SEMAFORO VERDE PER IMMUNI APP

Avviata la sperimentazione in Abruzzo, Liguria Marche e Puglia

Con una nota dello scorso 1 giugno, il Ministero della Salute è stato autorizzato dal Garante per la protezione dei dati personali ad avviare il trattamento dei dati personali raccolti tramite Immuni App. Per l’Authority tale trattamento risulta essere “proporzionato”: questo significa che la compressione del diritto alla privacy cagionata dal contact tracing è mitigata dall’adozione di misure di sicurezza volte al contenimento dei rischi connessi al trattamento.

E’, quindi, partita la fase di sperimentazione del sistema nelle Regioni di Abruzzo, Liguria, Marche e Puglia ed il Garante ha caldeggiato l’attuazione di una serie di misure di sicurezza aggiuntive, in modo da risolvere ogni possibile criticità in vista dell’adozione effettiva dell’App:

  • informativa: l’utente dovrà essere adeguatamente informato (con un’informativa esaustiva e dal linguaggio chiaro) sul funzionamento dell’algoritmo di calcolo adottato dal sistema di allerta e sulla possibilità che non tutte le notifiche di esposizione siano sintomatiche di una effettiva situazione di rischio (si potrà verificare una vera e propria discrepanza tra il numero di notifiche di esposizione ed il numero dei contagiati effettivi);
  • disattivazione temporanea dell’App: dovrà essere previsto un meccanismo semplice ed intuitivo di disattivazione temporanea di Immuni (ad es. un comando nell’homepage);
  • garanzia di esclusività delle finalità di trattamento: i dati raccolti (sensibilissimi) dovranno essere trattati esclusivamente per le finalità del sistema di allerta covid19;
  • garanzia di trasparenza del trattamento a fini statistico-epidemiologici dei dati raccolti: nell’informativa resa all’utente dovranno essere spiegati i trattamenti a fini statistici e le relative modalità;
  • assoluta anonimizzazione dei dati: i dati raccolti, infatti, non potranno mai portare all’identificazione dell’utente (dovrà quindi essere esclusa ogni forma di associazione/combinazione degli stessi ai fini dell’identificabilità del soggetto);
  • tempi di conservazione: gli indirizzi IP dei cellulari dovranno essere registrati e conservati per il tempo strettamente necessario;
  • adozione di tecniche/misure volte a ridurre grandemente il rischio di falsi positivi.

L’Authority, infine, ha precisato che il trattamento di dati personali raccolti attraverso Immuni da parte di soggetti non autorizzati dovrà considerarsi come trattamento di dati personali illecito, con tutte le conseguenze che ne derivano, anche sotto il profilo della responsabilità penale.

Dopo aver assistito, negli ultimi mesi, ad un proliferare di app regionali, il progetto di Immuni sembra sia decisamente avviato: però, non posso non notare come le raccomandazioni del Garante siano giunte in ritardo rispetto al lancio sperimentale dell’app (cosa ne è stato, quindi, del trattamento dei dati dei primissimi utenti?).

Dopo l’esordio con attacco hacker di pochissimi giorni fa e l’iniziale adozione di icone gravemente sessiste (ora fortunatamente aggiornate), Immuni è già stata scaricata da milioni di utenti, anche se resta una rilevante fetta di ipotetici utenti impossibilitati al suo utilizzo (non tutti gli smartphone, infatti, la supportano).

A questo punto, non ci resta che attendere la fine della sperimentazione per vedere se saranno adottate ulteriori misure di sicurezza atte a limitare il più possibile il sacrificio richiesto al diritto alla protezione dei dati personali, in vista del successivo ampliamento del pubblico degli utenti.