9 giugno 2020 
 
Via libera alla sperimentazione dell’app “Immuni”!
L’autorizzazione è arrivata nella giornata del 1º giugno 2020 dallo stesso Garante della Privacy, che, chiamato a pronunciarsi sulla compatibilità del Sistema di allerta Covid-19 con i principi vigenti in materia di protezione dei dati personali, ha giudicato proporzionato il trattamento dei dati che l’app sarà chiamata ad effettuare, richiedendo, però, al Ministero della salute di adottare ed implementare specifiche ed idonee misure di sicurezza.
Il funzionamento dell’applicazione - la cui sperimentazione ha inizio solo in quattro regioni (Puglia, Abruzzo, Marche e Liguria) - si basa sulla tecnologia del Bluetooth, grazie al quale i telefoni di coloro che scaricano l’applicazione diventano in grado di comunicare con i dispositivi delle persone che si trovano nelle immediate vicinanze e che, pertanto, si trovano ad una distanza che rende possibile un eventuale contagio. 
Il “contatto” viene registrato mediante l’invio e la ricezione di un codice anonimo univoco, senza alcun elemento identificativo, che rimane salvato a livello locale sul telefono per quattordici giorni, onde consentire all’app di verificare se, in tale lasso temporale, si verifichino delle corrispondenze tra i codici registrati dal telefono e quelli delle persone contagiate, pubblicati su di un apposito server.
In tal caso, sarà la stessa app ad inviare una notifica al potenziale contagiato, comunicandogli l’esposizione al rischio e rendendo possibile allo stesso di autoisolarsi o di contattare il proprio medico di base, riducendo così il rischio di complicanze.
Orbene, chiarito, seppur in modo semplificato, il meccanismo di funzionamento di “Immuni”, sorgono spontanei i dubbi circa i limiti e le modalità di trattamento dei dati così raccolti.
Il Garante ha, difatti, specificato come, in primis, risulti assolutamente necessaria un’informativa chiara e comprensibile, il cui contenuto venga redatto tenendo conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultra quattordicenni.
A tal fine, viene auspicato l’utilizzo di icone standardizzate che siano in grado di dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto.
Stesse considerazioni valgono per il messaggio di allerta; in tal caso, è altresì necessario che gli utenti vengano edotti sul fatto che le suddette notifiche non sempre riflettono un’effettiva situazione di rischio, potendo il contatto essere avvenuto in condizioni caratterizzate da un adeguato grado di protezione.
Inoltre, poiché ad essere trattati sono dati personali che rientrano nella sfera dei dati sanitari e quindi dati sensibili, essi non potranno essere utilizzati se non per la finalità per la quale sono raccolti e per i tempi strettamente necessari: in caso contrario o nell’ipotesi di trattamento degli stessi da parte di soggetti non autorizzati, si configurerebbe un’ipotesi di trattamento di dati personali illecito, eventualmente anche sotto il profilo penale.
Un’attenzione particolare viene poi riservata dal Garante alle misure volte a garantire l’anonimato dei dati raccolti; in particolare, viene evidenziato come il d.l. 28/2020 stabilisca che il trattamento avvenga con pseudonimizzazione, intendendosi con tale termine il risultato di un trattamento di dati personali che non ne consente l’attribuzione a un interessato specifico, se non con l'utilizzo di informazioni aggiuntive: orbene, il Garante chiede al Ministero di individuare chiaramente quali dati debbano venire pseudonomizzati e quali siano, invece, tutte le altre informazioni aggiuntive che comunque l’applicazione raccoglie, così da garantire una netta separazione tra queste due componenti: in assenza di tale dissociazione sarebbe possibile l’identificazione degli interessati.
Il Garante precisa altresì come sia necessario consentire agli utenti dell’app di disattivarla, anche solo temporaneamente, attraverso una funzione facilmente accessibile nella schermata principale, informando di tale facoltà lo stesso utente, con l’utilizzo, anche in tal caso, delle infografiche visualizzate all’atto dell’installazione dell’applicazione stessa.
Orbene, la specificazione delle predette misure è un chiaro segnale dei molteplici potenziali rischi a cui sono evidentemente esposti i dati personali con l’utilizzo dei Sistemi di allerta Covid-19.
È per tale ragione che, sul punto, è altresì intervenuta l’Unione Europea, la quale ha dettato importanti principi cardine, il cui rispetto deve essere garantito dagli Stati che decidono di adottare sistemi tecnologici onde contenere il contagio: tra le diverse misure, emergono il divieto di geolocalizzazione, la garanzia di anonimato, la volontarietà dell’utilizzo dell’app, che il cittadino deve essere libero di scaricare o meno.
Inevitabilmente tale ultimo aspetto inciderà sul successo o meno del Sistema, che potrà fungere da efficace strumento per controllare il diffondersi del Coronavirus solo ove sarà scaricato e utilizzato da una larga parte della popolazione.
Pertanto, sebbene siamo tutti consapevoli e pronti ad accettare che, per via della situazione che ci troviamo a vivere, i nostri diritti subiscano alcune “limitazioni” al fine di tutelare un bene superiore, quale è la salute pubblica, ci auspichiamo che l’adozione delle predette misure da parte del Ministero della salute - nonché l’attenzione di ciascuno di noi nel valutare quanto si scarica sul dispositivo (così da evitare di cadere in trappole di cybercriminali che cercano di sfruttare tale meccanismo per lanciare campagne di phishing, quale quella in cui sono incappate numerose persone qualche giorno fa) - non renda necessario accettare la compressione del nostro diritto di tutela dei dati personali. 
 
Dott.ssa Mariachiara Ceriani
 
Per ogni ulteriore informazione e/o richiesta di approfondimento, contattare:
DDC Studio Legale (P.IVA 05986790961)
Tel: + 39 02.6431749 - Fax: + 39 02.66116694
This email address is being protected from spambots. You need JavaScript enabled to view it.
www.ddcstudiolegale.com