il decreto legge

Sistema di allerta Covid-19, i dubbi dopo il via libera di Governo e Garante

Il Governo ha introdotto delle misure urgenti per l’introduzione del sistema di allerta Covid-19: un notevole passo avanti per l’implementazione di una soluzione di contact tracing. Rimangono però ancora numerosi dubbi da sciogliere, anche rilevanti

04 Mag 2020
Riccardo Berti

avvocato Centro Studi Processo Telematico

Simone Zanetti

Avvocato in Verona


Mentre Bending Spoons lavora allo sviluppo dell’app Immuni tra le incertezze del pubblico e i progressi paralleli dei progetti europei e americani sul punto, finalmente arriva la tanto attesa base normativa per il tracciamento tramite app.

La necessità, più volte segnalata dal Garante privacy, di dare un supporto normativo al contact tracing tecnologico, è stata infatti soddisfatta dal governo che, con Decreto-legge n. 28 del 30 aprile 2020, ha disciplinato delle misure urgenti per l’introduzione del sistema di allerta Covid-19.

Nonostante gli sforzi del legislatore e l’opportuna condivisione dell’iniziativa con il Garante Privacy, rimangono però numerosi interrogativi, specie sulle conseguenze della “marcatura” di un soggetto che è rimasto a “stretto contatto” con un utente positivo e sui riflessi nel settore privato della notifica arrivata via app.

La base normativa per il sistema di allerta Covid-19

L’articolo 6 del Decreto-legge appena citato dispone l’istituzione di una piattaforma unica nazionale per la gestione di quello che viene definito un “sistema di allerta” rivolto ai soggetti che hanno installato, su base volontaria, l’apposito applicativo.

Il Decreto arriva dopo un percorso condiviso con il Garante Privacy, ed infatti la norma subito precisa che il titolare del trattamento è il Ministero della Salute (sebbene non si tratti di una precisazione quantomeno singolare, l’individuazione del titolare del trattamento non spetta certo ad un decreto ma discende piuttosto da una situazione di fatto e, precisamente, dall’individuazione del soggetto che decide mezzi e fini del trattamento).

La normativa prosegue affermando che il trattamento dati riguarderà il tracciamento effettuato tramite l’utilizzo di un’applicazione, installata su base volontaria e destinata alla registrazione dei soli contatti tra soggetti che abbiano parimenti scaricato l’applicazione.

Il Ministero si impegna poi a procedere ad un’apposita valutazione d’impatto ai fini privacy.

La valutazione di impatto, prevista dall’art. 35 del GDPR, è una descrizione sistematica del trattamento effettuato, della sua proporzionalità rispetto alle finalità perseguite, dei rischi e dei presidi destinati a minimizzarli.

Va obbligatoriamente predisposta nel caso di trattamenti che possono presentare rischi elevati per i diritti e le libertà degli interessati specie se questi prevedono l’uso di nuove tecnologie, descrizione che si adatta perfettamente al contact tracing e che quindi rende senz’altro necessaria una compiuta valutazione di impatto nel caso dell’app Immuni.

Esistono poi dei casi in cui nella valutazione di impatto può essere coinvolta l’autorità di controllo (nel caso italiano, il Garante Privacy), quando il trattamento presenta un rischio elevato ovvero quando ciò è previsto per legge “in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica”.

L’art. 6 del D.L. 28/2020 prevede appunto esplicitamente il coinvolgimento del Garante Privacy, che sarà preventivamente consultato in relazione alla valutazione d’impatto.

Le finalità della valutazione d’impatto (Dpia)

Le finalità che la valutazione dovrà assicurare sono poi elencate nel Decreto, e riguardano:

  • La garanzia che gli utenti ricevano, prima dell’attivazione dell’applicazione, un’informativa privacy chiara e trasparente.
  • La garanzia che, per impostazione predefinita, i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i “contatti stretti” di altri utenti accertati positivi al COVID-19, individuati secondo criteri stabiliti dal Ministero della salute, nonché ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti.
  • Questa disposizione è estremamente importante, in quanto introduce la criptica definizione di “contatti stretti” su cui verosimilmente si baserà lo sviluppo dell’app Immuni, definizione che fa pensare al fatto che ci sarà (come da più parti richiesto) un vaglio dei contatti registrati dall’applicazione tramite Bluetooth Low Energy, con l’introduzione di soglie tese a scongiurare i falsi positivi.
  • Altro elemento essenziale su cui fa in parte luce questo punto “b” del Decreto, è quello relativo alle finalità dell’applicazione, non solo destinata ad avvertire gli utenti del contatto, ma anche finalizzata -eventualmente- ad “agevolare l’adozione di misure di assistenza sanitaria” in favore dei soggetti risultati a “stretto contatto” con utenti accertati positivi. In questa definizione, ancora troppo vaga, si cela probabilmente uno degli elementi che determineranno il successo o meno dell’applicativo. La trasparenza garantita dal governo non può limitarsi al trattamento privacy, ma deve scendere necessariamente nel dettaglio sulle misure di assistenza che si intende implementare, diversamente ben pochi scaricheranno un’app senza sapere a quali conseguenze potenzialmente negative potrebbero andare incontro una volta “marcati” come soggetti a “stretto contatto” con un utente positivo.
  • In particolare, viene da domandarsi quali saranno i riflessi nel settore privato di una simile “marcatura”. Ad oggi secondo l’Allegato 6 del D.P.C.M. 26.04.2020 un soggetto (dipendente, fornitore o altro) che voglia accedere ai locali di un’azienda, deve dichiarare di non essere stato a contatto con soggetti positivi al contagio nei 14 giorni precedenti.
  • Se posso fare questa dichiarazione “a cuor leggero” senza l’applicativo installato (ignorando se sono stato o meno a contatto con soggetti poi accertati positivi al virus), è chiaro che, se installo l’app Immuni e mi viene notificato il contatto con un caso accertato, ne deve conseguire una mia maggiore trasparenza anche nei rapporti sul piano privato, rapporti di cui però la normativa ad oggi non si cura.
  • La garanzia che il trattamento effettuato per allertare i contatti sia basato su una rilevazione dei soli dati di prossimità fra i dispositivi (quella resa possibile sfruttando la tecnologia Bluetooth), con esclusione della geolocalizzazione dei singoli utenti. Sarà invece possibile sviluppare soluzioni parallele all’app Immuni, che potranno sfruttano i dati aggregati degli utenti (resi anonimi) per ottenere indicazioni sui trend degli spostamenti.
  • La disposizione poi precisa che i dati di prossimità trattati dall’applicativo dovranno essere resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati.
  • Questa disposizione evidentemente, come altre parti della norma, lascia aperta la questione sul sistema utilizzato dall’applicazione: decentralizzato o centralizzato.
  • Solo nel primo caso (modello decentralizzato) i dati trattati dall’applicazione potrebbero dirsi veramente anonimi.
  • È il caso, per esempio, del protocollo DP-3T, il quale prevede, nel concreto, che l’applicazione continui a generare codici, non riferibili al dispositivo, che verrebbero annotati sul diario di coloro che, a loro volta, hanno provveduto ad installare l’applicativo.
  • Nel caso in cui il soggetto dovesse risultare positivo, i sanitari potrebbero chiedere l’autorizzazione a scaricare nel server backend i codici generati e trasmessi dal dispositivo.
  • In tal modo, i codici potranno essere trasmessi a tutte le altre app, le quali potranno verificare la loro presenza o meno nell’elenco di codici ricevuti, provvedendo a segnalare l’eventuale contatto con il caso di contagio accertato.
  • Attraverso questa modalità quindi l’autorità sanitaria non sarà in grado di risalire alla lista dei soggetti “marcati” come a stretto contatto con un soggetto risultato positivo.
  • Su questa strada sembrano indirizzate Apple e Google, alla luce delle ultime dichiarazioni effettuate dai loro tecnici.
  • Diverso è il discorso nel caso la scelta ricada, al contrario, su di un modello centralizzato, in quanto inevitabilmente qualche dato verrebbe trattato dall’autorità centrale sebbene nella forma pseudonima, ovvero conservati in modo tale da impedire l’identificazione se non con l’utilizzo di informazioni aggiuntive.
  • Sotto tale aspetto sarà, dunque, necessario attendere ancora prima di capire quale sia la soluzione adottata dal Governo italiano.
  • La garanzia di riservatezza, integrità, disponibilità, resilienza dei sistemi e dei servizi di trattamento, nonché di misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento.
  • La garanzia che i dati relativi ai “contatti stretti” siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata sarà stabilita dal Ministero. Il Decreto prevede anche che i dati saranno cancellati in modo automatico alla scadenza del termine. Il fatto che la norma indichi che i dati saranno salvati “anche” sui dispositivi mobili degli utenti, non aiuta a comprendere, ancora una volta, il modello prescelto dal legislatore (decentralizzato o centralizzato). Volendo essere maliziosi, l’utilizzo di una congiunzione concessiva potrebbe sottintendere il fatto che il legislatore ha maggiormente rivolto la sua attenzione verso un sistema di contact tracing centralizzato, ma come detto non pare possibile, allo stato, escludere nessuna delle due opzioni.
  • La garanzia che i diritti degli interessati, previsti dalla normativa europea in tema di protezione dei dati personali, possano essere esercitati “anche con modalità semplificate”.
  • Il Decreto non precisa in cosa consistano queste “modalità semplificate”, l’augurio è che i diritti di cui tratta il Regolamento GDPR possano essere esercitati con modalità informatiche già all’interno dell’app Immuni.
WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Privacy

L’art 6 del Decreto prosegue poi ribadendo alcune caratteristiche essenziali dell’applicativo, ovvero:

  • I dati raccolti attraverso l’applicativo per il contact tracing non potranno essere trattati per finalità diverse da quelle previste dal decreto e, precisamente: “allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19”.

Resta salva la possibilità di utilizzare i dati per finalità ulteriori in forma aggregata o comunque anonima (modalità quest’ultima che, non comportando un trattamento di dati personali, non necessita delle cautele di cui alla normativa privacy) per fini di sanità pubblica, profilassi, statistici o di ricerca scientifica.

  • Ancora, il Decreto ribadisce che l’applicazione è installata su base volontaria e che “il mancato utilizzo dell’applicazione non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento” una formula stringente ma che potrebbe lasciare un limitato spazio per manovre di stimolo al download dell’applicazione (con sobri incentivi).
  • La piattaforma è di titolarità pubblica ed è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla Società di gestione del sistema informativo dell’amministrazione finanziaria (SOGEI).

Questa disposizione, va evidenziato, sembra contrastare però con il ruolo di titolare del trattamento normativamente affidato al Ministero della Salute. Verosimilmente questa attività gestoria delle infrastrutture dovrà essere ridimensionata ed inquadrata a livello privacy così da ricondurre SOGEI ad una posizione subalterna rispetto a quella del Ministero della Salute, inquadrabile nel ruolo di responsabile esterno del trattamento.

Appare sicuramente rassicurante che la norma espliciti che i dati rimarranno, ad ogni modo, all’interno dei confini nazionali.

  • Trovano conferma poi le dichiarazioni ministeriali secondo cui i programmi informatici di titolarità pubblica sviluppati per la realizzazione della piattaforma e l’utilizzo dell’applicazione saranno resi disponibili e rilasciati sotto licenza aperta ai sensi dell’articolo 69 del Codice dell’Amministrazione Digitale. Tale articolo prevede che il codice sorgente degli applicativi pubblici sia reso disponibile in uso gratuito ad altre pubbliche amministrazioni o ai soggetti giuridici che intendano adattarli alle proprie esigenze, salvo sussistano motivate ragioni di ordine e sicurezza pubblica, difesa nazionale e consultazioni elettorali.
  • Infine, viene previsto che l’utilizzo dell’applicazione e della piattaforma, nonché ogni trattamento di dati personali effettuato ai sensi al presente articolo sono interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi.

Quest’ultima disposizione dovrà senz’altro essere coordinata con quanto emergerà dalla Valutazione di Impatto ai sensi della normativa privacy, la quale si occuperà anche di garantire che il trattamento non si protragga oltre lo stretto necessario per ottenere le finalità di cui alla normativa.

Il ruolo del Garante

Il Garante per la protezione dei dati personali è stato coinvolto nel percorso normativo che ha portato all’emanazione del D.L. 28/2020, con riguardo al contact tracing tecnologico.

Come abbiamo visto il ruolo del Garante non si fermerà qui ma proseguirà durante la fase di valutazione di impatto dell’applicativo, fase in cui l’Autorità potrà rendere un parere più dettagliato alla luce della maturazione dello sviluppo dell’applicativo.

Già oggi comunque il Garante fornisce, nel parere reso sulla proposta normativa per il tracciamento dei contatti tramite app, utili spunti per indagare sulle caratteristiche che Immuni dovrà possedere per ottenere il via libera definitivo.

Il parere del Garante è positivo e si apre riconoscendo che il legislatore ha raccolto numerose delle indicazioni già fornite dall’Autorità Garante in sede di audizione e, in particolare:

  • volontarietà (sul punto il legislatore ha raccolto il suggerimento del Garante di adottare una locuzione più ampia rispetto a quella prevista nella bozza del testo normativo, che escludeva limitazioni dei diritti fondamentali, optando per la formula secondo cui il mancato utilizzo dell’applicazione non comporta conseguenze pregiudizievoli, formula idonea, secondo il Garante, a fugare ogni dubbio interpretativo);
  • previsione normativa (il GDPR richiede un’apposita previsione normativa per una simile attività di tracciamento effettuata per esigenze di sanità pubblica, l’art. 6 D.L. 28/2020 risponde appunto a questa esigenza);
  • trasparenza (con riguardo a questo aspetto la normativa risponde prevedendo la predisposizione di un’informativa privacy chiara e trasparente e il rilascio del codice sorgente dell’applicativo, la richiesta del Garante però va oltre e richiede che sia data idonea pubblicità anche alla valutazione di impatto);
  • determinatezza ed esclusività dello scopo (sul punto la normativa ribadisce che le finalità del trattamento sono limitate alla tutela della salute, e precisa che le ulteriori attività di ricerca scientifica o statistica verranno svolti unicamente su dati in forma aggregata e anonima);
  • selettività e minimizzazione dei dati (la normativa infatti prevede che l’applicativo non possa tracciare gli spostamenti degli utenti, ma unicamente i “contatti stretti”, raccogliendo solo i dati necessari allo scopo. Il Garante, sul punto, precisa che le disposizioni su tali aspetti dovranno essere ulteriormente articolate in sede di attuazione dal Ministero della salute, affrontando ad esempio la problematica connessa con l’eventuale disinstallazione dell’applicativo e della conseguente sorte dei dati fino a quel momento appresi);
  • non esclusività del processo algoritmico e possibilità di esercitare in ogni momento i diritti di cui agli articoli da 15 a 22 del Regolamento (mentre il Decreto prevede la possibilità di esercitare i diritti di cui al GDPR, anche con “modalità semplificate” sebbene non venga dettagliato il portato di queste “semplificazioni”, rimane aperto il nodo della non esclusività del processo algoritmico. Stiamo parlando di una app che, a seconda di come verrà implementata, potrebbe avere conseguenze significative sulla vita di una persona, è evidente l’interesse da parte dei soggetti tracciati ad opporsi al trattamento automatizzato e a richiedere che i contatti siano rivalutati con un intervento umano, al fine di scongiurare “marcature” basate su falsi positivi. Sul punto il Decreto purtroppo non fa chiarezza);
  • interoperabilità con altri sistemi di contact tracing utilizzati in Europa (sul punto il Decreto non dà risposte, ma c’è da dire che Bending Spoons sembra ben integrata con i vari movimenti di livello europeo in tema di contact tracing e ha dato la propria disponibilità ad implementare le API di Apple e Google);
  • reciprocità di anonimato tra gli utenti dell’app, (questo aspetto porta ad un ulteriore nodo da sciogliere, non risolto dalla normativa, ovvero quello relativo alla scelta fra un sistema decentralizzato, più garantista a livello privacy, e un sistema centralizzato. Una simile scelta è centrale sia per quanto riguarda gli aspetti privacy sia per quanto riguarda l’architettura dell’applicativo e della piattaforma, ed andrà senz’altro sciolta al più presto).

Il Garante prosegue quindi nell’esame della normativa affermando che il sistema di contact tracing delineato dalla normativa non appare in contrasto con la normativa privacy, in quanto è previsto da una norma di legge sufficientemente articolata, si fonda sull’adesione volontaria dell’interessato, è preordinato al perseguimento di fini di interesse pubblico, appare conforme ai principi di minimizzazione e ai criteri di privacy by design e by default (specie perché si limita ai dati di prossimità da raccogliersi in forma pseudonima ed esclude il ricorso alla geolocalizzazione) ed è trasparente.

Secondo il Garante, eventuali problematiche potranno essere risolte in sede di valutazione di impatto, specie con riguardo alle modalità di intervento umano sulla decisione algoritmica.

Il parere si conclude quindi con l’augurio che questa misura normativa, a livello centrale, faccia tramontare le ulteriori iniziative di contact tracing recentemente azionate in ambito pubblico, difficilmente compatibili con il quadro giuridico vigente (che trova nel dato normativo, ora emanato, la propria base e legittimazione).

L’unica “anomalia” che è data rilevare rispetto al D.L. poi emanato è l’inserimento da parte del legislatore dell’ulteriore possibilità di trattare i dati raccolti dall’applicazione anche per fini di sanità pubblica e profilassi (ai sensi dell’art. 9, paragrafo 2, lettere i) GDPR), aspetto quest’ultimo che non risulta contemplato nel parere fornito dal Garante, segno che probabilmente l’aspetto in questione è stato oggetto di revisione da parte del legislatore in un momento successivo.

Conclusioni

L’art. 6 del D.L. 28/2020 è senz’altro un notevole passo avanti nella giusta direzione per l’implementazione di una soluzione di contact tracing tecnologico.

A parte qualche incertezza, il testo normativo, che ha incontrato il favore del Garante, consentirà di indirizzare Bending Spoons nello sviluppo di una soluzione che garantisca il rispetto della privacy degli utenti, uno degli elementi cardine perché una soluzione su base volontaria possa essere adottata.

Rimangono però ancora numerosi dubbi da sciogliere, il più eclatante dei quali è l’incertezza, che permane, circa la scelta di una soluzione decentralizzata (più orientata alla privacy) o centralizzata, scelta che dovrebbe essere alla base dello sviluppo del codice e della sua valutazione di impatto.

La scelta di un modello centralizzato, sebbene non sia mai stata esclusa da parte del Comitato europeo per la protezione dei dati, implicherebbe necessariamente una raccolta più invasiva di dati personali e, conseguentemente, richiederebbe una valutazione d’impatto maggiormente approfondita.

Il dibattito sul punto a livello europeo si divide tra chi vorrebbe maggiori informazioni (modello centralizzato) per meglio contrastare il diffondersi del virus e chi predilige un modello più rispettoso della privacy degli utenti (modello decentralizzato).

È bene, tuttavia, non scordare che le API che ben presto metteranno a disposizione i colossi Apple e Google seguiranno un approccio decentralizzato.

Questo aspetto non è di poco conto, in quanto l’adozione di un sistema centralizzato, oltre a dover richiedere una maggiore attenzione sotto il profilo della privacy dei dati, dovrà probabilmente confrontarsi anche con inevitabili problemi di compatibilità con i nostri dispositivi telefonici.

Rimane, inoltre, da chiarire cosa comporterà l’eventuale “marcatura” derivante dall’essere venuti a contatto con un soggetto infetto, sul punto infatti la normativa non scende in dettaglio.

Altro aspetto connesso è quello delle conseguenze sul piano dei rapporti fra privati (eventuali responsabilità per la mancata “denuncia” della notifica ad esempio sul luogo di lavoro, incidenza sulle autocertificazioni, etc.) di cui la normativa ad oggi non si cura.

Infine, resta da riempire di significato l’espressione, adottata dal legislatore, circa i “contatti stretti” fra due utenti dell’app, gli unici “contatti” che saranno significativi di contagio. Quali sono le soglie, quali i rimedi tecnici per aggirare il problema dei falsi positivi e, soprattutto, sarà garantito il diritto di opposizione in caso di decisione solo algoritmica?

@RIPRODUZIONE RISERVATA

Articolo 1 di 4