Rilevanti aspetti tecnici nella memoria del Garante Privacy sulla continuità operativa del “sistema di allerta COVID-19”
Nella Memoria alla Commissione I del Senato italiano (Affari costituzionali) di ottobre il Presidente dell’Autorità Garante[1] inizia col ringraziare per la possibilità di evidenziare alcuni profili di particolare interesse nel “tracciamento dei contatti” (contact tracing)[2] attuato attraverso il sistema di allerta nazionale di cui al Decreto- Legge n. 28/2020 emanata con modificazioni dalla legge n.70/2020[3].
Il tracciamento digitale dei contatti, sviluppato in Italia attraverso l’app “Immuni”[4], indubbiamente rappresenta[5] un tema determinante nella gestione dell’emergenza, espressivo come pochi altri del delicato equilibrio tra libertà individuali e interessi collettivi che appare come il tema più rilevante nel contesto pandemico.
Sono in gioco due diritti fondamentali: il primo è quello alla salute – anche nella sua componente meta-individuale di “interesse collettivo” rispetto alla salute pubblica – e il secondo è quello alla protezione dei dati personali, qualificato come diritto “di libertà”, indipendente dal tradizionale diritto al rispetto della vita privata, dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea[6]: poiché non si possono configurare gerarchie ‘tiranniche’ tra i diritti fondamentali (Corte costituzionale, sentenza 85/2013), anche fra quelli sopra indicati si richiede un equilibrio tale da salvaguardarne il contenuto essenziale, che la stessa Carta (all’art. 52) qualifica come inviolabile.
Il perseguimento di questo equilibrio ha costituito uno dei tratti distintivi delle posizioni assunte dall’Autorità, con riguardo ai vari provvedimenti adottati in questi mesi per contrastare la pandemia: da quelli relativi alla circolazione dei dati personali, anche sanitari, tra i soggetti coinvolti nell’azione di prevenzione fino, appunto, al sistema di tracciamento digitale dei contatti disciplinato dall’art. 6 del d.l. 28, che è stato modellato by design sulle indicazioni fornite dal Garante, sin dall’audizione dell’8 aprile[7] nella IX Commissione della Camera dei Deputati (Trasporti, Poste, Telecomunicazioni).
Nel relativo resoconto, si legge che “la selezione della categoria di dati più efficace influisce anche sulla valutazione complessiva della proporzionalità, poiché una maggiore selettività riduce l’invadenza della misura data a quanto strettamente necessario e produce effetti socialmente significativi in termini di protezione della salute degli individui e della comunità nel suo insieme”. Venivano indicati i parametri essenziali di legittimità degli strumenti di tracciamento dei contatti, individuabili primariamente nella funzionalizzazione a fini di utilità sociale (contenimento delle infezioni), piuttosto che a fini repressivi-sanzionatori, nella necessaria parzialità – poiché tali soluzioni vanno sempre integrate in una più ampia e complessa strategia di prevenzione sanitaria – nonché nel rispetto delle norme sulla protezione dei dati come condizione indispensabile per la necessaria fiducia sociale in simili misure.
Il Garante aveva, quindi, sottolineato la necessità che il sistema di tracciamento dei contatti fosse regolamentato per legge, per l’impatto sulla privacy individuale e la necessità di un modello unitario in grado di assorbire (anche in ragione dell’attribuzione della materia al potere legislativo statale) iniziative degli enti territoriali che all’epoca potevano risultare potenzialmente disfunzionali. Il sistema, pubblico nella titolarità, avrebbe dovuto essere basato su un’adesione volontaria (escludendo quindi ogni tipo di pregiudizio nei confronti di chi non intendesse parteciparvi), basato su dati non di geolocalizzazione ma di mera “prossimità” dei dispositivi (molto meno significativi e “invasivi”), almeno pseudonimizzati, su un meccanismo di archiviazione delle informazioni delocalizzato, nonché su solide garanzie di cybersecurity. Veniva inoltre sottolineata la necessità di provvisorietà del sistema, da definire per relationem con riferimento alla persistenza della condizione di emergenza e alla necessaria limitazione della raccolta ai soli dati ed al solo periodo di conservazione indispensabile ai fini epidemiologici.
Nel parere (del 29 aprile)[8] sul progetto di provvedimento che sarebbe stato inserito nel decreto-legge 28/20 per la regolamentazione del sistema di tracciamento digitale dei contatti, è stata salutata con favore la scelta del governo a favore di un sistema di notifica dall’esposizione a contatti significativi con soggetti positivi, sulla base dell’adesione gratuita di chi scarica un’app specifica sul proprio dispositivo e su una piattaforma di allerta nazionale istituita presso il Ministero della Salute, con un forte grado di pseudonimizzazione dei dati, nonché divieto di comunicazione dei dati a terze parti.
Sono state inoltre valutate positivamente le misure previste dalla normativa per garantire la specificità e l’esclusività della finalità: il tracciamento deve essere finalizzato esclusivamente al contenimento delle infezioni, escluse ulteriori finalità, ferme restando le possibilità di utilizzo per finalità di ricerche scientifiche e statistiche, ma solo nei termini previsti dal Regolamento UE 2016/679, valorizzando anche in tal senso la destinazione solidale dei dati.
Infine, è stata condivisa la previsione della provvisorietà del sistema, con l’interruzione delle attività della piattaforma alla data di cessazione dello stato di emergenza e termine ultimo di salvaguardia, nonché con cancellazione o anonimizzazione definitiva dei dati raccolti.
Inoltre, con l’autorizzazione concessa sulla valutazione di impatto del 1° giugno[9], l’Autorità, avendo accolto favorevolmente la scelta a favore di un ‘sistema di gestione on-premise‘ per le notifiche di esposizione, ha indicato ulteriori misure volte a rafforzare le garanzie di trattamento anche dal punti di vista della cybersecurity, trasparenza e informazione degli utenti.
In particolare, devono essere messi a conoscenza di profili non secondari come il rischio di falsi positivi (o anche negativi), dato che il sistema non può distinguere tra contatti pericolosi perché verificatisi, ad esempio, in assenza di dispositivi di protezione e contatti, sebbene qualificati come rischiosi per durata e vicinanza, sicuri perché avvenuti all’aperto o in condizioni protettive. Va infatti ricordato che, tecnicamente, Immuni rappresenta un’app funzionale a un sistema di notifica rispetto alle esposizioni al rischio, che quindi non segue i movimenti, ma riconosce gli eventi (contatto qualificato e significativo, dal punto di vista epidemiologico)[10].
Si è inoltre riscontrato che, in caso di tampone positivo, l’avvio del sistema di tracciamento dei contatti è comunque subordinato a una scelta volontaria del soggetto, il quale deve fornire all’operatore sanitario la propria OTP per consentire al sistema di inviare segnalazioni a potenziali infetti. Questo profilo non è stato modificato dal Decreto del Presidente del Consiglio dei Ministri del 18 ottobre[11], che si limita a intervenire sugli obblighi degli operatori sanitari.
Questo ulteriore elemento della disciplina rappresenta il completamento e la garanzia finale dell’effettiva volontarietà del sistema di tracciamento digitale dei contatti, l’adesione al quale esprime, in ogni fase e in tutte le sue conseguenze, una libera – quanto responsabile – scelta del singolo, con l’espressa esclusione legislativa di ogni possibile pregiudizio in caso di mancata adesione al sistema stesso.
In dettaglio, ai fini della valutazione del rispetto delle prescrizioni formulate, con il provvedimento del 1 giugno l’Autorità ha richiesto al Ministero della Salute di fornire un riscontro, nei successivi trenta giorni, sui seguenti profili:
- precisa indicazione dell’algoritmo e dei parametri di configurazione utilizzati dal sistema;
- adeguata informazione agli utenti circa la possibilità (sopra menzionata) che, a causa delle particolari circostanze del contatto, la notifica di esposizione non rifletta una condizione di rischio reale[12];
- accessibilità della funzione di disattivazione temporanea dell’app;
- adeguata protezione degli analytics nel backend Immuni, evitando ogni forma di riassociazione con soggetti identificabili;
- chiarimento, nell’informativa, delle operazioni svolte con riferimento agli analytics di tipo Epidemiological Info e ai dati personali raccolti in relazione alle diverse categorie di interessati;
- adeguatezza delle informazioni e del messaggio di allerta anche con riferimento alla capacità di discernere gli utenti minorenni, anche ove di età superiore ai quattordici anni;
- adeguatezza delle informazioni fornite agli utenti rispetto alle caratteristiche della fase di test;
- integrazione della valutazione di impatto e delle informazioni in relazione alle modalità di esercizio dei diritti di cancellazione e di opposizione;
- integrazione, sulla base del principio di accountability, della valutazione di impatto con la descrizione del ruolo e delle operazioni riconducibili ad altri soggetti suscettibili di essere coinvolti nel ‘Sistema Immuni’;
- misurare i tempi di conservazione degli indirizzi IP nella misura strettamente necessaria alla rilevazione di anomalie e attacchi;
- garantire la tracciabilità delle operazioni effettuate dagli amministratori di sistema sui sistemi operativi, la rete e le banche dati;
- adozione di misure tecniche e organizzative per mitigare i rischi derivanti dal caricamento di TEK[13] non riferibili a soggetti positivi a seguito di eventuali errori materiali o diagnostici.
A seguito del feedback fornito in data 23 giugno, sono stati avviati incontri tra gli uffici volti ad individuare le migliori soluzioni – ancora all’esame dell’Autorità – ad alcune difficoltà emerse nell’adempimento, in particolare, dei requisiti di cui al quarto, nono, decimo, undicesimo e dodicesimo punto dell’elenco precedente. Nel frattempo, la necessità di garantire l’interoperabilità ha reso necessaria una nuova valutazione d’impatto, pervenuta all’Autorità il 16 ottobre.
È stata inoltre svolta dall’Ufficio un’analisi sui rischi – ventilati da notizie di stampa – di vulnerabilità del sistema rispetto ai cosiddetti “attacchi replay“, idonei a generare false notifiche di esposizione al rischio. Allo stato attuale, questa specifica vulnerabilità (e la conseguente necessità di ulteriori misure) non sembra essere riconoscibile, in quanto questo tipo di attacchi, ipotizzando il possesso illecito del dispositivo mobile e il conseguente cambio di configurazione, sarebbe imputabile a condotte penalmente illecite perpetrati nel contesto (che non sembra concepibile come rischio tipico o intrinseco del sistema) di una più ampia gamma di reati, anche contro la riservatezza informatica e delle comunicazioni, la fede pubblica, ecc.
Sono invece ancora in corso le indagini su alcuni casi, riportati da cronache di stampa, relativi alla mancata attivazione della procedura di caricamento Tek di soggetti risultati positivi al Covid-19 prevista dal sistema di alert. Per ovviare a queste omissioni sono evidentemente mirati gli obblighi elencati nel Decreto del Presidente del Consiglio dei Ministri del 18 ottobre per gli operatori sanitari rispetto ai pazienti che dispongono dell’app Immuni.
Da sottolineare, infine, che il Data Protection Report 2020, adottato questo mese dal Consiglio d’Europa, in merito alle soluzioni digitali per combattere la pandemia, riconosce il contributo positivo fornito dal Garante italiano nella procedura legislativa e più in generale nell’ambito dello sviluppo, da parte del Governo, di un sistema di tracciamento dei contatti basato su una sinergia e un giusto equilibrio tra salute pubblica e privacy.
Le novità del decreto legge
In questo contesto si inserisce l’articolo 2 del decreto-legge in conversione, che apporta due essenziali novità: la previsione dell’interoperabilità – previa valutazione di impatto privacy – del sistema di allerta nazionale con piattaforme operative, con le stesse finalità, nel territorio dell’Unione Europea (comma 1, punto a), nonché il posticipo del termine definitivo per l’utilizzo dell’applicazione e della piattaforma – in origine commisurato all’effettiva fine della dichiarazione dello stato di emergenza nazionale, comunque entro il 31 dicembre 2020 – fino alla cessazione delle esigenze di tutela e prevenzione della salute pubblica, individuate con Decreto del Presidente del Consiglio dei Ministri, e, comunque, entro il 31 dicembre 2021.
Come rilevato nella Relazione illustrativa del disegno di legge di conversione, la redazione della legge è stata preceduta dal parere del Garante reso seppur informalmente, al quale poi il Governo, nella bozza finale del provvedimento, si è conformato. In particolare è stata richiamata l’opportunità di verificare l’uniformità, rispetto a quelle concesse dal nostro sistema di allerta, delle garanzie assicurate dalle piattaforme utilizzate in altri Stati. È stata inoltre sottolineata la necessità di limitare ai soli necessari i dati scambiati, comunque in forma pseudonimizzata, relativi ad utenti risultati positivi al virus, con le piattaforme di altri Stati.
Infine, è emersa l’opportunità di integrare queste ulteriori garanzie nella specifica valutazione di impatto da sottoporre alla valutazione dell’Autorità, prima dell’inizio del trattamento.
Con riferimento, invece, alle modifiche originariamente proposte al regime di efficacia temporale dell’attività della piattaforma, è emersa la necessità di non scindere il termine definitivo dalla condizione di emergenza, a causa della deroga (e quindi eccezionale, appunto non ordinaria) della disciplina sulla ricerca dei contatti.
L’interoperabilità è la conseguenza coerente della progettazione del sistema di allerta nazionale come parte di una strategia europea di risposta alle pandemie. Questa caratteristica dei sistemi è stata infatti prefigurata dallo scorso aprile dalla Raccomandazione (C (2020) 2296) su un pacchetto di strumenti comuni dell’Unione europea per l’uso della tecnologia e dei dati, in cui la Commissione, al fine di raggiungere approccio comune alla pandemia, ha chiesto “l’interoperabilità in tutta l’Unione europea” dei sistemi di tracciamento[14].
Il 13 maggio gli Stati membri dell’UE, con il supporto della Commissione europea, hanno concordato, all’interno della rete eHealth, le linee guida per l’interoperabilità transfrontaliera delle applicazioni di tracciamento nell’Unione[15].
L’interoperabilità tra le piattaforme di tracciamento nel territorio dell’Unione europea è stata quindi oggetto della decisione di esecuzione (UE) 2020/1023 della Commissione del 15 luglio[16].
Tale decisione costituisce la base giuridica che legittima, nel contesto europeo, l’interoperabilità delle applicazioni nazionali di localizzazione e allerta dei contatti mobili (il cosiddetto “gateway federativo”), con riferimento agli Stati membri che hanno aderito a questa specifica forma di collaborazione.
L’interoperabilità dei sistemi di allerta rappresenta quindi, in questo senso, una misura funzionale sia al potenziamento delle attività di contenimento del contagio – in quanto consente di ricostruire la catena dei contatti anche in caso di mobilità intraeuropea del soggetto – sia alla libertà di circolazione dei cittadini nel territorio dell’Unione. Questo diritto (e, allo stesso tempo, il principio fondante dell’ordinamento giuridico europeo) rischia di essere estremamente pregiudicato dal contesto pandemico e, in questo modo, può essere salvaguardato in una certa misura.
L’impatto che l’interoperabilità dei sistemi di tracciamento inevitabilmente determina sulla protezione dei dati personali è, inoltre, adeguatamente bilanciato non solo dalla tendenziale analogia delle garanzie adottate dai Paesi membri su questo punto – in particolare a seguito della citata decisione di esecuzione – ma anche dalle prescrizioni che l’Autorità, nell’esaminare la valutazione di impatto, potrà fare per rafforzare i presidi almeno dal punto di vista interno.
Con riferimento, invece, alle modifiche di cui alla lettera b) del comma 1, la previsione del dies ad quem di operatività della piattaforma fino alla cessazione delle esigenze di tutela e prevenzione della salute pubblica, si conforma alla necessità, rappresentata dal Garante, di ancorare il termine di efficacia, seppur per relationem, alla persistente condizione pandemica.
In tal senso, la modifica apportata dal decreto-legge si conforma a tale modello, in quanto assume, tra i parametri a cui ancorare il funzionamento del sistema, quello sostanziale relativo alla persistenza delle esigenze di prevenzione sanitaria e quello, di natura formale-normativa, di individuazione dell’esistenza delle stesse esigenze con Decreto del Presidente del Consiglio dei Ministri. La garanzia di ultima istanza è poi affidata alla previsione, con clausola di salvaguardia, del termine finale di operatività del sistema al 31 dicembre 2021.
Il differimento del termine di efficacia del sistema si basa quindi su una doppia serie di criteri.
In primo luogo, vi sono esigenze di sanità pubblica legate alla necessità di ricostruire, anche digitalmente, la catena dei contatti, rispetto alla quale il Governo si assume la responsabilità di dichiararne l’esistenza con Decreto del Presidente del Consiglio dei Ministri.
In secondo luogo, la garanzia rispetto al rischio di “normalizzazione dell’emergenza” è affidata all’indicazione del termine del 31 dicembre 2021 entro il quale, di fatto, prescindendo da ragioni sostanziali, deve cessare l’attività del sistema di tracciamento.
In estrema sintesi, entrambe le modifiche apportate alla disciplina del tracciamento dei contatti sono ispirate a un ragionevole equilibrio tra esigenze di sanità pubblica e tutela dei dati personali, nella prospettiva di una convergenza tra istanze personalistiche e vocazione solidale volta, per dirla à la Mounier, «a una partecipazione attiva alla vita sociale, impegnandosi insieme nella denuncia di ciò che è negativo e nella partecipazione concreta alla vita e alla crescita di una ‘”comunità di persone”».
Note
[1] Cfr. la Memoria del Presidente del Garante per la protezione dei dati personali sul ddl di conversione in legge del decreto-legge 7 ottobre 2020, n. 125, recante misure urgenti connesse con la proroga della dichiarazione dello stato di emergenza epidemiologica da COVID-19 e per la continuità operativa del sistema di allerta COVID, nonché per l’attuazione della direttiva (UE) 2020/739 del 3 giugno 2020 – Commissione 1a (Affari Costituzionali) del Senato della Repubblica (19 ottobre 2020) in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/ 9468919.
[2] Cfr. il White Paper di Sergio Guida, Un Framework per il Contact Tracing in Italia tra esigenze scientifiche, possibilità tecnologiche e rispetto di Diritti e Libertà Individuali in termini di Data Protection, in European Journal of Privacy Law & Technologies, 16/09/2020, http://www.ejplt.tatodpr.eu/Tool/Evidenza/Single/ view_html?id_evidenza=62.
[3] Il testo del decreto-legge 30 aprile 2020, n. 28 (in Gazzetta Ufficiale – Serie generale – n. 111 del 30 aprile 2020), coordinato con la legge di conversione 25 giugno 2020, n. 70 (in questa stessa Gazzetta Ufficiale alla pag. 1), recante “Misure urgenti per la funzionalita’ dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19″. (20A03469) (GU Serie Generale n.162 del 29-06-2020) si trova al link https://www.gazzettaufficiale.it/eli/id/2020/06/29/20A03469/sg.
[4] Il sito web è https://www.immuni.italia.it/.
[5] Cfr. Simona Latte, Immuni: inquadramento e prime considerazioni ad un mese dal via in European Journal of Privacy Law & Technologies, 14/10/2020.
[6] Il testo aggiornato della Carta dei diritti fondamentali dell’Unione europea (2012/C 326/02) è disponibile al link https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:C2012/326/02&from=IT.
[7] Cfr. Audizione informale, in videoconferenza, del Presidente del Garante per la protezione dei dati personali sull’uso delle nuove tecnologie e della rete per contrastare l’emergenza epidemiologica da Coronavirus – Commissione IX (Trasporti, Poste e Telecomunicazioni) della Camera dei Deputati (8 aprile 2020) in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9308774.
[8] Cfr. Garante per la protezione dei dati personali, Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19 – 29 aprile 2020, Registro dei provvedimenti n. 79 del 29 aprile 2020 in https://www. garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9328050.
[9] Cfr. Garante per la protezione dei dati personali, Provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 – App Immuni – 1° giugno 2020 Registro dei provvedimenti n. 95 del 1° giugno 2020 in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9356568.
[10] Cfr. il White Paper di Sergio Guida, Un Framework per il Contact Tracing in Italia, cit., 16-17.
[11] Per i dettagli, si veda http://www.governo.it/it/articolo/coronavirus-il-presidente-conte-firma-il-dpcm-del-18-ottobre-2020/15457.
[12] Cfr. Simona Latte, Immuni: inquadramento e prime considerazioni ad un mese dal via in European Journal of Privacy Law & Technologies, 14/10/2020, cit, 3.
[13] Le chiavi di esposizione temporanea, o TEK, “sono chiavi anonime condivise tra dispositivi mobili per determinare se due dispositivi erano sufficientemente vicini da essere considerati ‘esposti’ l’uno all’altro. Quando un utente dell’applicazione conferma di essere stato esposto, le sue chiavi vengono condivise con il server in modo che le applicazioni possano essere scaricate e determinare se altri utenti hanno interagito con una delle chiavi ora esposte”, come si legge in Temporary Exposure Key (TEK) Publishing Guide | Exposure Notification Reference Key Server in https://google.github.io/exposure-notifications-server/getting-started/publishing-temporary-exposure-keys.html. Per un’ ampia trattazione si veda il White Paper di Sergio Guida, Un Framework per il Contact Tracing in Italia, cit., 19.
[14] Maggiori dettagli nel White Paper di Sergio Guida, Un Framework per il Contact Tracing in Italia, cit., 14-15.
[15] Cfr. eHealth Network, Interoperability guidelines for approved contact tracing mobile applications in the EU, Brussels, Belgium, 13 May 2020 al link https://ec.europa.eu/health/sites/health/files/ehealth/docs/ contacttracing_mobileapps_guidelines_en.pdf
[16] Il testo completo, Decisione di Esecuzione (UE) 2020/1023 della Commissione del 15 luglio 2020, che modifica la decisione di esecuzione (UE) 2019/1765 per quanto riguarda lo scambio transfrontaliero di dati tra applicazioni mobili nazionali di tracciamento dei contatti e di allerta nell’ambito della lotta alla pandemia di COVID-19, è al link https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32020D1023&from=EN.
Articolo a cura di Sergio Guida
Da economista aziendale, ha maturato esperienze direzionali in gruppi industriali diversi per settori, dimensioni e caratteristiche. Specializzato in pianificazione strategica e controllo di gestione, finanza, risk e project management, sistemi di gestione e rendicontazione integrativi (sociale, ambientale e intangible assets), è stato relatore in convegni e seminari e pubblica articoli di economia, finanza, digital transformation, data governance, public health, compliance & regulatory affairs.
Ha seguito percorsi multidisciplinari su Design Thinking, Human-Computer Interaction, Data protection & Privacy, Digital Health & Therapeutics. Business angel, segue con attenzione il mondo delle Startup.