Coronavirus e Immuni: l’applicazione di contact tracing. E’ tutto legale? I dati che fine fanno?
Sono in dubbio se scaricare l’applicazione IMMUNI, di cui si fa un gran parlare. Di che cosa si tratta di preciso? E’ legale? E i mie dati personali dove finiranno?
Da quasi un mese ormai si sente parlare dell’Applicazione Immuni, lo strumento scelto dal Governo per attuare il cosiddetto contact tracing, ovvero il tracciamento dei soggetti che sono entrati in contatto con persone risultate positive al coronavirus, per poter applicare misure di isolamento ed effettuare tamponi in modo mirato.
Ad oggi in Italia, l’applicazione non è ancora stata rilasciata e le comunicazioni ufficiali parlano di una sua implementazione verso la fine del mese di maggio. Fino a quel momento, quindi, sarà impossibile scaricarla.
In ogni caso, qualsiasi sarà lo strumento tecnologico effettivamente utilizzato per l’attività di tracciamento dei contagi, da subito le autorità europee e italiane a protezione e tutela della privacy si sono preoccupate di delineare delle linee guida da seguire, al fine di proteggere non solo la salute dei cittadini, ma anche la privacy di questi ultimi.
In particolare, l’Autorità Garante per protezione dei dati personali ha recentemente espresso un parere favorevole sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19, da cui è scaturito il d.l. 28 del 30 aprile 2020, entrato in vigore il 1 maggio 2020.
In tale sede è stato sottolineato che questa normativa ha preso in considerazione molte delle indicazioni fornite dal Presidente del Garante e dei criteri indicati dalle Linee guida del Comitato europeo per la protezione dei dati, aventi riguardo i sistemi di contact tracing, che si possono riassumere in:
- a) volontarietà: “in ragione del rilevante impatto individuale del tracciamento, l’adesione al sistema deve essere frutto di una scelta realmente libera da parte dell’interessato. La mancata adesione al sistema non deve quindi comportare svantaggi né rappresentare la condizione per l’esercizio di diritti”. Tale criterio risulta rispettato, l’art. 6, comma 4, del d.l. 28/2020 infatti prevede espressamente che “il mancato utilizzo dell'applicazione di cui al comma 1 non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento”. I cittadini, dunque, saranno liberi di scegliere se scaricare e installare sui propri dispositivi la nuova applicazione o decidere in un secondo momento di disinstallarla, senza subire alcun pregiudizio.
- b) previsione normativa: la scelta di precisare all’interno di una normativa di rango primario (come il decreto legge) è stata apprezzata dal Garante della Privacy, il quale ha sottolineato che il sistema di contact tracing ideato non è in contrasto con i principi relativi alla protezione dei dati personali, in quanto “è previsto da una norma di legge sufficientemente dettagliata quanto ad articolazione del trattamento, tipologia di dati raccolti, garanzie accordate agli interessati, temporaneità della misura”.
- c) trasparenza: una caratteristica molto importante è la trasparenza nei confronti degli interessati, in relazione al funzionamento dell’applicazione, alle modalità di trattamento dei dati, alla loro anonimizzazione, ai soggetti che potranno trattare i dati raccolti, ecc. Sul punto si segnala che la normativa in esame prevede che gli interessati, al momento dell’installazione dell’App, dovranno ricevere informazioni chiare e trasparenti sulle finalità e le modalità trattamento dei dati e, in particolare, sulle tecniche di pseudonimizzazione di questi ultimi. L’Autorità Garante della privacy, sul punto, ha anche invitato l’Amministrazione a prevedere il carattere libero e aperto del software, da rilasciare con licenza open source.
- d) determinatezza ed esclusività dello scopo: il tracing dev’essere finalizzato esclusivamente al contenimento dei contagi. Ciò significa che non possono essere perseguiti fini ulteriori (come ad esempio fini commerciali), ad eccezione della ricerca scientifica e statistica (sempre nei limiti previsti dal Regolamento, ovvero con dati aggregati o resi anonimi).
- e) selettività e minimizzazione dei dati: le linee guida prevedono che i dati raccolti devono poter tracciare i contatti stretti e non i movimenti o l’ubicazione del soggetto. La normativa, in particolare, prevede che “il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati; è esclusa in ogni caso la geolocalizzazione dei singoli utenti”. Il principio da seguire, poi, è quello della minimizzazione dei dati, per cui dovranno essere raccolti solo quelli strettamente necessari e per un periodo limitato. Sul punto il Garante della Privacy ha evidenziato che sarebbe opportuno integrare e articolare meglio tali aspetti in sede di attuazione, da parte del “Ministero della salute [titolare del trattamento], anche con riferimento alla sorte dei dati raccolti sul dispositivo di chi, in un momento successivo all’installazione dell’applicazione, abbia poi deciso di disinstallarla”.
Infine si segnala che l'utilizzo dell'applicazione e il trattamento di dati personali effettuato saranno interrotti alla data di cessazione dello stato di emergenza, disposto con delibera del Consiglio dei ministri del 31 gennaio 2020. La normativa precisa che, comunque, entro il 31 dicembre 2020 “tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi”.
In conclusione, ad oggi le disposizioni generali che regolano il funzionamento dell’applicazione che sarà utilizzata per il contact tracing sembrano rispettare le linee guida europee sulla protezione dei dati personali e trovano il parere favorevole dell’Autorità Garante per la protezione dei dati personali (con alcune indicazioni e richieste di integrazione in sede applicativa). Non ci resta, dunque, che attendere le informazioni sul rilascio definitivo dell’applicazione e sul suo effettivo funzionamento, per valutare nel concreto l’adesione alla normativa e gli impatti sulla privacy dei cittadini.