Documento senza titolo
Contact Tracing: il modello italiano in sintonia con le più recenti osservazioni del data supervisor europeo (e di Apple e Google)


11/05/2020

Con l’avvicinarsi del lancio di Immuni è opportuno fare il punto sulla normativa nazionale (DL n. 28/2020) e sulle linee guida europee per il contact tracing. Queste ultime emergono principalmente dal GDPR e dal Toolbox della Commissione (qui il nostro articolo). Tuttavia, anche il recente TechDispatch #1/2020: Contact Tracing with Mobile Applications dell’European Data Protection Supervisor (EDPS) offre interessanti indicazioni in proposito.               

Privacy, trasparenza e volontarietà sono, in estrema sintesi, i principi che dovranno guidare il funzionamento dell’app, come peraltro già sottolineato da Apple e Google, aziende che forniranno, in un primo momento, le API (Application Programming Interface) per garantire la comunicazione tra smartphone iOS e Android, e in un secondo momento una più ampia piattaforma per il contact tracing basata su Bluetooth. 



NORMATIVA NAZIONALE. L’art. 6 del Decreto-Legge n. 28/2020 ha fatto chiarezza su molti aspetti chiave del funzionamento della piattaforma e dell’app di contact tracing, come la titolarità della piattaforma e del trattamento dei dati, le finalità e le modalità del trattamento e i tempi di conservazione dei dati. Tra le note di maggior rilievo, innanzitutto, la base volontaria dell’installazione dell’app di tracciamento: nessun pregiudizio, quindi, per chi decidesse di non installarla. 

TITOLARITA’ DELLA PIATTAFORMA E DEL TRATTAMENTO DEI DATI. La piattaforma sarà di titolarità pubblica e, dato importante, utilizzerà soltanto infrastrutture localizzate sul territorio nazionale. Il Ministero della Salute sarà titolare del trattamento, e si coordinerà, tra gli altri, con il Ministro per gli affari regionali e per le autonomie, con la Protezione Civile, con l’Istituto Superiore di Sanità e con le strutture pubbliche e private accreditate del sistema nazionale.



Inoltre, i programmi informatici sviluppati per la realizzazione della piattaforma e per l’utilizzo dell’app Immuni saranno rilasciati con licenza aperta.

FINALITA’ DEL TRATTAMENTO. Molto chiare anche le disposizioni in materia di finalità del trattamento. Tali finalità saranno: a) allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi al coronavirus; b) tutelare la loro salute attraverso le misure di prevenzione legate all’emergenza Covid. Si esclude, inoltre, che i dati raccolti con l’app possano essere trattati per finalità diverse da quelle specificate, fatta eccezione per il loro utilizzo in forma aggregata o anonima per finalità di sanità pubblica, statistica o ricerca.

MODALITA’ DEL TRATTAMENTO E GARANZIE PRIVACY. L’istituzione di una piattaforma unica nazionale per la gestione del sistema di allerta Covid mediante contact  tracing non può prescindere da un’adeguata valutazione d’impatto e dal parere del Garante per la protezione dei dati personali. A tal fine, il Decreto stabilisce in particolare alcune tutele per la privacy di quegli utenti che decidano di installare l’app. I principali requisiti, in gran parte derivanti invero dagli obblighi generali previsti dal GDPR per il trattamento di dati personali, sono i seguenti.                        

a) Prima dell’attivazione dell’app, gli utenti dovranno ricevere un’informativa chiara e trasparente, in particolare per ciò che riguarda finalità e operazioni di trattamento e tempi di conservazione dei dati;           

b) Seguendo un modello di privacy by default, i dati personali raccolti dovranno essere esclusivamente quelli necessari alle finalità previste e dunque, in primo luogo, i dati necessari ad avvisare gli utenti del fatto che essi possano rientrare tra i ‘contatti stretti’ di un utente che ha riportato il virus e, in secondo luogo, i dati necessari ad agevolare l’adozione di misure di assistenza sanitaria in favore di tali contatti stretti;               

c) Il trattamento effettuato a fini di allerta dovrà basarsi su dati di prossimità dei dispositivi che siano resi anonimi o, se ciò non è possibile, che siano pseudonimizzati. E’ esclusa la geolocalizzazione degli utenti;   

d) Dovranno essere garantite la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;       

e) I dati relativi ai contatti stretti dovranno essere conservati solo per il periodo strettamente necessario al trattamento e, successivamente, dovranno essere automaticamente cancellati;     

f) Gli utenti, in qualità di interessati, dovranno avere a disposizione modalità semplificate di esercizio dei propri diritti.          

TERMINE DEL TRATTAMENTO DEI DATI. L’utilizzo dell’app e della piattaforma, incluso ogni trattamento di dati personali, dovrà cessare con il venir meno dello stato di emergenza (quindi 31 luglio 2020) e comunque entro il 31 dicembre 2020. Entro tale termine, dunque, i dati personali dovranno essere cancellati o resi definitivamente anonimi.           

EDPS: TECHDISPATCH #1/2020: CONTACT TRACING WITH MOBILE APPLICATIONS. Le scelte nazionali trovano conforto nel documento pubblicato dall’European Data Protection Supervisor, che offre una panoramica sia delle principali problematiche nascenti dal rapporto tra privacy e contact tracing, sia delle principali differenze tra modello centralizzato e decentralizzato di gestione dei dati.        

In primo luogo, il funzionamento delle app può portare il rischio di una sorveglianza di massa o, quantomeno, di un monitoraggio su larga scala delle abitudini degli utenti. Ciò specialmente nei sistemi centralizzati. Il rimedio, oltre alla propedeutica e necessaria valutazione d’impatto, può consistere in un approccio di data protection by design nell’implementazione del contact tracing.          

Un’altra significativa sfida posta dalle app è poi quella della potenziale user identification. I dati di prossimità di un utente, uniti ad altri dati (reperibili, ad esempio, dai social network), potrebbero infatti rendere identificabile la persona contagiata dal virus. La soluzione è rappresentata in questo caso dalla minimizzazione dei dati e dalle privacy-enhancing technologies. Tra queste ultime, il Bluetooth Low Energy, capace di conferire i proximity data, senza l’utilizzo della più invasiva tecnologia di geolocalizzazione. Sul punto è particolarmente interessante la seguente osservazione dell’EDPS: «As location data are prone to re-identification, location-based tracing is best avoided at all. Digital proximity tracing smartphone applications (the tracing apps) do not require tracking the location of individual users. Instead, proximity data should be used, specifically information obtained via the use of Bluetooth BLE.»         

In sintonia con la normativa italiana risultano essere anche gli indirizzi relativi alla limitazione delle finalità del trattamento dei dati e del periodo di conservazione dei dati: una volta superata la fase dell’epidemia sarà necessario porre in essere procedure per interrompere la raccolta degli identificativi (es. disattivazione o disinstallazione, anche automatica, dell’app) e per cancellare tutti i dati raccolti e presenti in tutti i database (app e server).

Una nota di rilievo è poi quella sul funzionamento pratico dell’app: partendo dalla considerazione che il contact tracing è una tecnologia che raggiunge la sua piena efficacia solo se utilizzata dal più ampio numero di persone, l’EDPS sottolinea la fondamentale importanza di un meccanismo informativo che alimenti la fiducia nel sistema da parte degli utenti.     

Passando invece ai modelli di contact tracing, il documento chiarisce che quello decentralizzato, togliendo al server centrale il ruolo di ‘controllore’ del sistema, appare più idoneo a garantire la privacy degli utenti, rispetto a quello centralizzato. La differenza tra i due risiede soprattutto nelle modalità di ‘matching’ tra utente contagiato e i suoi contatti. Nel caso del contact tracing centralizzato, questa operazione viene effettuata dal server centrale, che invia una notifica ai contatti potenzialmente a rischio. Nel sistema decentralizzato, invece, l’operazione è gestita direttamente dagli smartphone, mediante l’accesso delle app ai database e il successivo autonomo invio di una notifica.   

Nessuno dei due modelli è comunque esente da potenziali rischi per la tutela dei dati personali: «While centralised matching assumes trust in one central service, decentralised matching assumes trust in each individual to not engage more into radio data collection and correlation than what is necessary.» Ed è proprio per questo che le tecnologie di data protection e la normativa in maniera di privacy dovranno essere applicate in maniera particolarmente attenta.

© Graziadei Studio Legale

Disclaimer & Privacy
P.IVA 07340781009