Immuni, ci siamo.

Immuni, ci siamo: dalla tutela della salute ai (falsi) rischi privacy per gli utenti

Con il rilascio delle relative API (l’Application Programming Interface ndr) da parte di Google e Apple, è ora possibile scaricare l’app di contact tracing “Immuni”.
Con il DL n. 28 entrato in vigore lo scorso 30 aprile, il funzionamento dell’applicazione è stato regolamentato con particolare riguardo alla tutela dei dati personali degli utilizzatori, che, come noto, possono scaricarla su base volontaria da una piattaforma unica nazionale.
Quest’ultimo specifica che la raccolta e il successivo utilizzo dei dati potrà avvenire esclusivamente in forma anonima e ad aggregata ed esclusivamente per finalità di “sanità pubblica, profilassi, statistiche o di ricerca scientifica” (conformemente a quanto previsto dagli articoli 5, par. 1, lett. a) e 9, par. 2, lett. i) e j), del GDPR).

Come funziona Immuni e il ruolo di Google ed Apple

L’API sviluppata congiuntamente dai colossi di Mountain View e Cupertino aderisce al sistema decentralizzato (ovvero sfrutta la memorizzazione dei dati sul device anziché sul server) ed ha la funzione di abilitare le applicazioni di tracciamento sviluppate dai paesi dell’Unione Europea con lo scopo di monitorare lo svilupparsi dell’epidemia da COVID-19, attraverso la tecnologia delle c.d. exposure notification: ciò consente all’app di funzionare in modo particolarmente accurato attraverso l’utilizzo del bluetooth low energy (ovvero il “bluetooth a basso consumo”) non ricorrendo così alla geolocalizzazione.
Una volta installata, l’applicazione crea un codice temporaneo casuale associato al dispositivo, che in questo modo non può essere intercettato: contemporaneamente, il bluetooth, tramite un identificatore di prossimità, trasmette un segnale che registrerà il contatto (e la relativa durata) con il dispositivo sul quale è presente la medesima tecnologia.
A seguito dell’eventuale positività al tampone, gli operatori sanitari forniscono all’utente un codice di autorizzazione che potrà essere caricato su un server ministeriale: parallelamente, l’app effettua il download periodico dei codici dei contagiati ed effettua un confronto dei codici presenti sul dispositivo su cui è installato, notificando all’utilizzatore l’eventuale contatto con il soggetto risultato positivo al tampone e fornendogli ulteriormente delle indicazioni pratiche di comportamento.

I risvolti in materia privacy

Ciò che ha suscitato non poche polemiche è l’impatto dell’app Immuni sui dati personali degli utenti.
Lo scorso 29 aprile il Garante per la protezione dei dati personali, a seguito del parere richiesto dal Governo ha fornito importanti indicazioni sulle “misure tecniche e organizzative che dovranno essere adottate per garantire un livello di sicurezza adeguato ai rischi per i diritti e le libertà degli interessati” in ottemperanza a quanto previsto dall’art. 36 par. 5 del GDPR, nonché dell’art. 2 quinquiesdecies del d.lgs. 196/2003 (secondo quanto novellato dal d.lgs. 101/2018).
Per tale motivo, sottolinea il Garante, il Ministero della Salute dovrà necessariamente effettuare in via preliminare la valutazione d’impatto sulla protezione dei dati (DPIA) la quale, in considerazione della categoria dei dati oggetto del trattamento ma soprattutto del monitoraggio sistematico compiuto dall’applicazione, rappresenta un obbligo per il titolare del trattamento in osservanza del principio di responsabilizzazione (il quale trova espressione oltre che nell’art. 35 del GDPR anche nelle linee guida predisposte dal WP 29 il 4 ottobre 2017).
La molteplicità degli attori coinvolti necessita peraltro di una netta divisione dei ruoli nella gestione dei dati: insieme al ministero della Salute, che agirà quale titolare del trattamento, dovranno necessariamente coordinarsi, in qualità di responsabili (ai sensi dell’art. 28 del GDPR) il Servizio di protezione Civile, l’Istituto Superiore di Sanità e le strutture di sanità pubblica e privata accreditate che supporteranno materialmente gli utenti nella fase di trasmissione dei dati sul server centrale dei soggetti positivi.
Dal punto di vista della tutela dei diritti dei soggetti interessati, l’articolo 6 del decreto prevede una serie di prerogative che dovranno essere adottate tra cui la predisposizione di un’idonea informativa che indichi le finalità, le modalità e il periodo di conservazione dei dati oggetto del trattamento, comprese le misure adottate per garantire la sicurezza e prevenire l’utilizzo indebito, tra cui la cifratura e la pseudonimizzazione; come specifica lo stesso decreto, tali tecniche garantiscono sia l’utilizzo dei soli dati necessari alle finalità perseguite dall’applicazione stessa, ma anche a scongiurare il rischio di un’identificazione indiretta dei soggetti interessati.
Tuttavia, come anche specificato dal Commissario straordinario Arcuri, la buona riuscita del sistema di tracciamento non dipenderà tanto dalla percentuale di utilizzatori (dato che, in un primo momento si era ipotizzata una percentuale di almeno il 60%) quanto dalla disponibilità di coloro che, risultati positivi al test del tampone, acconsentiranno all’invio dei propri codici identificativi. In altre parole, sarà il buonsenso degli utenti a farla da padrone, affinché l’impegno profuso da tutte le parti coinvolte nel progetto non venga vanificato.

Tutte le informazioni utili sul funzionamento della app sono disponibili sul sito immuni.italia.it.