VIA LIBERA A IMMUNI. Sulla base della valutazione d’impatto trasmessa dal Ministero della Salute, titolare del trattamento, il Garante Privacy ha autorizzato il trattamento dei dati relativi al Sistema di allerta Covid-19 – App Immuni. L’esame delle misure tecniche ed organizzative relative al contact tracing ha tuttavia lasciato il margine per alcune prescrizioni volte ad assicurare un adeguato, e ancor più effettivo, livello di sicurezza per i diritti e le libertà degli interessati.
IL FUNZIONAMENTO DEL CONTACT TRACING. Prima di illustrare le prescrizioni del Garante, appare utile svolgere alcune sintetiche considerazioni sul funzionamento tecnico di Immuni. L’app, scaricabile volontariamente dagli utenti (come stabilito dal D-L 28/2020), si basa sulla tecnologia Bluetooth Low Energy (BLE), con esclusione della geolocalizzazione, e sulle API fornite da Apple e Google.
L’app assegna ad ogni utente un identificativo che cambia frequentemente – chiamato Proximity Identifier e generato da una Temporary Exposure Key – e funziona secondo un modello decentralizzato, in cui il matching tra identificativi avviene in locale, sui dispositivi, e non su un server centrale. In particolare, il meccanismo consiste in un raffronto tra gli identificativi memorizzati su ciascun dispositivo, corrispondenti dunque ai contatti che l’utente ha avuto, e le chiavi caricate dagli utenti risultati positivi al Covid-19. Se si verifica una corrispondenza, valutata in base ad alcuni parametri (distanza tra dispositivi, durata del contatto), l’app invia all’utente la notifica di esposizione al rischio contagio.
I DATI RACCOLTI: GLI ANALYTICS. Poste la volontarietà dell’utilizzo dell’app e la necessità di raccogliere i dati con modalità trasparenti, corrette, sicure ed esclusivamente per le finalità previste [1], il Garante rileva che Immuni raccoglie anche alcuni dati di tipo analytics: Epidemiological Information e Operational Information. Gli analytics, forniti in forma anonima e aggregata, rispondono ad esigenze di tutela della salute pubblica, di affinamento dell’algoritmo, di monitoraggio statistico della diffusione dell’app e dell’epidemia sul territorio.
Proprio sugli analytics il Garante esprime due differenti prescrizioni. La prima invita ad individuare modalità adeguate a proteggere gli analytics stessi, evitando ogni possibile forma di ri-associazione a soggetti identificabili. La seconda prescrizione, invece, invita a precisare, all’interno dell’informativa, la descrizione delle operazioni effettuate con riferimento alle Epidemiological Information.
ALGORITMO DI ESPOSIZIONE AL CONTAGIO. L’algoritmo di Immuni, basato su criteri epidemiologici e su modelli probabilistici, tiene conto della durata del contatto e della distanza dei dispositivi, calcolata grazie all’intensità del segnale BLE. Ciò può tuttavia condurre alla presenza di falsi positivi e di falsi negativi. Inoltre, dato che il meccanismo di notifica (exposure notification) si basa appunto su uno schema probabilistico, l’eventuale ricezione di una notifica non implica automaticamente un avvenuto contagio.
Il Garante raccomanda pertanto che vi sia un continuo aggiornamento dell’algoritmo e un’adeguata informazione, fornita all’utente in modo semplice e chiaro (es. infografica), tanto sul funzionamento dell’algoritmo, quanto sulla circostanza che la notifica di esposizione può non riflettere il rischio effettivo di contagio.
ICONE STANDARDIZZATE. Sempre a proposito dell’informativa, il Garante approva il meccanismo illustrato nella valutazione d’impatto e consistente nell’abbinamento delle informazioni ad icone standardizzate, in modo da fornire all’utente «in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto». Il Garante raccomanda infine, oltre all’utilizzo di un linguaggio comprensibile al maggior numero possibile di persone, anche l’individuazione di adeguate modalità di fruizione delle informazioni da parte delle persone con disabilità.
DIRITTI DEGLI INTERESSATI. Sul punto la valutazione d’impatto di Immuni rileva che le caratteristiche specifiche del trattamento e la pseudonimizzazione dei dati potrebbero impedire al titolare di identificare l’interessato, requisito invece fondamentale per un corretto esercizio di alcuni dei diritti disciplinati dal GDPR. Ciò vale ad esempio per i diritti di accesso, di rettifica, di limitazione del trattamento e di portabilità dei dati, non esercitabili in considerazione di talune delle caratteristiche del trattamento [2]. D’altra parte, il Garante evidenzia che è lo stesso Regolamento Privacy a prevedere che, in alcune circostanze, l’esercizio dei diritti dell’interessato possa essere limitato.
SICUREZZA DEL TRATTAMENTO. Una delle principali preoccupazioni destate dal contact tracing è naturalmente l’ipotesi di una re-identificazione degli utenti. In questo senso, i rischi possono provenire ad esempio da malware e da altre app dannose oppure da apparati di scansione in grado di intercettare la trasmissione broadcast degli identificativi.
Rivestono dunque una particolare importanza le misure tecniche ed organizzative di sicurezza, che nel caso di Immuni consistono, tra l’altro, nell’utilizzo di crittografia, di protocolli di comunicazione HTTPS, di meccanismi di certificate pinning, di dummy traffic [3].
In tema di sicurezza, il Garante suggerisce comunque ulteriori misure, quali ad esempio: la conservazione degli indirizzi IP dei dispositivi mobili (che sono un dato personale) solo «nella misura strettamente necessaria al rilevamento di anomalie e di attacchi»; l’introduzione di misure pensate per tracciare le operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati; l’individuazione di misure tecniche e organizzative finalizzate a rettificare eventuali errori materiali o diagnostici (es. casi di omonimia o scambio di referti in relazione a un soggetto ritenuto positivo).
ALTRE PRESCRIZIONI. Ulteriori prescrizioni fornite dal Garante, infine, consistono nel:
- consentire all’utente la disattivazione temporanea dell’app mediante una funzione facilmente accessibile nella schermata principale; questa funzione deve inoltre essere oggetto di adeguata informazione in fase di installazione;
- delineare l’informativa e la notifica di esposizione tenendo in considerazione l’utilizzo dell’app da parte di utenti minori ultra quattordicenni;
- fornire adeguate informazioni agli utenti in relazione alle caratteristiche della fase di sperimentazione;
- integrare la valutazione d’impatto, in base al principio di responsabilizzazione, con la descrizione del potenziale ruolo di soggetti ulteriori, rispetto al titolare e ai responsabili del trattamento, i quali potrebbero essere coinvolti nel Sistema Immuni, evidenziando la sussistenza di eventuali rischi per gli interessati i cui dati siano trattati dal sistema.
Il Ministero della Salute dovrà, entro 30 giorni, informare il Garante circa le iniziative intraprese al fine di dare attuazione alle prescrizioni del provvedimento.
© Graziadei Studio Legale
[1] Le finalità del trattamento, previste dall’art. 6 del D-L 28/2020, consistono a) nell’allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi al Covid-19 e b) tutelare la loro salute attraverso le misure di prevenzione legate all’emergenza Covid.
[2] Il diritto di opposizione e di cancellazione sono invece esercitabili: il primo disinstallando l’app, il secondo mediante un’apposita funzione dell’app relativa alle chiavi temporanee e agli identificativi di prossimità. In relazione a tali due diritti, tuttavia, il Garante rileva la necessità di un’integrazione della valutazione d’impatto e dell’informativa.
[3] In via generale, il dummy traffic consiste in traffico fittizio volto a limitare la possibilità di analizzare il traffico crittografato e trarne informazioni sugli interessati.
Per ulteriori informazioni: dal link sottostante è possibile raggiungere il testo del provvedimento con cui il Garante Privacy ha autorizzato il trattamento di dati personali effettuato attraverso il Sistema di allerta Covid-19 – App Immuni.