Come noto il D.L. n. 28/2020 ha fissato le linee guida per il funzionamento della App Immuni, una piattaforma nazionale di titolarità pubblica su base volontaria volta al tracciamento dei contatti e dei contagi da Covid-19.
Come prevedibile l’introduzione della suddetta app ha posto diverse problematiche in ordine alla protezione del trattamento dei dati di salute degli utilizzatori, domande cui in buona parte il Garante della Privacy ha dato risposta nel provvedimento del 1° giugno 2020, nel quale veniva dato parere favorevole all’avvio della sperimentazione con delibera di sostanziale conformità della app ai principi in tema di privacy.
Immuni si basa su un sistema c.d. di “contact tracing”, ovvero di tracciamento digitale dei contatti tra persone, che allerta l’utilizzatore del fatto di essere entrato in contatto con persona affetta da Covid 19.
Uno dei principali profili di criticità rilevato dal Garante in ordine al funzionamento di Immuni, risiede nella necessità di garantire l’anonimato: per scaricare l’app non occorrerà quindi alcuna registrazione o account personale, gli unici dati richiesti saranno quelli relativi all’età (che deve essere superiore a 14 anni) ed alla provincia di domicilio e occorrerà fornire l’autorizzazione alle notifiche di esposizione al Covid 19 e attivare il Bluetooth. Solo per i sistemi Android è richiesto anche di autorizzare la geolocalizzazione, necessaria a rilevare la prossimità di altri device tramite Bluetooth.
Un secondo profilo di criticità risiede, secondo il parere del Garante, negli algoritmi crittografati che l’app utilizza per elaborare, per ciascun contatto risultato positivo al Covid, la data in cui è avvenuto il contatto, la durata dello stesso, l’intensità del segnale bluetooth durante il tempo del contatto, il rischio di contagiosità dell’utente e l’indice di rischio di contagio.
Nell’autorizzare il Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19 di cui all’art. 6 del d.l. 30 aprile 2020, n. 20, il Garante lo invita a pertanto a effettuare dei miglioramenti, ovvero “indicare puntualmente nella valutazione d’impatto, l’algoritmo, basato su criteri epidemiologici di rischio e modelli probabilistici, aggiornandolo costantemente, specificando i parametri di configurazione impiegati e le assunzioni effettuate, rendendolo disponibile alla comunità scientifica; informare adeguatamente gli utenti in ordine alla possibilità che l’app generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio, in ragione della possibilità di contatto con persone positive al Covid-19 a causa della propria attività lavorativa, in condizioni tuttavia caratterizzate da un adeguato grado di protezione; consentire agli utenti dell’app di disattivarla temporaneamente attraverso una funzione facilmente accessibile nella schermata principale, informando di tale facoltà attraverso le infografiche visualizzate all’atto dell’istallazione dell’applicazione; (…) dedicare particolare attenzione all’informativa e al messaggio di allerta tenendo conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultraquattordicenni; fornire adeguate informazioni agli utenti in relazione alle caratteristiche della fase di sperimentazione (…)“.
Il tutto in un’ottica di minimizzazione dei dati e di limitazione della conservazione degli stessi, con cancellazione automatica dei dati nel sistema una volta che sia cessata l’emergenza coronavirus.
Un ultimo aspetto sul quale il Garante rileva diverse perplessità riguarda il ruolo dei soggetti coinvolti nel trattamento dati: se da un lato il titolare del trattamento dei dati è solo il Ministero della Salute (con Sogei s.p.a e il MEF quali responsabili del trattamento), è pur vero che sono coinvolti anche Bending Spoons Spa, la società che ha realizzato e cede al Ministero Immuni, e Apple/Google, che forniscono la tecnologia del sistema su cui transitano i dati della app.
Anche in virtù di questo riveste particolare importanza rendere gli utenti consapevoli della possibile vulnerabilità del sistema, avvisandoli della possibilità che un soggetto venga qualificato come positivo dalla app per un errore di diagnosi o materiale, oppure di malware che attacchino il sistema Bluetooth o del cosiddetto “paparazzi attack”, che consiste nel tentativo di identificazione del soggetto, quando si trova in prossimità dei luoghi del proprio domicilio o quando in un negozio paga con la propria carta di credito, e comunque in tutti quei casi in cui al dispositivo connesso al bluetooth sia possibile associare qualche ulteriore informazione personale aggiuntiva.
E’ possibile leggere per intero il Provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 – App Immuni – 1° giugno 2020