L'INTERVENTO - App Immuni e l'intervento del Garante, a che punto siamo?

Pubblichiamo l'intervento di Stefania Stefanelli, professoressa associata di diritto privato dell’Università degli Studi di Perugia, sulla nuova app Immuni.

***

Non si è ancora concluso il percorso che dovrebbe portare all’introduzione definitiva, nel nostro Paese, di una piattaforma per il contact tracing.

Immuni, questo il nome prescelto e già noto da tempo, è tuttavia disponibile solo in alcune Regioni, nella fase iniziale di lancio del sistema tecnologico di cui fa parte.

Il contact tracing è un’attività che viene comunemente svolta per cercare di individuare, a ritroso, i soggetti che possano essere entrati in contatto con una persona risultata contagiata da un virus, per il quale non esistano ancora vaccini o cure efficaci.

Consiste, finora, in un’intervista condotta dal personale sanitario ai pazienti contagiati dal nuovo Coronavirus, al fine di ricostruire il percorso fatto e le persone incontrate nei giorni precedenti, nei quali il paziente poteva essere contagioso. In questo modo, una volta individuati gli altri soggetti potenzialmente contagiati, costoro potranno essere avvisati e/o sottoposti a test diagnostici e eventualmente curati. Attraverso le tecniche di contact tracing si vuole ottenere, in sostanza, il risultato di arginare la diffusione del virus isolando i soggetti che, anche inconsapevolmente, potrebbero contribuire a tale diffusione. Poiché l’intervista condotta dai sanitari rischia di non essere precisa o puntuale, si è pensato – e già sperimentato in altri Paesi – di utilizzare le tecnologie al fine di tracciare i contatti avuti. La soluzione preferita a livello europeo è quella che si basa sul bluetooth, racchiuso in pressoché tutti gli smartphone, anche grazie alla tecnologia sviluppata congiuntamente da Apple e Google che, con i rispettivi sistemi operativi per smartphone (iOS e Android), sono presenti in quasi la totalità degli smartphone in circolazione.

In Italia, quindi, il sistema di contact tracing tecnologico e la App nazionale, scaricabile negli smartphone, è unitario.

L’uso di tale tipo di tecnologie solleva, in prima battuta, questioni relative correlata alla protezione dei dati personali e alla privacy degli utilizzatori, in quanto coinvolge necessariamente informazioni relative al contatto avuto tra i diversi soggetti, e allo stato di salute degli stessi.

Senza entrare troppo nel dettaglio dell’iter che ha condotto a regolamentare e implementare questo tipo di tecnologie, possiamo ricordare che nelle scorse settimane sono intervenuti sulla questione il Parlamento e la Commissione europea, il Garante europeo per la protezione dei dati personali (EDPS), il Comitato europeo per la protezione dei dati personali (EDPB, con le linee-guida 4/2020) e, non ultimo, il nostro Garante per la protezione dei dati personali.

Quest’ultimo, in particolare, si è pronunciato sia nel momento dell’individuazione della soluzione tecnologica (lo scorso 8 aprile, in audizione alla Camera dei Deputati), sia al momento della stesura del testo normativo che disciplina l’introduzione in Italia del contact tracing tecnologico (art. 6 del D.L. 28/2020), sia infine lo scorso 1° giugno, con un provvedimento di analisi della valutazione d’impatto fornita dal Ministero della salute (titolare del trattamento) ai sensi del Regolamento europeo sulla protezione dei dati personali (GDPR) e del decreto legge citato.

Ad oggi, la App Immuni è già disponibile per chiunque al download dagli store ufficiali Google e Apple, ma può essere utilizzata solo nell’ambito delle regioni pilota, nelle quali può prendere avvio la sperimentazione e l’utilizzo del sistema: Abruzzo, Liguria, Marche e Puglia.

Si noti che l’intervento del Garante è essenziale in un momento come questo, in cui – anche sfruttando l’attenzione del momento – si iniziano a registrare le prime attività criminali di diffusione di malware di tipo ransomware (che bloccano l’accesso al dispositivo nel quale vengono inoculate, chiedendo un riscatto per rimuovere la limitazione) attuate proprio attraverso il richiamo a questa app di contact tracing.

L’Autorità Garante per la protezione dei dati dati personali, nel suo ultimo provvedimento, fornisce indicazioni tecniche puntuali avendo a mente due specifiche finalità: da un lato fare in modo che l’applicazione venga adottata consapevolmente dalle persone, senza perdere di vista l’obiettivo di ottenere un contact tracing efficace e, dall’altro, quello di garantire e tutelare i cittadini.

Abbiamo ricordato che il provvedimento consegue all’esame della valutazione d’impatto (DPIA – Data protection impact assessment) redatta dal Ministero della salute sul sistema Immuni: si tratta di un procedimento previsto dal GDPR che consente al titolare del trattamento dei dati (nel caso di specie si tratta del Ministero della salute) di verificare a quale rischio l’utilizzo di Immuni possa esporre i dati personali, e di individuare le misure più idonee a ridurne la probabilità e l’entità. Si tratta, in sostanza, di una valutazione del rischio analoga a quella condotta, ad esempio, nell’ambito della sicurezza sul lavoro, con il DVR (documento di valutazione del rischio).

Il Garante ha concesso l’autorizzazione alla sperimentazione del sistema di contact tracing tecnologico e ha indicato al Ministero alcuni correttivi, che devono essere predisposti durante questa fase, al fine di rendere maggiormente sicuro il trattamento dei dati dei soggetti coinvolti nel sistema.

Oltre ad esaminare gli aspetti tecnici (per i cui dettagli si rimanda al sito), il provvedimento ribadisce che qualsiasi attività con l’App Immuni (dal download all’installazione, dall’attivazione alla disinstallazione) deve essere fondata sulla scelta volontaria degli utenti: in altre parole, dalla mancata installazione o dal mancato utilizzo di Immuni non deve derivare agli utenti alcun pregiudizio, e ad esempio non potrà impedirsi a chi non l’abbia installatA di accedere a determinati esercizi, o di beneficiare di utilità riservate invece agli utilizzatori.

Tutti i dati personali raccolti nell’ambito del sistema Immuni dovranno, comunque, essere trattati esclusivamente per le finalità di allertare le persone che siano entrate in stretto contatto con soggetti risultati positivi, e di tutelarne la salute con misure di prevenzione nell’ambito dell’emergenza COVID-19, consentendo di attivare le fasi successive di test ed eventuale trattamento.

Significativamente, il Garante impone altresì al Ministero della salute di chiarire agli utenti che il sistema Immuni non è la panacea contro la diffusione del virus e che, anzi, potrebbe – a causa delle limitazioni e degli aspetti tecnici connessi all’utilizzo della tecnologia bluetooth – generare anche notifiche di falsi positivi e falsi negativi. In altri termini, non è detto che ogni volta che Immuni allerti l’utente, quest’ultimo sia stato effettivamente contagiato, né tantomeno che in mancanza di alert dall’applicazione, l’utente non sia stato effettivamente esposto al contagio.

È ancora da chiarire, sempre ad opera del Ministero, il ruolo dei soggetti coinvolti nel sistema Immuni, diversi dagli apparati dello Stato, come, ad esempio, le società Bending Spoons, Google e Apple.

Maggiore attenzione deve inoltre essere prestata agli aspetti dell’accessibilità, in modo che anche le persone con disabilità possano fruire dello strumento di contact tracing tecnologico.

Infine, l’Autorità Garante si sofferma significativamente sugli aspetti relativi alla sicurezza informatica derivanti dall’uso di un sistema come Immuni, mettendo in guardia il Ministero della salute rispetto ai rischi e alle vulnerabilità informatiche che potrebbero potenzialmente condurre a una re-identificazione dei dati pseudonimizzati degli utilizzatori della app, con conseguente concretizzazione del rischio per i diritti e le libertà fondamentali degli individui.

Rischi dei quali è necessario che siano informati anche gli utilizzatori, perché Immuni conterrà informazioni di dettaglio che, in assenza di opportune e preventive contromisure, potrebbero essere indebitamente utilizzate per scopi diversi dalla prevenzione epidemiologica, di controllo sociale, discriminazione e condizionamento dei comportamenti. L’esperto di AgID Corrado Giustozzi – intervenendo al convegno organizzato dall’Università degli studi di Perugia il 15 maggio scorso, con la relazione del Presidente dell’Autorità Garante Antonello Soro – ha significativamente fatto notare che non è questione solo di privacy: è necessario altresì evitare che un soggetto ostile, come un’organizzazione attivista o terrorista, o un Paese avversario, possa riuscire ad inoculare nel sistema false informazioni riguardanti lo stato di positività dei soggetti coinvolti, costringendo alla quarantena tutto lo Stato con conseguenti danni irreparabili all’economia, o generando falsi negativi, che provocherebbero il dilagare incontrollato della pandemia.

Prende dunque il via una fase di “rodaggio” del sistema Immuni, registrando senz’altro il risultato di aver volta scongiurato il proliferare di innumerevoli micro-progetti di contact tracing a livello locale, ma la partita è ancora tutt’altro che chiusa, in ragione di una opportunamente attenta autorizzazione del Garante, della quale è fondamentale che siano rispettate le prescrizioni, a vantaggio non solo dell’utilità del sistema, quanto, soprattutto, delle libertà fondamentali di tutti.