Il funzionamento della app “Immuni” e la sua disciplina giuridica, tra contact tracing e raccolta dei dati personali

 

L’applicazione “Immuni” e il contact tracing

Il concetto di contact tracing è arrivato con forza anche in Italia. Dal 2 giugno 2020 la app Immuni è disponibile su “App Store” (per iPhone), “Play Store” (per sistemi Android) o scaricabile dal sito http://immuni.italia.it/ (che offre ulteriori informazioni sul funzionamento del servizio). A oggi conta più di 1 milione di download, di cui la metà nelle prime 24 ore di attivazione. Il consenso dei cittadini attorno all’utilizzazione di questa tecnologia sembrerebbe, dunque, abbastanza vasto benché (non essendo obbligatoria) i dati raccolti attraverso questa forma di contact tracing riguarderanno una minima percentuale della nostra popolazione.

Il contact tracing è una forma tracciamento dei contatti di determinati soggetti studiati raccogliendo dati reperiti sotto diverse formule. In Italia si è scelto, per ora, di mettere facoltativamente a disposizione dei cittadini una applicazione telefonica che (in caso di positività del soggetto) possa ricostruire i precedenti spostamenti, calcolarne la vicinanza da altri cellulari in base alla distanza tra i due sistemi Bluetooth e informare gli altri utenti.

La sua presentazione è avvenuta a quasi 5 mesi dall’inizio della pandemia in Italia e in un momento in cui la curva dei soggetti contagiati e morti è ridotta rispetto a periodi di maggiore emergenza. Credo dunque, che il suo uso oggi serva soltanto da accompagnamento al monitoraggio e prevenzione sanitaria (che non possono essere sostituiti dalla tecnologia). Soltanto in una futura seconda fase di aumento dei contagi la app potrebbe assumere una funzione più centrale.

 

Funzionamento della app

Immuni è l’app di contact tracing ufficiale del Governo italiano (realizzata dall’azienda Bending Spoon e sviluppata dal Commissario Straordinario per l’Emergenza COVID-19 in collaborazione con il Ministero della Salute e il Ministero per l’Innovazione Tecnologica e la Digitalizzazione). Aiuta a individuare gli utenti potenzialmente contagiati il prima possibile, anche quando asintomatici. Gli utenti possono poi isolarsi, con l’effetto di ridurre la diffusione del virus. Venendo informati tempestivamente, inoltre, gli utenti possono anche contattare il proprio medico curante, riducendo così il rischio di complicanze sanitarie.

Il sistema di notifiche di esposizione di Immuni si basa sulla tecnologia Bluetooth Low Energy, efficiente in termini di risparmio energetico e più garantista sul fronte del rispetto dei dati personali perché non utilizza alcun tipo di dato di geolocalizzazione. È dunque una forma diversa di contact tracing rispetto a quelle che utilizzano il GPS. L’app non raccoglie e non è in grado di ottenere alcun dato che identifichi l’utente (quali nome, cognome, data di nascita, indirizzo, numero di telefono o indirizzo email). Immuni determina che vi è stato un contatto fra due utenti, ma non chi siano o dove si siano incontrati. Il funzionamento si basa su un confronto tra i codici generati dalla app installata da un soggetto (che successivamente risulti positivo) che vengono poi messi a confronto con i dati in memoria degli altri utenti. Se uno o più codici coincidono (avvertendo dunque che c’è stato un contatto tra il dispositivo dell’utente positivo e gli altri) si attiva una notifica all’interno della app che consiglia di contattare un medico in caso di presenza di sintomi.

 

Contact tracing e diritto alla privacy

Il diritto alla privacy (la riservatezza dei propri dati personali e sensibili, tra cui quelli medico-sanitari e di localizzazione e profilazione degli individui) ha assunto una importanza crescente nell’attuale epoca iper-tecnologica. Quasi ovunque, nella nostra vita, interagiamo con sistemi dotati di raccolta e condivisione dei nostri dati (in particolare i telefoni cellulari). Inevitabilmente, il diritto a che i dati siano raccolti, trattati, conservati, diffusi ed eliminati nel rispetto della nostra riservatezza si è scontrato con il diritto alla salute, con maggiore veemenza nell’attuale situazione di crisi sanitaria mondiale.

Per questo, probabilmente, l’Italia ha accolto con molte cautele l’uso di forme di contact tracing e l’ha declinata nella app Immuni in una formula meno invasiva di altre Nazioni (di cui si parlerà successivamente).

I riferimenti normativi per la regolamentazione di questa disciplina sono: il Regolamento europeo sulla protezione dei dati personali n. 2016/679 (GDPR), il Codice della privacy come novellato dal d.lgs. 101/2018, numerose Linee guida e Pareri degli organi consultivi in materia di privacy[1].

I dubbi maggiori riguardavano le compagnie (pubbliche o private) a cui l’Italia si sarebbe rivolta per la creazione della piattaforma, i luoghi di conservazione dei dati (se un unico server o vari decentralizzati), i soggetti (pubblici o privati) da cui sarebbero stati trattati, a chi sarebbero stati trasmessi, quando e come sarebbero stati eliminati.

Tali dubbi sembrerebbero superati dal fatto che la app (inventata da una compagnia privata ma selezionata attraverso un bando pubblico dei Ministeri dell’Innovazione e della Salute tra oltre 800 progetti) oggi è gestita da enti ministeriali pubblici. Sottrarre il trattamento dei dati alle compagnie private (e non utilizzare social networks privati e con sedi all’estero per il reperimento dei dati sanitari tra quelli che loro trattengono dei loro utenti) risponde ai principi della normativa in materia di privacy.

Il GDPR ammette limitazioni del diritto alla riservatezza per salvaguardare beni costituzionalmente tutelati di pari o superiore valore (quale la salute nel caso della pandemia da COVID-19), purché i dati siano raccolti (con il consenso dei titolari e in forma anonimizzata e aggregata), trattati, diffusi ed eliminati correttamente da soggetti autorizzati a ciò in quanto obbligati al segreto professionale. Tutto ciò, dunque, sembra coerentemente rispecchiarsi nella costruzione informatica della app Immuni come precedentemente descritta.

Inoltre, recentemente è intervenuto un parere positivo[2] del “Garante nazionale per la protezione dei dati personali” circa la sufficiente tutela dei diritti e delle libertà degli interessati, la proporzionalità delle misure previste in relazione ai rischi connessi al trattamento dei dati personali, il rispetto dei requisiti di volontarietà dell’utilizzo della app, delle finalità del trattamento dati e il loro assoluto anonimato.

L’ente Garante ha, però, sottolineato alcuni aspetti critici[3] che (dopo un suo maggiore uso futuro) potrebbero effettivamente essere elementi di vulnerabilità del rapporto tra diritto alla privacy e la corretta metodologia di contact tracing.

 

Come saranno protetti i dati?

Ecco una lista riassuntiva di alcune delle misure adottate dalla app per protegge i dati degli utenti:

  • I dati raccolti sono quelli minimi, strettamente necessari per supportare e migliorare il sistema di notifiche di esposizione.
  • Il codice Bluetooth Low Energy trasmesso dall’app è generato in maniera casuale e non contiene alcuna informazione riguardo allo smartphone dell’utente, tanto meno sull’utente stesso. Inoltre, questo codice cambia svariate volte ogni ora, per tutelare ancora meglio la privacy dell’utente. I codici sono cancellati dal cellulare dopo 14 giorni.
  • I dati salvati sullo smartphone sono cifrati.
  • Le connessioni tra l’app e il server sono cifrate.
  • Tutti i dati, siano essi salvati sul dispositivo o sul server, saranno cancellati non appena non saranno più necessari e in ogni caso non oltre il 31 dicembre 2020.
  • Il Ministero della Salute raccoglie i dati e decide per quali scopi utilizzarli. In ogni caso, i dati verranno usati solo per contenere l’epidemia del COVID-19 e per la ricerca scientifica.
  • I dati sono salvati su server in Italia e gestiti da soggetti pubblici.

 

Esempi stranieri di tracciamento tecnologico

Negli scorsi mesi diverse Nazioni hanno sviluppato o migliorato sistemi di cui erano già dotati per accompagnare il contrasto medico-sanitario del virus a un tracciamento tecnologico basato su diverse declinazioni del contact tracing.

In alcuni casi si tratta di Paesi con capacità informatiche e di tracciamento degli spostamenti maggiori rispetto all’Italia. Inoltre, le numerose cautele e limitazioni che costituiscono il tracciamento bluetooth di Immuni (rispetto agli esempi stranieri) sono dovute a una maggiore attenzione del nostro Paese e degli organi europei al rispetto dei dati personali e sensibili (come precedentemente descritto).

Ad esempio Singapore ha controllato il rispetto della quarantena da parte dei suoi cittadini con una app obbligatoriamente installata sui cellulari, ricostruendo gli spostamenti attraverso la loro geolocalizzazione, interviste ai pazienti e analisi delle telecamere di video sorveglianza della città. La app, inoltre, permette alle forze di polizia di chiamare più volte al giorno i soggetti e controllarne la posizione attivando il gps.

La Corea del Sud ha adottato la app Corona100m, che traccia i movimenti dei soggetti positivi e notifica agli altri utenti il pericolo di avvicinarsi a loro a meno di 100 m.

In Cina sono stati utilizzati sistemi di sorveglianza di massa basati su riconoscimento facciale delle telecamere cittadine, analisi di big data e previsioni fatte da Intelligenza Artificiale. Inoltre, la app Health Code ha permesso di ricostruire i movimenti dei cittadini analizzando sms, foto, video, acquisti e prenotazioni online. I dati vengono condivisi con gli altri utenti attraverso una mappa, permettendo di conoscere la posizione in tempo reale degli altri soggetti (positivi al virus).

Lo studio di queste esperienze straniere ci permette di apprezzare maggiormente vari aspetti delle relazioni tra le nuove tecnologie e i diritti costituzionalmente garantiti. Ad esempio, quali differenze corrano tra l’obbligatorietà o la facoltatività dell’installazione di applicazioni telefoniche; la diversa tempestività nelle risposte tecnologiche alla diffusione del virus; il diverso supporto offerto dal monitoraggio elettronico al sistema sanitario; il diverso bilanciamento effettuato tra diritto alla salute, libertà personale, libertà di spostamento, tutela e corretta gestione dei dati sensibili.

Informazioni

D. Banfi, “Coronavirus: l’importanza del contact-tracing digitale”, Fondazione Umberto Veronesi Magazine, 6 aprile 2020.

D. Lessi e B. Ruffilli, “App Immuni è online, iniziano i test ma il sistema sanitario è in ritardo”, La Stampa 2 giugno 2020.

F. Nardoni, “App Immuni, per l’ok trasparenza informativa e privacy da garantire”, Il Sole 24 Ore, 6 maggio 2020.

S. Occhipinti, “App Immuni, via libera dal Garante della privacy”, Altalex, 5 giugno 2020.

V. Pagnanelli, “Immuni: spunti per una riflessione privacy-oriented”, Questione Giustizia, 11 maggio 2020.

M. Pennisi, “Volontaria e anonima: ecco Immuni. Via libera alla app che traccia il virus”, Corriere della Sera, 2 giugno 2020.

M. Pennisi, “Immuni è già l’app più scaricata”, Corriere della Sera, 3 giugno 2020.

https://www.immuni.italia.it/

http://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/

http://images.go.wolterskluwer.com/Web/WoltersKluwer/%7Bbcbf65c6-ffe2-4b95-8931-d4e42ac03ee7%7D_garante-privacy-provvedimento-1-giugno-2020.pdf

[1] Per uno studio più approfondito si v. su DirittoConsenso: http://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/

[2] Si v. il testo del parere su: http://images.go.wolterskluwer.com/Web/WoltersKluwer/%7Bbcbf65c6-ffe2-4b95-8931-d4e42ac03ee7%7D_garante-privacy-provvedimento-1-giugno-2020.pdf

[3] Si registrano perplessità in merito ai criteri di elaborazione dell’algoritmo messo a disposizione da Google e da Apple per l’elaborazione del rischio di contagio. L’intensità del segnale bluetooth può condurre a falsi contatti con soggetti positivi (ad esempio può variare in caso di diverso orientamento dei dispositivi mobili oppure perché potrebbe non rilevare la presenza di muri e pareti tra gli utenti).

Deve essere poi assicurata la possibilità di disattivare temporaneamente la app, in quanto la volontarietà prevista dalla legge deve essere rispettata in ogni singola fase: il download, l’utilizzo, la configurazione, l’attivazione del Bluetooth.

Inoltre, la raccolta di ulteriori dati oltre a quelli di contagio (c.d. Analytics Operational info) può dar luogo al rischio di distorsioni nel campione di calcolo dei dati di efficacia e funzionamento del sistema, perché gli utilizzatori di Apple hanno caratteristiche socio-demografiche diverse da quelle dei sistemi Android. Le Analytics Operational Info non sono considerate dati anonimi, in quanto l’identificazione dell’interessato potrebbe facilmente avvenire in contesti territoriali di bassa densità abitativa o di scarso indice di contagio.

Il Garante sottolinea anche l’opportunità che gli strumenti di identificazione dei dispositivi, oggi forniti solo da Apple, siano realizzati senza il coinvolgimento di terze parti nel trattamento dei dati. Ove ciò non sia possibile, è necessario rendere chiaro agli utenti che i dati forniti ad Apple (ed eventualmente in futuro a Google) saranno solo quelli necessari a rendere affidabile il funzionamento della app.

Inoltre, l’informativa resa agli utenti sul trattamento dei dati, deve essere trasparente, utilizzando anche icone standardizzate, e linguaggio chiaro, che renda comprensibile, prima dell’attivazione dell’applicazione, la modalità e la finalità dell’utilizzo dei dati.

Inoltre, deve essere evidenziato nell’informativa, che proprio per garantire l’anonimato dei dati, non si potrà procedere alla loro rettifica, alla portabilità, o al diritto di accesso (facoltà queste previste dal GDPR), ma sarà possibile solamente esercitare il diritto di opposizione al trattamento dei dati, attraverso la disinstallazione della app, che ne determina la cancellazione.

Alla base del trattamento dei dati devono sempre essere rispettati i principi di minimizzazione dei dati e di limitazione della conservazione. Per questo motivo il Garante raccomanda che i dati personali, acquisiti esclusivamente per le finalità previste dalla legge che istituisce la app, siano cancellati automaticamente dal sistema quando sarà cessata l’emergenza coronavirus, e comunque al più tardi al 31.12.2020.

Inoltre, il sistema Bluetooth potrebbe essere soggetto all’azione di malware finalizzati a captare in modo fraudolento le informazioni di contatto tra gli utenti, le catene di contagio, o i soggetti positivi al Coronavirus. La riservatezza dei soggetti risultati positivi al COVID-19 potrebbe essere compromessa da sistemi di re-identificazione. Tra questi il Garante segnala la tecnica del “paparazzi attack”, che consiste nel tentativo di identificazione del soggetto, quando si trova in prossimità dei luoghi del proprio domicilio o quando in un negozio paga con la propria carta di credito, e in tutti quei casi in cui al dispositivo connesso al bluetooth sia possibile associare qualche ulteriore informazione personale aggiuntiva.