03 Giu Garante Privacy: l’Autorità autorizza il Ministero della salute all’utilizzo dell’app “Immuni”
In seguito alla consultazione preventiva rivolta all’Autorità ai sensi dell’art. 36 par. 5 del GDPR e dell’art. 2-quinquiesdecies del Codice Privacy, il Ministero della salute è stato autorizzato ad avviare il trattamento di dati personali relativo al “Sistema di allerta Covid-19” tramite l’applicazione Immuni, istituito dall’art. 6 del D.L. 30 aprile 2020, n. 28.
Sulla base della valutazione d’impatto trasmessa dal Ministero, l’Autorità ha ritenuto che l’app comporta il trattamento dei dati necessari, come previsto dal Legislatore, da un lato, per il tracciamento dei contatti al fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi (es: TEK, RPI, data di inizio dei sintomi per persone positive al tampone, avvenuta ricezione della notifica di esposizione) e, dall’altro, per fini di sanità pubblica, contribuendo, nel contempo, a migliorare il funzionamento del sistema di allerta degli interessati. A ciò si aggiunga, sempre a parere dell’Autorità, che il Ministero ha adottato appropriate misure sotto il profilo tecnico-tecnologico, ragion per cui ha rilevato che nulla osta al suo utilizzo nel rispetto delle misure e dei principi non solo contenuti nell’art. 6 del D.L. 28/2020 citato, ma anche delle Linee Guida 4/2020 dell’EDPB sull’utilizzo dei dati di geo-localizzazione e di dispositivi di contact tracing nel contesto epidemiologico legato al COVID-19.
Ad ogni modo, tenuto conto della complessità del sistema, del numero dei soggetti potenzialmente coinvolti e di alcune carenze sotto il profilo tecnico-organizzativo, il Garante ha ritenuto opportuno indicare una serie di raccomandazioni volte a rafforzare la sicurezza dei trattamenti e, per l’effetto, dei dati degli utenti che utilizzeranno l’app.
Tra queste, in particolare, l’obbligo di: (i) informare adeguatamente gli utenti sul funzionamento dell’algoritmo di calcolo utilizzato dall’app per la valutazione del rischio di esposizione al contagio, sul fatto che le notifiche ricevute potrebbero non riflettere un’effettiva esposizione al rischio di contagio (c.d. “falsi positivi”) e sulla possibilità di disattivarla temporaneamente; (ii) dedicare particolare attenzione all’informativa anche attraverso la descrizione delle operazioni effettuate; (iii) individuare modalità adeguate a proteggere i dati, evitando ogni forma di ri-associazione a soggetti identificabili e adottando idonee misure di sicurezza e tecniche di anonimizzazione, da individuarsi in ragione delle finalità in concreto perseguite; (iv) introdurre misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi; (v) commisurare i tempi di conservazione degli indirizzi IP degli utenti nella misura strettamente necessaria al rilevamento di anomalie e di attacchi; (vi) adottare misure tecniche e organizzative per mitigare i rischi derivanti da eventuali falsi positivi.
Il provvedimento è accessibile qui