L’app immuni ottiene l’autorizzazione del garante per la protezione dei dati personali: il “sistema di allerta covid-19” è legittimo e proporzionato al rispetto della privacy

G.. Pier Paolo Muià – Dott. Gianfranco Maccarone

Provvedimento di autorizzazione del Garante per la privacy al trattamento dei dati personali nell’app Immuni – 1 lipanj 2020

pretpostavka
Tra i provvedimenti adottati dal Ministero della salute per fronteggiare l’emergenza da Coronavirus si annovera l’introduzione di un sistema di tracciamento digitale dei contatti, cosiddetto “Sistema di allerta Covid-19”, istituito all’art. 6 del decreto legge 30 travanj 2020, n. 28 come sistema complementare alle modalità di tracciamento tradizionali di cui si serve il Sistema Sanitario Nazionale. Esso risulta in grado di raggiungere potenzialmente milioni di utenti, sfruttando una piattaforma digitale unica nazionale, comunemente denominata “App immuni”, generata con lo specifico intento di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute. È indubbio, quindi, che per il funzionamento del presente Sistema sia necessario accedere ad alcuni dati personali dell’utente, motivo per il quale il Ministero della salute, quale titolare del trattamento dei dati personali raccolti, ha provveduto a trasmettere al Garante per la privacy una nota del 28 svibanj 2020 contenente la valutazione d’impatto sulla protezione dei dati, al fine di essere autorizzato ad avviare il Sistema e la relativa applicazione.
Il Sistema Immuni presuppone anzitutto che ogni utente scarichi volontariamente la citata applicazione dagli app store ufficiali di Apple o Google, procedendo quindi alla sua istallazione e successiva configurazione. In tale sede verrà richiesto al soggetto che effettua il donwload di dichiarare di essere ultraquattordicenne, indicare la provincia di domicilio e concedere dei permessi necessari al funzionamento dell’applicazione (ad esempio abilitazione notifiche di allerta, geolocalizzazione, attivazione bluetooth). Eseguiti questi passaggi preliminari, l’app è in grado di funzionare.
In sintesi, il suo funzionamento si basa su un approccio “decentralizzato” di rilevamento dell’esposizione al contagio, realizzata mediante la memorizzazione nel dispositivo dei dati relativi alle interazioni avvenute, con tecnologia bluetooth, con altri dispositivi mobili di utenti in possesso della medesima app. In realtà, il Sistema Immuni raccoglie e trasmette quotidianamente agli uffici competenti del Ministero della salute anche dati ulteriori, come ad esempio le Epidemiological Info che si registrano ogni qual volta un utente risultato positivo al Covid-19 decida di effettuare il caricamento di tali informazioni nel sistema, oppure le Operational Info raccolte per comprendere statisticamente l’utilizzo e l’utilità dell’applicazione. In ogni caso, nel pieno rispetto dei principi di minimizzazione dei dati e di limitazione della conservazione, le informazioni raccolte non possono essere conservate per un tempo superiore a quello strettamente necessario per il conseguimento delle finalità per le quali sono trattati. Con riguardo specifico ai dati trattati dal Sistema di allerta, il termine ultimo individuato nel decreto per la loro cancellazione è il 31 Prosinac 2020 (senza considerare che numerose delle informazioni trasmesse vengono, in verità, cancellate al termine del quattordicesimo giorno di vita sia dall’app Immuni che dalla sua infrastruttura centrale).
Il Ministero della salute procede poi, nel medesimo art. 6 del decreto legge 30 travanj 2020 n. 28, alla puntualizzazione di requisiti ulteriori che devono essere rispettati nella gestione di tale Sistema:

Volontarietà dell’utilizzo dell’app, che presuppone la manifestazione di volontà dell’utente rappresentata per tutte le funzionalità previste dal Sistema (dal download all’attivazione ed alla disintallazione). Nella normativa di riferimento è previsto altresì, quale corollario del presente requisito, che tutti coloro che non intendono utilizzare l’applicazione non possano subire pregiudizio alcuno, nel rispetto del principio di parità di trattamento;

 

Perseguimento di finalità specifiche, espressamente chiarite dal citato decreto legge e consistenti in primo luogo nella necessità di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi ed, in secondo luogo, di tutelare la salute attraverso le misure di prevenzione adottate per l’emergenza Covid-19. Tali finalità possono realizzarsi esclusivamente mediante il trattamento di dati personali sensibili relativi alla salute dei cittadini, per i quali si richiede al Ministero della salute l’adozione di misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati;

Utilizzo dei dati pseudonimizzati, per garantire il rispetto dei principi di protezione dei dati personali. Nello specifico, il riferimento alla pseudonimizzazione implica che il Sistema di allerta dei contatti sia basato sul trattamento di dati di prossimità dei dispositivi pseudonimizzati.



Il provvedimento del Garante
A seguito della ricezione e dell’attenta valutazione della nota ministeriale contenente la valutazione d’impatto sulla protezione dei dati, il Garante ha ritenuto legittimo e proporzionato il trattamento dei dati personali effettuato dal Sistema di allerta dell’App Immuni, in quanto rispettoso dei diritti e delle libertà degli interessati ed in particolare della trasparenza, correttezza e sicurezza in ogni fase di trattamento. Difatti è stato rappresentato come, con riguardo specifico alla sicurezza complessiva del trattamento, siano state descritte dal Ministero in modo particolarmente accurato le misure tecniche ed organizzative adottate nel Sistema di allerta Covid-19, nonché quelle condivise dal Ministero dell’economia e delle finanze in relazione alle funzioni del sistema stesso.
Tuttavia nel provvedimento il Garante non si limita ad autorizzare il Sistema di allerta, in quanto provvisto di misure idonee ad attenuare i rischi di lesione derivanti dal trattamento dei dati personali, ma procede altresì all’indicazione di prescrizioni volte a rafforzare le garanzie degli utenti. posebno, si richiede al Ministero della salute di adoperarsi affinché siano adottate, entro 30 giorni dalla ricezione del provvedimento del Garante, le seguenti prescrizioni:

indicare nella valutazione d’impatto, con costante aggiornamento, i criteri epidemiologici di rischio e i modelli probabilistici su cui si basa l’algoritmo utilizzato dal Sistema di allerta;
informare adeguatamente gli utenti della possibilità di riscontrare dei “falsi positivi o negativi” dovuti ad errori intrinseci dell’app che potrebbe generare notifiche non sempre corrispondenti ad un’effettiva condizione di rischio;
informare gli utenti della possibilità di disattivare temporaneamente l’applicazione, facilitando tale operazione attraverso una funzione facilmente accessibile dalla schermata principale;
individuare modalità e tempistiche adeguate di protezione delle informazioni raccolte nell’applicazione e precisarle nell’informativa (soprattutto per cautelare minori ultra quattordicenni), evitando da un lato la riassociazione a soggetti identificabili e dall’altro garantendone l’anonimato;
fornire adeguate informazioni agli utenti in relazione alle caratteristiche della fase di sperimentazione, avviata in alcune Regioni e province autonome;
integrare la valutazione d’impatto e l’informativa in relazione alle modalità di esercizio del diritto di cancellazione e di opposizione;
integrare, sulla base del principio di responsabilizzazione, la valutazione d’impatto con l’indicazione di tutti i soggetti coinvolti nel Sistema, rendendo noto il loro ruolo, le loro competenze e gli eventuali rischi per l’interessato;
introdurre misure volte ad assicurare sia il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati, sia la mitigazione dei rischi derivanti da errori materiali o diagnostici.

In considerazione di tutto quanto esposto e con gli accorgimenti di cui sopra, con provvedimento del 1 lipanj 2020, il Garante per la protezione dei dati personali ha quindi concesso l’autorizzazione necessaria al Ministero della salute per avviare il Sistema di allerta Covid-19, così come introdotto dall’art. 6 del decreto legge 30 travanj 2020, n. 28 e ben esplicitato nella valutazione d’impatto, auspicandone evidentemente l’integrazione sulla base delle precisazioni fornite.
volumen preporučeno

GDPR: ISPEZIONI E SANZIONI DEL GARANTE
Stefano Comellini, 2020, Maggs Izdavač
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle

12,90 € 10,97 € kupiti

njegova www.maggiolieditore.it

Diventa autore di Diritto.it
Scopri di più!

Ti potrebbe interessare anche

Liječniku je omogućen pristup medicinskoj evidenciji, s prikrivenim imenima pacijenata, ako mu medicinske informacije sadržane u njemu služe za zaštitu njegove profesionalne reputacije

di MuiaPier Paolo
24 siječanj 2020

Difficile rapporto tra GDPR e tecnologia blockchain

di Lione Federico
30 studeni 2018

Spetta alla società italiana che “fa entrare” i dati personali in Italia l’obbligo di verificare che essi siano stati acquisiti nel rispetto della normativa privacy

di MuiaPier Paolo
17 srpanj 2019

Informatica giuridica e diritto dell’informatica: per una genesi delle discipline

di Redazione
28 ožujak 2019

The post L’app immuni ottiene l’autorizzazione del garante per la protezione dei dati personali: il “sistema di allerta covid-19” è legittimo e proporzionato al rispetto della privacy appeared first on Diritto.it.
Izvor: Diritto.it