Contact tracing e tecnologia

L'avvento dell'applicazione “IMMUNI” tra tutela della salute pubblica e trattamento dei dati personali.

Autore: Avv. Cristina Trocker

di Diritto al Punto Podcast

 In questa nuova fase dell'emergenza Coronavirus in cui all'allentamento del c.d. lockdown e dell'intransigente richiamo di “stare a casa”, è seguita la gioia per una maggiore libertà di movimento e l'incontro con le persone, siamo chiamati ad affrontare due nuove grandi sfide: da un lato, tracciare il movimento del contagio e fermarne la espansione, dall'altro, vigilare che l'utilizzo della tecnologia, a tal fine predisposta, non apra un pericoloso varco alla compressione dei diritti fondamentali della persona.
 Alla prima sfida, come noto, si sta cercando di far fronte attraverso due strumenti:
 1)il tracciamento dei contatti (o contact tracing, secondo l'anglicismo entrato nell'uso comune); 2)l'applicazione di tracciamento.
 Con la prima espressione si fa riferimento ad un sistema di monitoraggio dei contagi ritenuto essenziale per arginare la diffusione del virus. Non è nulla di nuovo in realtà, in quanto si tratta di un metodo da sempre usato nella sanità pubblica per la prevenzione e il contenimento di malattie infettive (come la malaria o l'HIV). Con il secondo termine, invece, si identifica la tecnica, o meglio il mezzo tecnologico, che consente di registrare i contatti che un soggetto positivo al virus, in un certo periodo di tempo, ha avuto con altre persone, individuando ed isolando in tal modo potenziali contagiati.
 Si auspica, così, di poter raccogliere in maniera tempestiva informazioni utili che consentano all'autorità pubblica di prendere i provvedimenti più opportuni in grado di impedire la proliferazione del virus.
 In una serie di Paesi asiatici è stato fatto largo uso, con ottimi risultati, di tali tecnologie ed in ragione di una diversa sensibilità culturale nei confronti del trattamento dei dati personali, questo fenomeno non sembra aver sollevato i timori che invece lo accompagnano nel mondo occidentale. Per rassicurare la popolazione nel nostro Paese che si avrà cura di arginare le insidie che l'utilizzo di questa tecnologia presenta rispetto ai diritti della persona, da fonte ufficiale si sono indicati come requisiti precisi cinque condizioni essenziali che dovranno essere rispettati, e precisamente che:

 1) La partecipazione all'uso di questi mezzi tecnologici deve essere volontaria;
 2) Il singolo deve poter confidare nella trasparenza e correttezza delle caratteristiche del
 servizio;
 3) L'intero sistema di contact tracing deve essere gestito da uno o più soggetti pubblici ed il suo
 codice deve essere aperto permettendo a tecnici specializzati di poter controllarne il
 contenuto;
 4) I dati trattati ed immagazzinati ai fini dell'esercizio del sistema devono essere resi
 sufficientemente anonimi al fine di impedire l'identificazione dell'interessato;
 5) Una volta raggiunta la finalità perseguita con il tracciamento, i dati devono essere
 necessariamente e definitivamente eliminati.

 Quanto allo strumento di tracciamento dei contagi in Italia è stata scelta l'applicazione “Immuni”, realizzata dalla software house “Bending Spoons” di Milano.
 In ordine al suo funzionamento l'ordinanza per l'applicazione italiana Immuni, firmata in data 16 aprile 2020, dal Commissario straordinario per l'emergenza Covid-19, Domenico Arcuri spiega che “l'applicazione registrerà [sfruttando la tecnologia Bluetooth] la prossimità tra cellulari delle persone con i quali un soggetto è venuto a contatto tramite dati non direttamente idonei a rivelare la identità di una persona (c.d. pseudominizzati). Tali dati rimarranno all'interno del dispositivo fino all'eventuale diagnosi di contagio. Il sistema non ha l'obiettivo di geolocalizzazione [ovvero di attuare una sorta di “sorveglianza digitale”] ma quello di tracciare per un determinato periodo di tempo degli identificativi criptati dei cellulari con i quali il soggetto positivo al virus è entrato in stretto contatto. Questo accade solo se in entrambi i dispositivi è presente l'applicazione

di tracciamento”. Pertanto l'utilizzo di un sistema di tracciamento digitale può concretamente “aiutare a identificare individui potenzialmente infetti prima che emergano sintomi e, se condotto in modo sufficientemente rapido, può impedire la trasmissione successiva dai casi ”.
 Ma, come si prevede che funzioni, in concreto, la condivisione dei dati?

 Ebbene, quando una persona risulta positiva al test del Covid-19, questa potrà caricare il risultato del test sul server centrale per avvertire i contatti a rischio. La procedura è guidata dal personale sanitario. Entrando in una sezione specifica dell'applicazione la persona positiva al virus riceve una chiave di accesso temporanea da comunicare a un addetto dell’Asl che sarà chiamato a caricare il codice sul database centrale. A questo punto spetta al “paziente” consentire l'invio dei dati e, più precisamente, il risultato del test e l'indicazione della provincia di residenza. Sui dispositivi che hanno scaricato l'applicazione ogni giorno sarà disponibile una lista aggiornata dei soggetti risultati positivi e l’abbinamento avverrà sul singolo dispositivo dal confronto con i codici che i dispositivi si scambiano quando sono a distanza ravvicinata via Bluetooth.

 Il fenomeno brevemente descritto, come è facile intuire, non ha mancato di sollevare criticità e problemi. L'aspetto più complesso, come in parte già anticipato, riguarda il rapporto tra riservatezza dei dati personali e tutela della salute pubblica. Si è giustamente sottolineata la necessità di un contemperamento dell'uso di strumenti tecnologici, da alcuni ritenuti particolarmente invasivi e difficilmente controllabili, con l'interesse collettivo a sconfiggere o, quanto meno, efficacemente arginare il Covid-19.

 In Europa, la normativa in materia di protezione dei dati, è contenuta nel Regolamento generale per la protezione dei dati personali n. 2016/679 (General Data Protection Regulation, più comunemente chiamato GDPR), entrato in vigore il 24 maggio 2018.
 Mettendo in atto una tutela più stringente, con l'obiettivo di rafforzare la fiducia dei cittadini nella società digitale, il Regolamento risulta funzionale allo sviluppo digitale dell'Unione europea, alla tutela della libertà di circolazione dei dati personali con l'obiettivo di addivenire ad una definitiva armonizzazione della regolamentazione in materia all'interno dell'Unione.
 Un'attenta analisi della normativa europea e nazionale fa emergere che il nostro ordinamento prevede e permette di utilizzare il contact tracing e app di questo tipo, ma nel rispetto di precise condizioni.
 Innanzitutto l'art 23, unitamente al considerando 73, del GDPR prevedono che i diritti riconosciuti del Regolamento possono essere suscettibili di limitazione soltanto in presenza di situazioni eccezionali, quale è quella attuale di emergenza sanitaria. Infatti alle lettere c) ed e) dell'art 23 si parla rispettivamente di sicurezza pubblica e di sanità pubblica.
 Possiamo dunque affermare che il Regolamento menzionato prevede una “delega” allo Stato membro relativa a come agire qualora si trovi nell'esigenza di limitare la portata degli obblighi e diritti contenuti nella normativa europea, ammettendo tali limitazioni esclusivamente mediante l'adozione di misure legislative che siano necessarie e proporzionate per salvaguardare la sicurezza e sanità pubblica oltre a rispettare l'essenza dei diritti e delle libertà
 Quanto previsto nel Regolamento è altresì ribadito all'art. 15 della Direttiva in materia di privacy (2002/58/CE) che prevede testualmente al primo comma che “Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi [...], qualora tale restrizione costituisca, [...], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea.”
 Anche in questo caso la normativa prevede una delega allo Stato membro che, in presenza di una situazione particolare, può intervenire attraverso misure legislative, sempre nel rispetto di precise

garanzie.
 Ciò induce ad affermare che in linea di principio è corretto ritenere che le norme poste a protezione dei dati personali non ostacolino l'uso di strumenti di tracciamento dei contatti per contrastare la diffusione della epidemia. E questo non solo per quanto riguarda la raccolta di determinati dati ma anche la conservazione degli stessi.
 Quanto a questa seconda fase del trattamento, la conservazione dei dati personali in vista del loro eventuale e successivo utilizzo per allertare i potenziali contagiati, nel rispetto delle normative in materia, dovrebbe essere limitata ai soggetti risultati positivi e a coloro ai quali, con essi, siano entrati in contatto significativo, per il solo periodo di potenziale contagiosità.
 I criteri di necessità, proporzionalità e minimizzazione indicano, con forza, l'esigenza di contenere tali limitazioni della privacy nella misura strettamente necessaria a perseguire fini rilevanti, con il minor sacrificio possibile per gli interessati. Sarebbero perciò apprezzabili quelle tecnologie che mantengono il “diario” dei contatti esclusivamente nella disponibilità dell'utente, sul suo dispositivo, ragionevolmente per il solo periodo massimo di potenziale incubazione.
 La conservazione dei dati di contatto, da parte del server, dovrebbe poi essere limitata al tempo strettamente indispensabile alla rilevazione dei potenziali contagiati.
 Anche l'European Data Protection Board (Comitato europeo per la sicurezza dei dati) ha sottolineato che il fondamento giuridico per l'utilizzo di queste tecnologie deve individuarsi nella promulgazione di leggi nazionali che garantiscano l'impiego di applicazioni su base volontaria senza alcuna penalizzazione per chi non intenda farne uso. Ciò significa che gli interventi legislativi in materia non devono essere strumentali all'imposizione di un obbligo di utilizzo, e che le persone devono essere libere di scegliere se installare o disinstallare l'app.

 Alla luce di tali indicazioni, la Presidenza del Consiglio dei Ministri ha richiesto il parere del Garante per la protezione dei dati personali in merito alla proposta normativa per il tracciamento dei contatti fra soggetti mediante apposita applicazione su dispositivi di telefonia mobile nell’ambito delle strategie di contenimento dell’epidemia Covid-19,proposta ministeriale poi confluita nel decreto legge 28/2020.
 Il Garante della Privacy è intervenuto con il provvedimento n. 79 del 29 aprile 2020 e, ritenendo le condizioni previste dalla normativa nazionale conformi alla normativa europea, ha autorizzato l'utilizzo dell'applicazione “Immuni”.
 In data 30 aprile è entrato in vigore il summenzionato decreto che, all'art. 6 disciplina le misure urgenti per l'introduzione del sistema di allerta Covid-19.
 In particolare il comma 1 precisa che il titolare del trattamento è il Ministero della Salute e che il trattamento riguarda il tracciamento effettuato tramite l'utilizzo di un'applicazione installata su base volontaria e destinata alla registrazione dei soli contatti tra soggetti che abbiano scaricato l'applicazione. Viene specificato che il fine unico del tracciamento deve essere quello di adottare le adeguate misure di informazione e prevenzione sanitaria nel caso di soggetti entrati in contatto con utenti che risultino, all'esito di test o diagnosi medica, contagiati.
 Si prevede, poi, che il Ministero della Salute si coordini, anche ai sensi dell'articolo 28 del Regolamento generale sulla protezione dei dati, con i soggetti operanti nel Servizio nazionale della protezione civile e i soggetti cc.dd. "attuatori" di cui all'articolo 1 dell'ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3 febbraio 2020, nonché con l'Istituto superiore di sanità, le strutture pubbliche e private accreditate che operano nell'ambito del Servizio sanitario nazionale, nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all'emergenza epidemiologica da COVID-19. Si chiarisce, infine, che la modalità di tracciamento dei contatti tramite la piattaforma informatica di cui al predetto comma 1 è complementare alle ordinarie modalità in uso nell'ambito del Servizio Sanitario Nazionale.
 Il comma 2, invece, stabilisce che, all'esito di una valutazione di impatto effettuata ai sensi dell'articolo 35 del Regolamento, il Ministero della Salute adotti misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati. Questo assicurando, in particolare, che gli utenti ricevano, prima dell'attivazione

dell'applicazione, un'idonea informativa; che i dati personali raccolti dall'applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell'applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al Covid-19, individuati secondo criteri stabiliti dal Ministero della salute; che il trattamento effettuato per il tracciamento dei contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati, con esclusione di ogni forma di geolocalizzazione dei singoli utenti; che siano garantite su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento; che i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo, stabilito dal Ministero della salute, strettamente necessario al tracciamento e cancellati in modo automatico alla scadenza del termine; che i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento possano essere esercitati anche con modalità semplificate.
 Il comma 3 prevede che i dati raccolti attraverso l'applicazione non possono essere utilizzati per finalità diverse da quella di cui al medesimo comma 1, salvo in forma aggregata o anonima per finalità scientifiche o statistiche.
 Il successivo comma 4 stabilisce che il mancato utilizzo dell'applicazione non comporta conseguenze in ordine all'esercizio dei diritti fondamentali dei soggetti interessati ed è assicurato il rispetto del principio di parità di trattamento, mentre il comma 5 prevede che la piattaforma informatica utilizzata sia realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o in controllo pubblico.
 Infine, il comma 6 chiarisce che ogni trattamento di dati personali dovrà cessare al termine del periodo di emergenza secondo la tempistica espressamente indicata, con conseguente cancellazione dei dati trattati.

 Dal 1 giugno 2020 l'applicazione “Immuni” è scaricabile in tutta Italia e da lunedì 8 giugno,Puglia, Marche, Abruzzo e Liguria saranno le prime Regioni a sperimentarne il funzionamento.
 Nonostante il “boom” di download registrato fin dal primo giorno (500.000 in 24 ore), l'applicazione non risulta disponibile per tutti i dispositivi, ma solamente a quelli che rispettano determinati requisiti a seconda del proprio sistema operativo.
 Sul sito ufficiale www.immuni.italia.it , nella sezione “Domande”, si legge che:
 - l'applicazione non sarà disponibile per gli iPhone 6 e precedenti né per nessun altro dispositivo Apple non abilitato perché non aggiornato a iOS 13.5 e nel caso di versioni precedenti l'app non sarà neppure visualizzata nello store;
 - i dispositivi Android, sono abilitati all’uso di Immuni se rispondono ai seguenti requisiti: aggiornamento ad Android 6 o superiore; Google Play Services versione 20.18.13 o superiore; Bluetooth Low Energy. Non è quindi richiesto l’ultima versione del sistema operativo (Android 10) ma quella rilasciata nel 2015 e ancora in uso nei modelli di smartphone non più recentissimi, purché la versione di Google Play sia quella indicata (o superiori).
 Tra i dispositivi che attualmente restano esclusi dall’uso di Immuni ci sono anche i cellulari Huawei di nuova generazione e alcuni modelli Samsung, Motorola e LG di vecchia generazione.
 La speranza è che tali problemi tecnici vengano risolti al più presto per consentire al maggior numero di persone possibile di usufruire dell'applicazione.

 A titolo di avvertenza mi preme segnalare la recente diffusione di una fake news sui principali social, da Whatsapp a Facebook, che ha generato un infondato allarmistico sull’ultimo aggiornamento dei dispositivi Android e degli smartphone (e simili) che utilizzano il sistema operativo iOS. È stato erroneamente divulgato che entrambi i sistemi operativi avrebbero installato, arbitrariamente e senza alcun consenso, l'applicazione Covid 19 sui dispositivi mobili.
 Il fatto reale è che sui dispositivi Android, come accaduto per quelli iOS, è arrivato un aggiornamento che permette la messa in funzione delle ‘notifiche di esposizione Covid-19’.
 

Fuorviante, e quindi fonte di cattiva informazione, è la illazione desunta da quel fatto. Infatti, non vi è alcun obbligo di attivare questa funzione. Per rendersi conto di ciò basta entrare nelle impostazioni del proprio dispositivo e leggere le opzioni in merito, dove viene specificato, a chiare lettere, che (ed è quanto risulta dai dispositivi Android) “Per capire se hai avuto contatti ravvicinati con persone che risultano positive al Covid 19 puoi attivare la funzionalità “Notifiche di esposizione”. Se cambi idea puoi disattivarla. Per usare questo sistema è necessario scaricare l'app dell'autorità sanitaria pubblica competente”.
 Pertanto non vi è alcuna applicazione Covid-19 occultamente installata ma si tratta semplicemente di un aggiornamento dei dispositivi per rendere utilizzabile l’app Immuni e la predisposizione della funzione di attivazione delle relative notifiche per i dispositivi degli utenti che decideranno volontariamente di utilizzarla.
 

Riproduzione riservata