App Immuni: come si tutela la privacy?

Con il decreto legge n. 28 del 30 aprile 2020 ( Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l'introduzione del sistema di allerta Covid-19), il Governo ha chiarito taluni aspetti ad oggi molto controversi riguardo l'applicazione dell'app Immuni, regolando le varie implicazioni dell'app con la tutela della privacy e con il trattamento dei dati.

L'app Immuni avrà il solo fine di allertare coloro i quali siano entrati in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione; essa, infatti, è stata ideata per il tracciamento della prossimità fra le persone, consentendo di ricostruire i contatti fra le persone nel recente passato, così permettendo alle autorità sanitarie di inviare un'allerta a chiunque abbia incontrato una persona risultata positiva al virus abbastanza a lungo e abbastanza vicino da essere in pericolo.

L'app ha due funzionalità: con dei segnali Bluetooth di prossimità fra due telefoni si provvede al tracciamento dei contatti e a segnalare l'allerta; il diario clinico consente alle autorità sanitarie di comprendere – inviando un questionario giornaliero alla persona che potrebbe essere stata contagiata, per essendosi avvicinata a un soggetto risultato positivo – lo stato di salute dell'utente e di comprendere se costui ha contratto il COVID-19.

L'app sarà su base assolutamente volontaria, senza che possa, comunque, determinarsi alcuna conseguenza pregiudizievole o disparità di trattamento con chi decida di non installare l'applicazione. 

Sarà garantita piena informazione e trasparenza sulle caratteristiche dell'app: ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679, gli utenti dovranno ricevere, prima dell'attivazione dell'applicazione, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati.

Il titolare del trattamento dei dati è il Ministero della salute,che si coordinerà con il Ministro per gli affari regionali e le autonomie,con i soggetti operanti nel Servizio nazionale della protezione civile, con l'Istituto superiore di sanità e, anche per il tramite del Sistema Tessera Sanitaria, con le strutture pubbliche e private accreditate che operano nell'ambito del Servizio sanitario nazionale.

Il Ministero della salute dovrà adottare tutte le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati.

A tal fine, si garantirà che:

- i dati personali raccolti dall'applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell'applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, nonché ad agevolare l'eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti;

- il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati; 

- sia esclusa in ogni caso la geolocalizzazione dei singoli utenti;

- siano garantite su base permanente la riservatezza, l'integrità, la disponibilità e la  resilienza dei servizi di trattamento nonché misure adeguate ad evitare il rischio di identificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento.

I dati relativi ai contatti stretti saranno conservati,anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata sarà stabilita dal Ministero della salute; i dati saranno cancellati in modo automatico alla scadenza del termine; in ogni caso, il trattamento dei dati personali sarà interrotto alla data di cessazione dello stato di emergenza e comunque non oltre il 31 dicembre 2020 (entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi).

I dati raccolti attraverso l'applicazione non potranno essere trattati per finalità diverse da quella di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica,conformemente a quanto previsto dal GDPR.