L’app Immuni deve restare volontaria. E in particolare anche in caso di positività del tampone, l’avvio del sistema di tracciamento dei contatti sia comunque subordinato a una scelta volontaria del soggetto, che dovrà fornire all’operatore sanitario la propria OTP per consentire appunto al sistema di inviare gli alert ai potenziali contagiati.
In questo modo il nuovo Garante Privacy prende posizione, confermando quella del suo predecessore, in merito al contact tracing.
La posizione del Garante Privacy su Immuni
È stata la richiesta di un parere pervenuta da parte della Commissione 1a (Affari Costituzionali) del Senato della Repubblica in merito al Ddl di conversione del decreto-legge 7 ottobre 2020, n. 125 a permettere al Presidente dell’Autorità Garante della Protezione dei Dati Personali, Pasquale Stanzione – da poche settimane subentrato nell’incarico già di Antonello Soro- di prendere posizione in merito.
In questo senso, il documento da poco pubblicato sul sito ufficiale del Garante dedica tutta la prima parte a ripercorrere l’intera cronologia di provvedimenti governativi e dell’Autorità stessa, resisi da Aprile 2020 necessari nell’ottica dell’adozione del sistema nazionale di tracciamento dei contatti.
Stanzione, nelle prime righe dalla sua memoria, riprende nel dettaglio ogni singolo step, dalle valutazioni di impatto, alla necessaria base giuridica fondata sulla necessità di una apposita norma nazionale, e giunge di fatto a fornire un parere positivo su quanto sin qui effettuato.
Tale profilo non è stato modificato dal DPCM del 18 ottobre, che si limita a intervenire sugli adempimenti degli operatori sanitari. Il Garante di fatto così blocca sul nascere l’ipotesi – che era circolata in stanze di Governo – di rendere obbligatoria l’app. Obbligatorio con il decreto è solo l’inserimento dei dati dell’utente positivo da parte di Asl, Usl, Ats.
Questo tassello ulteriore della disciplina rappresenta il completamento e la garanzia finale della effettiva volontarietà del sistema di contact tracing digitale, l’adesione al quale esprime, in ogni sua fase e in ogni sua conseguenza, una scelta libera del singolo, con espressa esclusione normativa di ogni possibile pregiudizio in caso di mancata adesione al sistema stesso. Volontarietà che, tuttavia, non riguarda gli operatori sanitari, tenuti invece (anche in base alle recenti modifiche) a caricare i dati dei contagi nell’apposito sistema nazionale.
Sul punto, ricorda Stanzione, è peraltro tuttora in corso l’istruttoria relativa ad alcuni casi, riportati da notizie di stampa, relativi all’omessa attivazione, da parte di alcuni ospedali, della procedura di caricamento delle Tek dei soggetti risultati positivi al Covid-19 prevista dal sistema di allerta. A superare queste omissioni mira, evidentemente, la previsione del dPCM del 18 ottobre relativa agli adempimenti degli operatori sanitari rispetto a pazienti i quali dispongano dell’app Immuni.
Valutazione d’impatto di Immuni, i punti ancora irrisolti
Il Garante scrive anche che il ministero della Salute ha risposto nei tempi previsti ai dodici rilievi che quello aveva segnalato a giugno quando aveva dato l’assenso all’applicazione. Si smentisce così la voce – riportata in un’interrogazione parlamentare recente dei Fratelli d’Italia – secondo cui non c’era stata risposta.
Dal documento di ieri si apprende anche però che solo i primi otto punti sono stati in effetti attuati dal ministero. Gli ultimi quattro ancora no e sono in corso interlocuzioni tra ministero e Garante per risolvere le difficoltà relative a questi punti.
Eccoli:
– integrazione, sulla base del principio di responsabilizzazione, della valutazione d’impatto con la descrizione del ruolo e delle operazioni ascrivibili ad altri soggetti suscettibili di coinvolgimento nel Sistema Immuni;
– commisurazione dei tempi di conservazione degli indirizzi ip nella misura strettamente necessaria al rilevamento di anomalie e di attacchi;
– garanzia del tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati;
– adozione di misure tecniche e organizzative per mitigare i rischi derivanti dall’upload di TEK non riferite a soggetti positivi a seguito di eventuali errori materiali o diagnostici.
Dal Garante Privacy fanno sapere tuttavia che questi punti sono secondari e la loro non attuazione non costituisce un problema riguardo alla legittimità privacy dell’app.
Nel frattempo è anche arrivata la valutazione d’impatto aggiornata con l’internazionalità dell’app (vedere qui di seguito).
A.L.
Privacy e interoperatività internazionale di Immuni
Nella seconda parte della memoria il Garante entra poi nel vivo del decreto-legge 7 ottobre 2020, n. 125 ed affronta le due principali modifiche.
La prima riguarda l’interoperatività del sistema Immuni con tutti gli altri sistemi di contact tracing nazionali europei.
L’interoperabilità dei sistemi di allerta tra le varie nazioni europee, rappresenta secondo il Garante una misura funzionale tanto al rafforzamento delle attività di contenimento dei contagi – in quanto consente di ricostruire la filiera dei contatti anche in caso di mobilità intraeuropea del soggetto – quanto alla libertà di circolazione dei cittadini nel territorio dell’Unione.
Tale caratteristica dei sistemi è stata peraltro raffigurata sin dallo scorso aprile con la raccomandazione (C(2020)2296), nonché con gli orientamenti per l’interoperabilità transfrontaliera delle applicazioni di tracciamento nell’Unione e con la decisione di esecuzione (UE) 2020/1023 della Commissione, del 15 luglio scorso. Decisione, quest’ultima, che costituisce la base giuridica che legittima appunto, in ambito europeo, l’interoperabilità delle applicazioni mobili nazionali di tracciamento dei contatti e di allerta (cosiddetto gateway federativo), con riferimento agli Stati membri i quali abbiano aderito a questa forma di collaborazione specifica.
Viene quindi visto positivamente questo approccio sovranazionale volto alla ricerca dei contagi, come positivo è il parere relativo alla necessità di agganciare la legittimità di tali sistemi al persistere della pandemia prevedendo comunque un termine ultimo, il 31.12.2021 oltre il quale, in ogni caso, Immuni non potrà essere più utilizzata.
In conclusione
Insomma, è per noi cittadini apprezzabile la ricerca di completezza manifestata dal garante in questo documento anche se, purtroppo, alcuni punti (forse i più delicati) restano senza risposta. Uno su tutti, quello relativo alla scelta di affidare l’intero funzionamento del contact tracing nazionale alla API di Google ed Apple la quale, come noto, essendo sistema proprietario (“chiuso”) manifesta evidenti problemi di trasparenza e di funzionalità già altrove evidenziati.
Di fatto, la nostra nazione ha affidato la gestione di un tassello sanitario, su milioni di italiani, a due corporation e su questo aspetto, ancora una volta, nonostante le mire di completezza che emergono dalla memoria del Garante, non riceviamo le dovute risposte.
