App Immuni e il ruolo del Garante della privacy

Scarica PDF Stampa
È notizia di qualche giorno fa la scelta compiuta dal Commissario per l’emergenza Domenico Arcuri della prima app italiana “di stato” per il tracciamento del contagio da coronavirus. Si chiamerà Immuni, verrà sviluppata dalla società  Bending Spoons Spa e avrà alcune caratteristiche peculiari.

Caratteristiche

Anonimato. Dovrà cioè essere in grado di garantire che i dati trattati  non potranno in alcun modo portare all’identificazione l’interessato. Sarebbe più corretto, piuttosto, parlare di pseudonimizzazione dei dati (art. 4, comma 5 Regolamento europeo 2016/679 “gdpr”) poiché l’applicazione sarebbe comunque in grado di risalire all’identità dell’utente in caso di rilevata positività. Dopo un periodo di tempo limitato tutti i dati, con l’eccezione di quelli aggregati a fini di ricerca o statistici, dovranno essere cancellati L’applicazione non dovrà accedere alla rubrica dei contatti del telefono, non chiederà il numero né la posizione dell’apparecchio e il suo funzionamento dovrà cessare non appena terminerà la fase di emergenza.

Sfrutterà per il suo funzionamento la tecnologia bluetooth low energy che potrà rilevare la vicinanza tra due smartphone nell’ordine di un metro. Ciascun utente sarà individuato mediante un codice e sarà tenuto ad aggiornare quotidianamente i dati sulla sua salute . Qualora dovesse risultare positivo al test per il Covid 19, l’utente registrerà sull’app la propria positività e questa richiederà il consenso nell’utilizzare i dati raccolti e provvederà a recuperare automaticamente gli altri codici con cui il soggetto è entrato in contatto nell’ultimo periodo, valutando quelli potrebbero esser maggiormente a rischio ed informandoli attraverso una notifica sullo smartphone.

Sarà basata sulla volontarietà. In altre parole, saranno gli utenti, cioè i cittadini, a decidere se scaricarla o meno. Anche se non è, ad oggi, chiaro quali saranno gli svantaggi per coloro che sceglieranno di non utilizzarla. È evidente che la riuscita dell’operazione di tracciamento della popolazione sarà proporzionale al numero di app scaricate, al netto di tutta quella parte di utenti che non possiede uno smartphone (anziani e bambini). Si stima che per essere efficace dovrà essere superiore al 60 % e dovrà essere utilizzata anche dagli anziani, categoria particolarmente a rischio di contagio, che spesso non possiede uno smartphone.

È notizia recentissima quella relativa alla scelta del modello di sviluppo dell’applicazione, che sarà “decentralizzato”, perchè ritenuto più rispettoso della privacy rispetto a quello centralizzato adottato in un primo momento dal consorzio Pepp-pt (di cui Bending Spoons fa parte).

La differenza principale rispetto a quest’ultimo è che la crittografia-generazione delle chiavi avviene direttamente sui dispositivi utente (invece che su server). Così, ogni volta che due cellulari entrano nel raggio d’azione l’uno dell’altro, ad una distanza e per un tempo determinati (e non ancora definiti dalle autorità sanitarie), si scambiano il proprio identificativo anonimo crittografato, generato localmente. Ciascuno smartphone dotato di app porta quindi con sé soltanto una lista di numeri (privi di qualsiasi elemento identificativo della persona) relativi ad altri utenti con cui è venuto in contatto. Nel caso di accertata positività, dall’utente positivo verrà diramata la lista degli identificativi anonimi tracciati sul dispositivo. A questo punto tutti gli altri utenti riceveranno la lista e, nel caso in cui il proprio dispositivo si riconosca in questo identificativo, manda la notifica all’utente. In questo modo tutti gli utenti possono sapere se sono stati in contatto con la persona divenuta positiva  senza conoscere l’identità di quest’ultimo.

L’elenco degli identificativi con cui siamo entrati in contatto resta sul nostro smartphone a meno che non scegliamo di condividerlo. Inoltre, il processo di corrispondenza dei contatti si svolge sui telefoni anziché a livello centrale.

L’intero sistema sarà interamente gestito da uno o più soggetti pubblici e si tratterà di una app open source e come tale suscettibile di revisione da chiunque voglia apportare modifiche per migliorarla.

Fondamentale il ruolo del Garante della privacy al quale è affidato il compito di mediare tra i due interessi fondamentali in gioco, il diritto alla salute da una parte e la tutela dei dati personali dall’altra che mai come in questo momento sono messi in pericolo dagli appetiti molto forti di coloro i quali intendono trarre profitto dalla enorme mole di dati sanitari che questo primo tracciamento di massa genererà.

Non a caso è notizia di queste ore la violazione dei dati personali (data breach) occorso in Olanda dall’app in uso per il tracciamento per il contagio da covid 19.

Al Garante il compito di esprimere il proprio parere sui requisiti che tale applicazione dovrà necessariamente avere, per fugare i sospetti che una tale iniziativa inevitabilmente porta con sé.

Sarà fondamentale, infatti, per la buona riuscita dell’operazione, che l’Autorità indipendente possa verificare se l’informativa sul trattamento dei dati personali fornita a corredo del servizio rechi tutte le informazioni richieste dall’ art. 13 gdpr; quali i tempi di conservazione dei dati acquisiti;  come sarà garantita la minimizzazione dei dati trattati, quali le modalità previste per assicurare la conservazione dei dati; a chi questi dati saranno ceduti ed, infine, come sarà assicurato l’esercizio dei diritti dell’interessato (con particolare riguardo al diritto alla cancellazione ex art  17 gdpr).

Oltre a ciò, non si potrà prescindere dal sollecitare lo Stato (nella sua qualità di Titolare del trattamento) ad effettuare una valutazione d’impatto sulla protezione dei dati ex art. 35 gdpr, indispensabile per analizzare i rischi per i diritti e le libertà delle persone, individuando i profili di compatibilità con i principi costituzionali e con quelli generali in materia di protezione dei dati, e identificando le misure di mitigazione tecniche, giuridiche e organizzative da adottare.

Come anche chiarito dal Dott. Antonello Soro, fondamentale per la riuscita dell’operazione è la fiducia del cittadino nelle istituzioni. Istituzioni che non sempre hanno dato prova di tenere nella giusta considerazione l’importanza del trattamento dei dati personali dei propri cittadini.

 

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  25.60 €

Avv. Luca Iadecola

Scrivi un commento

Accedi per poter inserire un commento