Nei mesi scorsi si è discusso molto della possibilità di adottare soluzioni di contact tracing digitale al fine inter alia di allertare i soggetti entrati in contatto con individui positivi al virus Sars-Cov-2 (“Covid-19”)1.  

Ad oggi, questa funzionalità è diventata (finalmente) attuale. Infatti, a seguito alla consultazione preventiva rivolta al Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) ai sensi dell’articolo 36, del Regolamento (UE) 2016/679 (il “Regolamento” o “GDPR”) e dell’articolo 2 quinquiesdecies del Dlgs. 196/2003, come modificato dal Dlgs. 101/2018 (“Codice Privacy”), il Ministero della salute è stato autorizzato ad avviare il “Sistema di allerta Covid-19”2 tramite l’applicazione Immuni. 

La “luce verde”, introdotta con provvedimento n. 95 del 1° giugno 2020 (il “Provvedimento”), ha fatto seguito all’esame da parte del Garante della valutazione di impatto e dell’informativa privacy relative all’app Immuni predisposte a cura del Ministero della salute, titolare del relativo trattamento. 

Nel Provvedimento l’Autorità svolge un’attenta disamina del “Sistema di allerta Covid-19”, soffermandosi sugli aspetti tecnici e sulle funzionalità dell’applicazione, nonché sui profili ed impatti in materia di data protection, così dissipando molti dei dubbi che precedentemente “aleggiavano” sull’app Immuni. 

In via generale, il Garante ha ritenuto che l’applicazione comporti un trattamento di dati “legittimo e proporzionato”, avente ad oggetto solo quelli necessari, da una parte, allo scopo di allertare le persone che siano entrate in stretto contatto con soggetti risultati positivi al virus (e.g., TEK, RPI) e, dall’altra parte, per finalità di sanità pubblica (e.g., analytics di tipo Epidemiological Info e di tipo Operational Info), nonché in linea anche con le indicazioni fornite al riguardo dal legislatore italiano e dallo European Data Protection Board (“EDPB”)3. 

Tuttavia, tenuto conto della complessità della soluzione tecnologica, del numero degli interessati potenzialmente coinvolti, nonché dei rischi per i diritti e le libertà degli stessi, il Garante ha raccomandato l’implementazione di alcune misure ulteriori volte a garantire la sicurezza dei dati delle persone che scaricheranno l’applicazione. In particolare, esse riguardano i) la definizione del periodo di conservazione degli indirizzi IP, da determinare in base al criterio di necessità al fine di rilevare eventuali anomalie o attacchi; ii) l’introduzione di modalità volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati; iii) l’individuazione di misure tecniche e organizzative per mitigare i rischi derivanti da eventuali cd. falsi positivi. 

Inoltre, l’Autorità ha sottolineato l’importanza di individuare in modo puntuale - aggiornando costantemente di conseguenza la valutazione di impatto - i criteri epidemiologici di rischio e i modelli probabilistici su cui si basa l’algoritmo di esposizione al contagio, nonché di rendere noto agli utenti il funzionamento dello stesso, se del caso, anche attraverso un’infografica. Gli users dell’app dovranno in particolare essere informati in merito al carattere probabilistico delle notifiche di esposizione generate da Immuni, che pertanto non sempre riflettono un’effettiva condizione di rischio e sono suscettibili di essere influenzate da i cd. falsi positivi. 

Con riferimento poi alla raccolta degli analytics4, non potendo essi essere considerati come strettamente anonimi, il Garante ha richiesto che nella valutazione di impatto siano precisate le modalità con cui il Ministero della salute tratterà e conserverà tali dati, nonché le tecniche di anonimizzazione/pseudonimizzazione adottate, il relativo periodo di conservazione e le specifiche misure di sicurezza implementate.  

Inoltre, la suddetta attività di trattamento, insieme a tutte le specifiche relative alle principali caratteristiche di Immuni, dovrà essere adeguatamente illustrata agli interessati nell’informativa ex articolo 13, GDPR, in modo da assicurare il rispetto del principio di trasparenza sancito dal Regolamento e di consentirne la comprensione da una platea quanto più ampia possibile di soggetti. 

Gli accorgimenti suggeriti dall’Autorità dovranno essere recepiti dal Ministero della salute durante il periodo di sperimentazione dell’app, che è già stato avviato in quattro regioni5 (i.e., Puglia, Abruzzo, Marche e Liguria), così da assicurare che tutte le criticità residue siano risolte in fase di implementazione nazionale. 

Nel frattempo, l’applicazione è già disponibile per il download gratuito sia su App Store che su Google Play Store. Gli italiani saranno disposti a scaricare l’app Immuni sul proprio smartphone? Lo scopriremo a breve. 

Provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19

App Immuni - 1° giugno 2020 [9356568]