Il Garante per la protezione dei dati personali ha autorizzato il Ministero della Salute, in quanto responsabile, ad avviare il trattamento dati necessario al funzionamento del sistema di allerta Covid 19 tramite l'applicazione Immuni, disponibile ora negli store online.

Il Ministero della Sanità ha trasmesso la valutazione d'impatto e sulla base di questa il Garante ha ritenuto proporzionato il trattamento dei dati personali. Nello specifico, nella nota diramata dal Garante e consultabile integralmente qui, si legge che "Il trattamento di dati personali effettuato nell’ambito del Sistema di allerta risulta legittimo e proporzionato in quanto siano rispettati i diritti e le libertà degli interessati e sia accompagnato anche da adeguate misure di prevenzione e diagnosi volte ad agevolare la presa in carico delle persone contagiate da parte del Sistema sanitario nazionale e la precoce individuazione di nuovi focolai di infezione. Ciò, assicurando, in particolare la trasparenza, la correttezza e la sicurezza in ogni fase del trattamento, in relazione ai rischi elevati che presenta per i diritti e le libertà degli interessati."

Il Garante rileva anche come siano state previste misure tecniche in sufficienti per garantire il rispetto dei diritti e delle libertà degli interessati: misure cioè che attenuano sufficientememente i rischi derivabili da questo trattamento. L'unico rilievo negativo del Garante rispetto alla valutazione d'impatto è che questa non chiarisce sufficientemente il ruolo di altri soggetti apertamente nominati o comunque potenzialmente coinvolti nel sistema:

"Nella valutazione d’impatto non è invece sufficientemente chiarito il ruolo di altri soggetti ivi nominati o che potrebbero essere coinvolti nel Sistema Immuni, quali la società che ha sviluppato l’applicazione (Bending Spoons S.p.a.), o le società Apple e Google. Relativamente a queste ultime, l’utilizzo del Framework A/G attribuisce loro un mero ruolo di fornitori di tecnologia (technology provider) senza implicare di per sé alcun trattamento di dati personali. Tale aspetto andrebbe precisato, in ossequio ai principi di trasparenza e responsabilizzazione."

Ritenendo comunque estremamente complesso il sistema di allerta e considerando l'enorme numero dei soggetti potenzialmente interessati, il Garante ha comunque ritenuto necessario dare una serie di indicazioni su ulteriori misure da adottare sopratutto per rafforzare la sicurezza dei dati di coloro che scaricheranno l'app: l'invito è ad adottare tali misure già in fase di sperimentazione del sistema (l'app infatti è disponibile per tutti, ma il sistema di tracciamento - allerta è attivo in fase sperimentale solo in alcune regioni), così da assicurarsi che il grosso delle criticità possa considerarsi risolto prima della fase attuativa vera e propria del sistema.

Tra le indicazioni del Garante troviamo:

• la richiesta che gli utenti siano informati adeguatamente sul funzionamento dell'algoritmo usato per valutare il rischio di esposizione al contagio;
• la necessità di informare gli utenti che il sistema potrebbe generare notifiche di esposizione che non sempre riflettono un'effettiva condizione di rischio;
• la possibilità per gli utenti di disattivare temporaneamente l'app tramite una funzione immediatamente e facilmente accessibile dalla schermata principale dell'app stessa;
• l'obbligo di trattare i dati raccolti solo ed esclusivamente per le finalità previste dalla norma che istituisce il sistema di tracciamento;
• la necessità di garantire la trasparenza del trattamento dei dati a fini statistici, assieme all'adozione di tutte le misure necessarie a garantirne la sicurezza, evitando sopratutto ogni forma di riassociazione a soggetti individuabili di dati che devono essere anonimizzati;
• la necessità di prevedere il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sui database dei dati.

Inoltre il Garante invita a conservare gli indirizzi IP dei telefono solo per il periodo di tempo strettamente necessario al rilevamento di anomalie o attacchi e ad adottare misure tecniche e organizzative che minimizzino i rischi conseguenti ai falsi positivi.

La nota sottolinea infine che il trattamento dei dati raccolti tramite app da parte di soggetti non autorizzati costistuisce trattamento illecito, con possibili conseguenze anche sotto il profilo penale.