Category Archives: Security

IL TRACCIAMENTO DEI SOGGETTI AFFETTI DA COVID-19

di Pier Vittorio Romano

 

Il Consiglio dei Ministri n.43 del 30 aprile 2020, su proposta del Presidente Giuseppe Conte e del Ministro della giustizia Alfonso Bonafede, ha approvato un decreto legge che introduce, tra le misure urgenti, le disposizioni in materia di tutela dei dati personali nel tracciamento dei contatti e dei contagi da COVID-19.
Il decreto interviene in materia di prevenzione dei contagi da Covid-19. Al solo fine di allertare le persone che siano entrate in contatto con soggetti risultati positivi al nuovo coronavirus e tutelarne la salute attraverso le previste misure di profilassi legate all’emergenza sanitaria, il testo prevede che, presso il Ministero della Salute, sia istituita una piattaforma per il tracciamento dei “contatti stretti” tra i soggetti che installino, su base volontaria, un’apposita applicazione per dispositivi di telefonia mobile escludendo che ci possano essere forme di imposizione di fatto sull’installazione dell’app, obbligandone l’uso, ad esempio, per poter superare le limitazioni di mobilità  della fase 2, ma risulta ovvio che l’efficacia su baserà  sul numero di persone che la installeranno ed utilizzeranno, si stima almeno il 60%, ed è probabile l’utilizzo verrà  incentivato, ad esempio con la partecipazione a delle lotterie. Viene nel contempo stabilito che l’applicazione sarà  complementare rispetto alle ordinarie modalità  già  in uso da parte del Servizio Sanitario Nazionale.
“Immuni” è il nome dell’app scelta dal Governo italiano per tracciare i movimenti delle persone nell’emergenza Coronavirus a partire dalla “fase 2″, il cosiddetto “contact tracing”. Il Commissario straordinario Domenico Arcuri ha firmato lo scorso 16 aprile l’ordinanza con cui dispone di procedere “alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società  Bending Spoons Spa” che è stata scelta tra le 319 proposte giunte al Ministero dell’Innovazione.
Secondo la Commissione Europea, le app sviluppate a sostegno del contrasto della diffusione del virus devono avere le seguenti caratteristiche: capacità  di dare informazioni precise e aggiornate sulla diffusione del virus, avere delle funzioni di controllo dei sintomi, dare la possibilità  di avvisare tempestivamente le persone che si sono trovate in prossimità  di un contagiato al fine di adottare le misure precauzionali in tempi rapidi ed offrire un canale di comunicazione tra pazienti e medici nelle situazioni di autoisolamento.
Si ritiene che lo stato di emergenza provocato dalla pandemia da Covid-19 sia tale da far ritenere applicabili quelle deroghe che permettono di limitare alcuni diritti individuali in nome dell’interesse collettivo alla salute pubblica. In tale ottica è stato ristretto il diritto alla libera circolazione previsto dall’art. 16 Costituzione e quello alla libertà  di riunione previsto dal successivo articolo 17. E’ stato possibile derogare anche al divieto di trattamento dei dati sanitari previsto dall’art. 9 GDPR (Reg. UE 679/2016), che al paragrafo 2, lett. i, prevede il caso in cui il trattamento è  necessario “per motivi di interesse pubblico nel settore della sanità  pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità  e sicurezza dell’assistenza sanitaria“.
Il Ministero della Salute, in particolare, dovrà  adottare misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà  degli interessati, sentito il Garante per la protezione dei dati personali, assicurando, in particolare, che gli utenti ricevano, prima dell’attivazione dell’applicazione, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità  e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati.
L’applicazione, per impostazione predefinita, dovrà  raccogliere solo i dati personali raccolti esclusivamente necessari ad avvisare gli utenti dell’applicazione che rientrano tra i contatti stretti di altri utenti accertati positivi al COVID- 19, nonché agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti. Tale trattamento dovrà  essere basato solo sui dati di prossimità  dei dispositivi, resi anonimi, oppure, ove ciò non sia possibile, pseudonimizzati, escludendo in modo assoluto la geo-localizzazione dei singoli utenti, in modo da garantire, su base permanente, la riservatezza, l’integrità , la disponibilità  e la resilienza dei sistemi e dei servizi di trattamento nonchà misure adeguate ad evitare il rischio di re-identificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento.
I dati relativi ai contatti stretti saranno conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della Salute, venendo cancellati, in modo automatico, alla scadenza del termine.
E’ stato espressamente previsto che i dati raccolti non potranno essere trattati per finalità  diverse da quella specificate, salva la possibilità  di utilizzo, in forma aggregata o comunque anonima, per la sola finalità  di sanità  pubblica, profilassi, statistica o di ricerca scientifica.
La piattaforma sarà  realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o società  a totale partecipazione pubblica. L’utilizzo dell’applicazione e della piattaforma, nonché ogni trattamento di dati personali, saranno interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati saranno cancellati o resi definitivamente anonimi.