App Immuni, via libera dal Garante della privacy.

By in
106

Il 1° giugno 2020 il Garante della Privacy ha concesso l’autorizzazione all’utilizzo della app immuni, sciogliendo molti dubbi circolati in questi mesi sulla protezione del trattamento dei dati di salute dei cittadini italiani che la utilizzeranno.

L’utilizzo della app sarà solo su base volontaria, ed il suo funzionamento si avvarrà di un’unica piattaforma nazionale di titolarità pubblica che si appoggia su infrastrutture situate esclusivamente in territorio italiano. Il trattamento dei dati dovrà garantire l’assoluto anonimato degli utenti e potrà avvenire esclusivamente per le finalità indicate dalla legge.  La scelta di non utilizzare la app è dunque libera e non comporta restrizioni alla libertà di circolazione dei cittadini.

Il titolare del trattamento dei dati personali è il Ministero della Salute, onerato di elaborare una valutazione di impatto sulla privacy della predetta app, previo parere del Garante della Privacy, in conformità all’art. 35 del GDPR.

Pur essendo positivo, il parere è però accompagnato dal rilievo di alcune criticità e vulnerabilità del sistema e dall’indicazione delle necessarie prescrizioni che il Ministero della Salute dovrà soddisfare nei prossimi 30 giorni.

La app immuni è basata su un sistema c.d. di “contact tracing”, ovvero di tracciamento digitale dei contatti tra persone, finalizzato ad allertare gli utilizzatori di essere entrati in contatto con persona affetta da Covid 19.

L’applicazione, scaricabile su dispositivo mobile, utilizza la tecnologia bluetooth per rilevare i contatti tra i dispositivi degli utilizzatori e si appoggia su un sistema di notifica dell’esposizione al contagio compatibile tanto con i sistemi operativi iOS che con Android.

L’utente può scaricare l’applicazione, senza effettuare alcuna registrazione con i propri dati, e senza dover creare un account personale di identificazione. I soli dati da indicare sono quelli relativi all’età (superiore a 14 anni) ed alla provincia di domicilio (liberamente modificabile in caso di mutamento). Dopodiché occorre autorizzare l’applicazione a fornire le notifiche di esposizione al Covid 19 e attivare il Bluetooth. Solo per i sistemi Android è richiesto anche di autorizzare la geolocalizzazione, necessaria a tale sistema operativo per rilevare la prossimità di altri device tramite Bluetooth.

La app genera poi algoritmi protetti dalla crittografia che danno luogo a una chiave temporanea associata al dispositivo, chiave (denominata TEK temporary exposure key) che cambia giornalmente. La chiave dell’utente, ogni 10 minuti, genera un identificativo di prossimità del dispositivo mobile (RPI Rolling Proximity Identifier) con altri utenti.

Nel caso in cui un soggetto risulti positivo al Covid ed abbia installato la app, potrà acconsentire a rendere disponibile l’elenco delle proprie TEK degli ultimi 14 giorni al fine di attivare l’allerta sui dispositivi che sono entrati in contatto col suo. Con tale autorizzazione, la app trasmette al sistema l’informazione sanitaria del contagio e anche ulteriori informazioni di interesse per l’indagine epidemiologica (analytics di tipo Epidemiologico), quali la provincia di domicilio dell’utilizzatore, il numero di contatti che ha avuto, la durata dei contatti a rischio. Per ciascun contatto la app elabora la data in cui è avvenuto, la durata del contatto, l’intensità del segnale bluetooth durante il tempo del contatto, il rischio di contagiosità dell’utente e l’indice di rischio di contagio.

Il Garante della Privacy ha esaminato il rispetto del meccanismo di funzionamento di Immuni in relazione ai requisiti normativi previsti dall’art. 6 D.l. 28 del 30 aprile 2020 di:

  • volontarietà dell’utilizzo della app;
  • rispetto delle finalità del trattamento dati previste dalla legge;
  • assoluto anonimato dei dati;

Il complessivo giudizio trasmesso nella nota del Garante che accompagna il provvedimento di autorizzazione, è positivo in ordine alla sufficiente tutela dei diritti e delle libertà degli interessati, ed alla proporzionalità delle misure previste in relazione ai rischi connessi al trattamento dei dati personali.

Tuttavia il Garante non manca di individuare specifici profili di criticità della valutazione di impatto del Ministero, invitando a migliorare alcuni aspetti.

  • Si registrano perplessità in merito ai criteri di elaborazione dell’algoritmo messo a disposizione da Google e da Apple per l’elaborazione del rischio di contagio. Tali criteri che ad oggi non sono chiaramente conoscibili, devono essere messi a disposizione della comunità scientifica per un giudizio sulla loro attendibilità. L’intensità del segnale bluetooth, osserva il Garante, può infatti condurre a falsi positivi, perchè ad esempio può variare in caso di diverso orientamento dei dispositivi mobili oppure perchè potrebbe non rilevare la presenza di muri e pareti tra gli utenti. L’intensità del segnale bluetooth potrebbe quindi non coincidere necessariamente con l’identificazione di un contatto stretto a rischio di contagio, finendo per causare il moltiplicarsi di falsi positivi, e ingenerando sfiducia nell’utilizzo dell’applicazione. Pertanto il Garante invita il Ministero della Salute ad indicare e rendere conoscibile l’algoritmo ed i criteri epidemiologici ed in modelli probabilistici alla base, nonché chiede che siano adeguatamente informati gli utenti del rischio di notifiche che si rivelino poi dei falsi positivi.
  • Deve essere poi assicurata la possibilità di disattivare temporaneamente la app, in quanto la volontarietà prevista dalla legge deve essere rispettata in ogni singola fase: il download della app, il suo utilizzo, la configurazione, l’attivazione del Bluetooth, etc…
  • Il Garante sottolinea anche l’opportunità che gli strumenti di identificazione dei dispositivi, oggi forniti solo da Apple, siano realizzati senza il coinvolgimento di terze parti nel trattamento dei dati. Ove ciò non sia possibile, è necessario rendere chiaro agli utenti che i dati forniti ad Apple (ed eventualmente in futuro a Google) saranno solo quelli necessari a rendere affidabile il funzionamento della app.
  • L’informativa resa agli utenti sul trattamento dei dati, deve essere trasparente, utilizzando anche icone standardizzate, e linguaggio chiaro, che renda comprensibile, prima dell’attivazione dell’applicazione, la modalità e la finalità dell’utilizzo dei dati.
  • Inoltre, deve essere evidenziato nell’informativa, che proprio per garantire l’anonimato dei dati, non si potrà procedere alla loro rettifica, alla portabilità, o al diritto di accesso (facoltà queste previste dal GDPR), ma sarà possibile solamente esercitare il diritto di opposizione (art. 21) al trattamento dei dati, attraverso la disinstallazione della app, che ne determina la cancellazione.
  • Alla base del trattamento dei dati devono sempre essere rispettati i principi di minimizzazione dei dati e di limitazione della conservazione. Per questo motivo il Garante raccomanda che i dati personali, acquisiti esclusivamente per le finalità previste dalla legge che istituisce la app, siano cancellati automaticamente dal sistema quando sarà cessata l’emergenza coronavirus, e comunque al più tardi al 31.12.2020. Le chiavi criptate (TEK) generate giornalmente dal dispositivo e gli identificativi di prossimità (RPI) degli utenti con cui si entra in contatto dovranno essere cancellati automaticamente dopo 14 giorni. Anche le chiavi criptate (TEK) dei soggetti risultati positivi al coronavirus e che sono state comunicate al sistema Immuni dopo la diagnosi, dovranno essere cancellate dopo 14 giorni.

Il Garante non manca di rilevare, facendo propri molti dubbi già espressi in questi giorni dagli esperti di digitale, che deve essere meglio chiarito il ruolo dei soggetti coinvolti nel trattamento dati.

Se infatti è noto che il titolare del trattamento dei dati è solo il Ministero della Salute, che può avvalersi di Sogei s.p.a e del Ministero dell’economia e delle finanze in veste di responsabili del trattamento, resta ancora vago il ruolo di Bending Spoons Spa, la società che ha realizzato e cede al Ministero l’Applicazione Immuni, e il ruolo di Apple e di Google, che forniscono la tecnologia del sistema su cui transitano i dati della app.

Gli utenti devono inoltre esser consapevoli delle possibili vulnerabilità del sistema.

Il Garante ripercorre alcuni dei possibili rischi per la privacy degli utenti:

  • il sistema Bluetooth potrebbe essere soggetto all’azione di malware finalizzati a captare in modo fraudolento le informazioni di contatto tra gli utenti, le catene di contagio, o i soggetti positivi al Coronavirus.
  • Apparati di scansione (sniffer) potrebbero intercettare i dati di contatto (RPI);
  • La riservatezza dei soggetti risultati positivi al Covid potrebbe venire compromessa da sistemi di re-identificazione. Tra questi il Garante segnala la tecnica del “paparazzi attack”, che consiste nel tentativo di identificazione del soggetto, quando si trova in prossimità dei luoghi del proprio domicilio o quando in un negozio paga con la propria carta di credito, e comunque in tutti quei casi in cui al dispositivo connesso al bluetooth sia possibile associare qualche ulteriore informazione personale aggiuntiva.

Questi comportamenti costituiscono illeciti, anche penalmente sanzionabili.

Rispetto a questi specifici rischi, il Ministero della Salute ha già adottato forti contromisure, (quali la crittografia delle chiavi private e degli identificativi di prossimità, oppure la generazione di dati fittizi (dummy) che consentano di limitare la possibilità di identificare un soggetto).

Tuttavia il Garante prescrive anche di limitare al massimo i tempi di conservazione degli indirizzi IP dei dispositivi, da considerare come dati personali perchè consentono di risalire all’identificazione dell’utente.

Si prescrive anche l’adozione di misure di tracciamento delle operazioni che gli amministratori del sistema esercitano sui sistemi operativi, sulla rete e sulle raccolte dati.

Infine, ulteriore vulnus nel corretto funzionamento del sistema di prevenzione, può provenire dal rischio che il sistema carichi e trasmetta le TEK di un soggetto ritenuto per positivo per un errore di diagnosi o per un errore materiale, allarmando inutilmente del rischio di contagio tutti i suoi contatti. Errori di questo tipo comprometterebbero la credibilità e la fiducia nel funzionamento della app, disincentivandone l’utilizzo, e compromettendone l’efficacia di prevenzione. A tal fine il Garante raccomanda al Ministero della Salute l’adozione di apposite misure volte a mitigare le conseguenze di tali possibili errori.

In attesa che il Ministero adotti le ulteriori prescrizioni indicate dal Garante, la App potrà iniziare la sua fase sperimentale, anche se sono molti i dubbi e le perplessità che restano sull’efficacia del suo funzionamento nel prevenire una nuova ondata di contagi. E’ noto infatti che il successo della prevenzione del contagio tramite app dipende dall’alto numero dei suoi utilizzatori. Per ottenere questo risultato la fase sperimentale dovrà essere improntata alla vigilanza sui possibili errori di funzionamento ed alla conquista della fiducia degli utenti, con la massima protezione della loro privacy da ogni illecito attacco e da ogni indebita intromissione.

Leave a reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *