le modalità di intervento umano sulla decisione algoritmica, così da soddisfare anche i requisiti di cui all’articolo 22, par. 2, lett. b) – del Regolamento.
In conclusione, dunque, il sistema di contact tracing così come prefigurato dal DL n. 28 non appare in contrasto con i principi di protezione dei dati personali; non resta che verificarne la sua applicazione concreta.
[1] Non è ancora chiaro quando sarà disponibile di preciso l’applicazione, in quanto i test hanno preso avvio da poco.
[2] In breve: l’art. 35 GDPR, nel caso in cui in trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche, impone al titolare del trattamento di eseguire, prima che inizi il trattamento stesso, una valutazione di impatto, in maniera tale da adottare quelle misure che siano in grado di proteggere adeguatamente i dati da tali rischi.Il processo di valutazione, in particolare, descrive il trattamento, ne valuta la necessità e la proporzionalità, e i rischi per i diritti e le libertà delle persone fisiche, e determina le misure adeguate per affrontarli. In altre parole, la valutazione di impatto, è il processo inteso a garantire e dimostrare la conformità del trattamento in questione ialla protezione dei dati.
[3] Tale potere è esercitato dal Garante della Privacy in forza dell’art. 36 comma V GDPR: (“…il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l’autorità di controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica.”) e dell’art. 2 quinquies-decies Codice Privacy (“Trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico” – 1. Con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento, il Garante per la protezione dei dati personali puo’, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento e’ tenuto ad adottare.”).
[4] La pseudonimizzazione è il procedimento in base al quale i dati personali oggetto di trattamento non possono più essere attribuiti a un interessato senza la combinazione con altre informazioni aggiuntive. Queste ultime devono essere conservate separatamente e devono essere protette da adeguate misure di sicurezza, sia tecniche, sia organizzative, al fine di garantire che non possano essere attribuite ad una persona identificata o identificabile.
[5] Il riferimento è al “Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19”, rilasciato dal Garante per la Privacy il 29 aprile scorso in forza dell’art. 36 comma IV GDPR (“Gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento.”).