Emanuel Silvestri
21 dicembre 2020
Per prevenire la diffusione del contagio da Covid-19, l’Italia ha deciso di adottare un’app per il tracciamento dei contatti denominata “App Immuni”. La scelta segue l’esempio già fatto proprio con successo in altri Paesi del globo, prima tra tutti la Corea del Sud, dove un efficiente funzionamento degli strumenti informatici ha permesso di tenere sotto controllo il diffondersi dell’epidemia.
Il 1 giugno 2020, l’Autorità garante per la protezione dei dati personali emetteva il provvedimento di autorizzazione.
Il sistema di allerta Covid19-App Immuni si basa sull’utilizzo della tecnologia Bluetooth tramite il processo di “contact tracing” che consente di memorizzare all’interno del dispositivo mobile i dati relativi alle interazioni con altri utenti dell’app. Questa inizia a funzionare generando una chiave temporanea denominata TEK da cui deriva un identificativo di prossimità del dispositivo mobile (RPI) senza che da questo sia possibile risalire alla chiave. In caso di esito positivo di un tampone epidemiologico, l’Azienda sanitaria locale chiederà all’interessato se intenda rendere disponibili le proprie Tek al fine di allertare gli utenti con cui sia entrato in contatto. L’app crea un codice OTP che viene trasmesso dall’operatore sanitario al backend di Immuni elaborando solo le TEK alla data di insorgenza dei sintomi garantendo così di registrare solo gli utenti risultati positivi. Il backend, infine, origina un file contenente tutte le chiavi TEK riferite ai nuovi positivi che permette ai singoli dispositivi una verifica periodica. Sulla base di un algoritmo che prende come parametri la distanza e la durata del contatto, viene quindi calcolato un indice di rischio che se supera una data soglia manda una notifica di esposizione invitando a contattare il proprio medico curante
La realizzazione dell’app si collocava nel contesto normativo stabilito dall’art.6 del d.l. n. 28/2020 basato su tre pilastri: 1) la volontarietà, 2) il perseguimento di specifiche finalità,3) l’utilizzo di dati pseudonimizzati.
In quanto al punto 1), l’authority ribadiva come la volontarietà degli utenti dovesse manifestarsi in tutte le parti del funzionamento. Lo stesso legislatore rammentava che le persone che non intendessero o potessero scaricare l’app, non avrebbero subito alcun pregiudizio in ossequioso rispetto dei principi di parità di trattamento e trasparenza.
Al punto 2), la normativa stabiliva che il sistema Immuni dovesse perseguire esclusivamente la finalità di ‘’allertare chi fosse entrato in contatto con soggetti positivi” e dall’altro, ‘’tutelarne la salute tramite le misure di prevenzione previste” Ora il problema poteva emergere con dirompenza per quelle ‘’categorie particolari di dati, in quanto riferibili alla salute degli utenti”. L’autorità indipendente ricordava come questi potessero essere trattati ai sensi dell’art.9 par.1, lett. g, del Regolamento UE 2016/679 e del articolo 2 del decreto legislativo 30 giugno 2003, n.196 (Codice della Privacy) specificando le operazioni eseguibili e quelle di pubblico interesse, nonché le misure atte a garantire la sicurezza degli interessati.
Infine, al punto 3), il decreto stabiliva che il trattamento di dati pseudonimizzati costituisse una misura di ‘’privacy by design’’ che tutela i principi di protezione e soddisfa i requisiti di garanzia richiesti dal regolamento europeo senza l’utilizzo di informazioni aggiuntive da cui sarebbe stato possibile ricavare un’identità associata.
Il Garante sottolineava inoltre, come non venissero individuati puntualmente criteri epidemiologici di rischio e modelli probabilistici alla base dell’algoritmo che tiene conto solo della durata del contatto e della distanza dei dispositivi rischiando di creare ‘’falsi positivi’’ e ribadendo come la notifica di allerta non indicasse per forza un utente contagiato.
A tutela del principio di trasparenza, le informazioni sul trattamento dei dati effettuate nell’ambito del sistema di allerta dovevano essere rese disponibili all’interessato con modalità progressiva. Il legislatore aveva stabilito che gli utenti ricevessero informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza sulle finalità e operazioni di trattamento mediante icone standardizzate dando subito un quadro d’insieme e attraverso un linguaggio comprensibile dal maggior numero di persone.
Si evidenziava poi come i diritti di accesso, rettifica, limitazione del trattamento e portabilità dei dati NON fossero esercitabili dall’interessato e il diritto di opposizione potesse farsi valere solo mediante la disinstallazione dell’app. Si ribadiva come i dati raccolti dovessero essere ‘’adeguati, pertinenti e limitati a quanto necessario rispetto agli obiettivi” e che ‘’quelli relativi ai contatti stretti, fossero conservati per il periodo strettamente necessario, la cui durata temporale era stabilita dal Ministero della Salute, per poi essere cancellati in modo automatico e definitivo, comunque non oltre il 31/12/2020.
L’art. 6, comma 1 e 5, del d.l. n.28/2020 prevedeva quali fossero i soggetti coinvolti nel trattamento: il Ministero della Salute che si avvale di Sogei S.p.a.-e Ministero dell’Economia, limitatamente all’utilizzo del Sistema TS. L’autorità segnalò il ruolo che avrebbero potuto avere altri soggetti nominati per cui non fossero chiariti i contorni: la società di sviluppo dell’applicazione, la Bending Spoons Spa o le società Apple e Google come fornitori di tecnologia senza però gestire alcun dato personale.
Infine, per garantire la massima riservatezza dei soggetti positivi, l’utente andava adeguatamente avvisato di curare la privacy del proprio dispositivo, per evitare l’azione di malware che potessero acquisire informazioni circa le relazioni tra gli utenti e la catena di contagio. La pubblicazione delle chiavi TEK dei soggetti positivi in forma di pseudonimi, NON ”immunizzava” da una particolare tecnica di attacco informatico denominata ‘’paparazzi attack’’ in cui è possibile risalire all’identità nota dietro lo pseudonimo ove siano collegate informazioni aggiuntive da permettere un’identificazione associata allo stato di salute.
Con riferimento alla sicurezza complessiva, nonostante il livello di sicurezza garantito appariva solido grazie alla memorizzazione in aree crittograficamente protette delle chiavi e il tracciamento degli accessi compiuti dagli amministratori del sistema, l’authority non risparmiava censure. Dalla documentazione fornita non era chiaro se venissero conservati gli indirizzi IP dei dispositivi che interagissero col backend di Immuni, i quali non verrebbero memorizzati ma solo tracciati costituendo però quelle informazioni aggiuntive per l’identificazione dei soggetti. Inoltre, si faceva notare come gli accessi degli amministratori del sistema riguardassero solo le operazioni di login e logoff non assicurando un controllo adeguato. Per questo reputava necessaria una preliminare fase di sperimentazione in un numero limitato di Regioni per testare il funzionamento ed evidenziare i punti deboli.
In conclusione, il Garante riteneva che il Sistema di allerta Covid19-App Immuni potesse considerarsi proporzionato. Autorizzava il Ministero della Salute ad avviare il trattamento relativo al sistema nel rispetto delle seguenti prescrizioni: indicare in modo puntuale l’algoritmo basato sui criteri epidemiologici e probabilistici su cui si fonda l’app da aggiornare costantemente, informare adeguatamente gli utenti che l’applicazione possa generare notifiche di esposizione che NON sempre riflettono un’effettiva condizione di rischio, consentire la possibilità di disinstallazione tramite modalità semplificate, rafforzare le protezione del backend in modo da evitare ogni possibilità di riassociazione indiretta dell’identità, integrare la valutazione di impatto con particolare attenzione al diritto di opposizione e cancellazione dei dati, consentire il tracciamento di tutte le operazioni compiute dagli amministratori di sistema in base ad un principio di piena responsabilizzazione e infine, adottare misure per mitigare i rischi nel caricamento delle chiavi di soggetti non positivi per errori materiali o diagnostici.
Il Garante tornerà ad esprimersi sul tema con una memoria del Presidente sul ddl di conversione in legge del dl 7 ottobre 2020, n.125, recante misure urgenti connesse alla proroga dello stato di emergenza epidemiologica. Nel documento ci si concentrava su due aspetti: una ricognizione dei suoi precedenti interventi anche a seguito delle novità introdotte e un parere sul decreto in discussione. Quanto al primo aspetto, l’autorità confermava sostanzialmente le censure sollevate a giugno continuando a contestare il modello probabilistico su cui venivano calcolate le esposizioni rischiose da contatto e l’avvio di un sistema di tracciamento a base volontaria.
Il legislatore, col Dpcm 18 ottobre 2020, aveva infatti introdotto l’obbligo per gli operatori sanitari di inserire nel sistema i dati di tutti gli utenti risultati positivi. Questo, se da una parte, intervenendo sul soggetto deputato alla registrazione delle chiavi, evitava forme di ingiustificabile inerzia in grado di compromettere il tracciamento dei contatti, dall’altro, lasciando i soggetti positivi liberi di condividere o meno i loro dati, vanificava l’intero procedimento.
Quanto al secondo aspetto, il Garante faceva notare come il decreto in discussione recasse due importanti innovazioni: l’interoperabilità del sistema di allerta con le piattaforme che operano nel territorio dell’Unione europea e il differimento del termine per l’uso dell’applicazione e trattamento dati alla cessazione dello stato di emergenza , comunque non oltre il 31/12/2021. Rammentava l’esigenza di limitare, ai soli necessari, i dati scambiati con le piattaforme degli altri Stati rafforzando le garanzie già segnalate in sede di valutazione d’impatto. Tuttavia l’adozione in ambito comunitario della decisione 2020/1023 costituiva la garanzia europea che legittimava l’interoperabilità tutelando a pieno quel principio di mobilità intraeuropea alla base dei Trattati. Infine, l’esigenza di ancorare il termine di operatività e trattamento, sia pur per relationem, alla condizione emergenziale e pandemica, si giustificava in ragione della disciplina derogatoria al contact tracing. Il differimento si reputava necessario, sia alle rilevanti esigenze di sanità pubblica connesse alla ricostruzione delle catene di contagio, sia alla clausola di salvaguardia che fissava comunque nel 31/12/2021 il termine ultimo.
Da ultimo, è importante segnalare la novità introdotta a livello legislativo con il Decreto legge 28 ottobre 2020, n.137 (‘’Decreto Ristori’’) che istituisce un call center unico nazionale di supporto telefonico e telematico per tutti coloro che abbiano ricevuto una notifica di esposizione dovuta ad un contatto con una persona positiva. L’avvio del call center inoltre è volto a rafforzare l’interscambiabilità con le altre applicazioni di contact tracing europee grazie agli Stati che hanno già aderito al sistema di interoperabilità come Germania, Irlanda, Lettonia e Spagna.
