App IMMUNI: la privacy è in pericolo? Il garante per la protezione dei dati personali pubblica un provvedimento specifico sul tema.


L’app Immuni, disponibile da poche ore sugli store ufficiali PlayStore e AppStore, è già boom di download, superando i 500mila in un solo giorno.

È importante ricordare, però, che l’app sarà in sperimentazione, a partire dall’8 giugno, in sole quattro regioni: Abruzzo, Liguria, Marche e Puglia. “Dotarsi da adesso dell’app permetterà di risalire ai contatti che possono aver esposto una persona al rischio di contagio. I servizi sanitari regionali potranno gradualmente attivare gli avvisi dell’app“, specifica una nota congiunta dei ministeri di Salute, Innovazione e della presidenza del Consiglio.

Non mancano le polemiche circa il fatto che l’app non sia compatibile con tutti i modelli di smartphone (per Android, per esempio, è necessario avere un sistema operativo Android 6 o superiore) e non si è mai smesso di interrogarsi su come vengano effettivamente trattati i dati da quest’app:

  • Con quest’app possono tracciare i miei spostamenti?
  • È possibile sapere con chi ero in un determinato momento?
  • L’app può accedere alla mia rubrica telefonica?

La risposta è NO.

Per garantire che l’app venisse sviluppata preservando il più possibile la riservatezza degli utenti, il Garante per la protezione dei dati personali si è pronunciato sul tema più di una volta (sul tema vi sono stati diversi contributi anche dai garanti europei, non solo da quello italiano).

Il primo giugno 2020, infine, è stato pubblicato il “Provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 – App Immuni – 1° giugno 2020 [9356568]

 

Vediamo in sintesi il contenuto del provvedimento:

 

 

La descrizione del Sistema di allerta Covid-19

Il Sistema di allerta Covid-19, che rappresenta il sistema nazionale di tracciamento digitale dei contatti (contact tracing), è finalizzato al contrasto della diffusione del Covid-19 ed è complementare alle modalità ordinarie di tracciamento dei contatti già in uso nell’ambito del Servizio sanitario nazionale (SSN). Tale Sistema, denominato Immuni, è composto da un’applicazione (di seguito “app” o “app Immuni”) per dispositivi mobili; dai sistemi e dalle componenti tecnologiche e organizzative che ne permettono il funzionamento (di seguito “backend”), nonché da un servizio di interazione con gli operatori sanitari che utilizza il Sistema Tessera Sanitaria (di seguito “Sistema TS”).

Il Ministero della salute è titolare del trattamento dei dati personali raccolti nell’ambito del predetto Sistema e si avvale di Sogei S.p.a. e del Ministero dell’economia e delle finanze, limitatamente all’utilizzo del Sistema TS, che operano in qualità di responsabili del trattamento (art. 28 del Regolamento).

L’applicazione, istallata liberamente e volontariamente dagli interessati, consente di avvisare tempestivamente gli utenti di essere entrati in contatto stretto con un soggetto risultato positivo al Covid-19, fornendo raccomandazioni sul comportamento da assumere e invitandoli a consultare il proprio medico.

È prevista la raccolta di ulteriori dati dai dispositivi degli utenti (c.d. analytics) per fini di sanità pubblica, contribuendo, nel contempo, a migliorare il funzionamento del Sistema di allerta Covid-19.

 

La finalità

Il garante specifica che i dati potranno essere trattati al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza Covid-19” mediante una piattaforma unica nazionale “per la gestione del sistema di allerta dei soggetti che hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile”.

 

La valutazione d’impatto (DPIA)

Come richiesto dal Regolamento Europeo GDPR 2016/679, è stata condotta una valutazione d’impatto art. 35).

Il Ministero ha successivamente integrato la documentazione inviata, fornendo, in data 30 maggio 2020, il testo dell’informativa che si intende rendere agli interessati, ai sensi degli artt. 13 e 14 del Regolamento, in relazione al trattamento dei dati personali.

Nella predetta valutazione di impatto, corredata da ampia documentazione, sono state rappresentate le misure tecniche e organizzative adottate dal Ministero al fine di garantire, in particolare, un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati.

 

La tecnologia

L’app Immuni si basa sull’utilizzo della tecnologia Bluetooth Low Energy (BLE) e sul Framework di Exposure Notification realizzato da Apple e Google (di seguito “Framework A/G”), reso disponibile su dispositivi mobili con sistema iOS e Android, che include interfacce di programmazione delle applicazioni (API – Application Programming Interface) e tecnologie a livello di sistema operativo per consentire il tracciamento dei contatti, senza ricorrere alla geolocalizzazione dei dispositivi degli utenti.

 

Dove vengono salvati i dati

Vengono memorizzati all’interno del dispositivo, in un’area crittograficamente protetta, i dati relativi alle interazioni, avvenute con tecnologia bluetooth in modalità paritaria (peer-to-peer), con i dispositivi di altri utenti dell’app Immuni rilevati in sua prossimità.

L’app Immuni, per il suo funzionamento, non richiede l’identificazione dell’interessato attraverso la registrazione o la creazione di un account individuale dei propri utenti.

In tale fase preliminare (c.d. onboarding), all’utente viene richiesto di dichiarare di avere almeno 14 anni (età minima per accedere al servizio), di indicare la provincia di domicilio (che successivamente può essere modificata), nonché di concedere i permessi necessari al funzionamento dell’app (abilitazione delle notifiche di esposizione al Covid-19; visualizzazione, per i soli dispositivi iOS, delle notifiche locali generate dall’app; attivazione del bluetooth e, per i soli dispositivi Android, anche della geolocalizzazione che, pur non essendo utilizzata dall’app Immuni, è richiesta dal sistema operativo per poter rilevare i dispositivi bluetooth nelle vicinanze).

 

I codici identificativi

Una volta avviata l’app, viene viene generata, in modo casuale, mediante algoritmi crittografici, una chiave temporanea (composta da 128 bit) denominata TEK (Temporary Exposure Key) che varia con frequenza giornaliera. A partire da ogni TEK, ogni 10 minuti, viene generato un identificativo di prossimità del dispositivo mobile (composto da 128 bit), denominato RPI (Rolling Proximity Identifier).

Da ogni TEK possono essere generati 144 RPI a essa corrispondenti, mentre in presenza del solo RPI non è possibile risalire alla TEK da cui è stato generato.

Tali RPI vengono diffusi in modalità broadcast e sono ricevuti da altri dispositivi raggiungibili mediante interfaccia bluetooth, producendo di fatto, in caso di sufficiente prossimità, uno scambio reciproco di RPI tra i dispositivi su cui è installata l’app Immuni, registrandoli automaticamente nella loro memoria locale, unitamente ad altri dati accessori (metadati quali la data, la durata e la distanza del contatto). In tal modo, sul dispositivo di ogni utente sono memorizzate la lista delle proprie TEK (aggiornata quotidianamente) e la lista degli RPI dei dispositivi degli altri utenti con cui si è entrati in contatto. Le TEK e gli RPI sono automaticamente cancellati, dai dispositivi, trascorsi 14 giorni dalla loro memorizzazione.

 

Raccolta delle TEK dal dispositivo di un utente accertato positivo al Covid-19

In caso di esito positivo di un tampone, nell’ambito dell’indagine epidemiologica effettuata dall’operatore sanitario del Dipartimento di prevenzione della Azienda sanitaria locale competente, viene chiesto al paziente se abbia installato l’app Immuni. In tal caso, l’operatore chiederà allo stesso se voglia rendere disponibili le proprie TEK al fine di allertare del rischio di contagio gli utenti con cui è entrato in contatto stretto nei giorni precedenti la diagnosi o la manifestazione dei sintomi.

Qualora il paziente voglia procedere in tal senso, l’operatore sanitario richiede allo stesso di aprire l’app e di utilizzare la funzione di generazione del codice OTP (One Time Password), composto da 10 caratteri. Il paziente comunica tale codice OTP all’operatore sanitario e attende l’autorizzazione per effettuare il caricamento (c.d. upload) delle proprie TEK.

Le TEK degli utenti risultati positivi sono pubblicate per la messa a disposizione dell’app immuni, affinché possano essere scaricate automaticamente e periodicamente dagli utenti dell’app per consentire alla stessa di rilevare la ricorrenza di un eventuale contatto mediante il confronto con gli RPI salvati all’interno di ciascun dispositivo mobile.

A tal fine, il backend di Immuni genera periodicamente, a un intervallo regolare di 30 minuti, un file, firmato digitalmente, contenente l’insieme delle TEK (c.d. TEK Chunk) dei nuovi soggetti risultati positivi. Tale file viene pubblicato e reso disponibile attraverso una Content Delivery Network (CDN), ossia un insieme di server distribuiti geograficamente che consente di garantire lo scaricamento (download) del file da parte di numerosi utenti, fornito da una società, designata, a sua volta, responsabile del trattamento da Sogei. Tali file vengono automaticamente cancellati trascorsi 14 giorni dalla sua generazione.

 

Raffronto con gli RPI salvati nei dispositivi degli utenti

Una volta ricevute le TEK pubblicate dal sistema di backend, ciascun dispositivo su cui è installata l’app avvia il raffronto tra gli RPI ricavati dalle TEK scaricate e quelli, rilevati nei 14 giorni precedenti, memorizzati all’interno di ciascun dispositivo mobile, al fine di verificare la presenza di un contatto stretto con utenti accertati positivi al Covid-19 (match).

Tale raffronto viene effettuato a livello locale attraverso l’algoritmo messo a disposizione dal Framework A/G che sulla base di alcuni parametri quali la durata del contatto e la distanza tra i dispositivi su cui è installata l’app (rilevata mediante l’intensità del segnale bluetooth), calcola l’indice di rischio di contagio (Total Risk Score) per ogni eventuale contatto rilevato. Se tale indice di rischio supera una soglia predefinita, l’app mostra all’utente un messaggio di allerta sulla possibile esposizione al contagio (c.d. notifica di esposizione), per essere stato un contatto stretto di un soggetto accertato positivo al Covid-19 (“Il giorno TOT sei stato vicino a un caso COVID-19 positivo”). Il messaggio invita quindi l’utente ad adottare alcune regole di comportamento, nonché a contattare il proprio medico di medicina generale/pediatra di libera scelta, che a sua volta provvederà a contattare il Dipartimento di prevenzione della Azienda sanitaria locale territorialmente competente.

 

 

Le osservazioni del Garante

Nel testo del provvedimento, il Garante specifica che:Il trattamento di dati personali effettuato nell’ambito del Sistema di allerta risulta legittimo e proporzionato in quanto siano rispettati i diritti e le libertà degli interessati e sia accompagnato anche da adeguate misure di prevenzione e diagnosi volte ad agevolare la presa in carico delle persone contagiate da parte del Sistema sanitario nazionale e la precoce individuazione di nuovi focolai di infezione. Ciò, assicurando, in particolare la trasparenza, la correttezza e la sicurezza in ogni fase del trattamento, in relazione ai rischi elevati che presenta per i diritti e le libertà degli interessati.”

 

La tecnologia bluetooth e il rischio di “falsi positivi” e “falsi negativi”

Occorre considerare che la valutazione della distanza fra dispositivi è intrinsecamente suscettibile di errori in quanto l’intensità del segnale bluetooth dipende da fattori diversi come l’orientamento reciproco di due dispositivi o la presenza di ostacoli fra essi (compresa la presenza di corpi umani), potendo così rilevare “falsi positivi” e “falsi negativi”.

Peraltro, la mancata conoscenza del contesto in cui è avvenuto il contatto stretto con un caso accertato Covid-19 (dato certamente rilevante, invece, ai fini epidemiologici, anche in ragione dell’eventuale utilizzo di sistemi di protezione) è suscettibile di creare potenzialmente numerosi “falsi positivi”.

È importante infatti sottolineare che l’individuazione dei contatti a rischio è effettuata in modo probabilistico, al fine di allertare gli utenti di un possibile rischio di contagio; per cui deve essere chiaro che in nessun caso la ricezione di un messaggio di allerta proveniente dall’app significa automaticamente che l’utente è stato sicuramente contagiato.

 

I diritti dell’interessato

Il Regolamento, nel riconoscere all’interessato specifici diritti rispetto al trattamento dei suoi dati personali, individua anche alcuni ambiti in cui l’esercizio degli stessi può essere limitato (cfr. considerando nn. 63 e 68 e artt. 15 e ss. del Regolamento).

In primo luogo, si evidenzia che, per le caratteristiche del trattamento effettuato attraverso il Sistema di allerta Covid-19 e le tecniche di pseudonimizzazione utilizzate, come indicato nella valutazione d’impatto, il titolare potrebbe non essere in grado di identificare l’interessato in funzione dell’esercizio da parte dello stesso dei diritti riconosciuti dal Regolamento. Di tale circostanza il titolare deve compiutamente informare l’interessato (art. 11, par. 2, del Regolamento).

Ciò premesso, con specifico riferimento alle valutazioni effettuate dal Ministero in merito all’esercizio dei diritti da parte degli interessati e a quanto indicato nel modello di informativa trasmesso a questa Autorità, si evidenzia che:

  • i diritti di accesso (art. 15 del Regolamento), rettifica (art. 16 del Regolamento), limitazione del trattamento (art. 18 del Regolamento) e portabilità dei dati (art. 20 del Regolamento) non sono esercitabili da parte dell’interessato con riferimento al trattamento dei dati personali effettuati attraverso il Sistema di allerta Covid-19 in considerazione delle caratteristiche del trattamento;
  • il diritto di opposizione (art. 21 del Regolamento), analogamente a quanto indicato per il diritto alla cancellazione, può essere esercitato dall’interessato. Come correttamente rappresentato nella valutazione di impatto e nell’informativa, il diritto di opposizione si concretizza nella possibilità per l’interessato di disinstallare l’app. Al riguardo, si rappresenta l’opportunità che l’interessato sia edotto della circostanza che le chiavi saranno via via cancellate, al termine del quattordicesimo giorno di vita, anche sull’infrastruttura centrale.

 

Temporaneità della misura e tempi di cancellazione dei dati

Il trattamento dei dati personali deve essere conforme ai principi di minimizzazione dei dati e di limitazione della conservazione, in base ai quali – rispettivamente –  i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”, nonché “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. c) ed e), del Regolamento).

Al riguardo l’art. 6, comma 6, del d.l. n. 28/2020 prevede che l’utilizzo dell’app e della piattaforma, nonché ogni trattamento di dati personali effettuato tramite di essi devono essere interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020. Entro tale data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi.

Nella valutazione d’impatto il Ministero ha puntualmente individuato i tempi di conservazione dei dati in relazione alle specifiche finalità, prevedendo la cancellazione delle singole tipologie dei dati personali trattati una volta esaurita la finalità per i quali sono stati raccolti e comunque non oltre il 31/12/2020.

In proposito, al fine di valutare la proporzionalità del trattamento effettuato, è rilevante, fra l’altro, che:

  • le TEK e gli RPI memorizzati sui dispositivi mobili degli utenti siano cancellati automaticamente dopo 14 giorni;
  • le TEK dei soggetti risultati positivi Covid-19 che hanno effettuato l’upload sul backend di Immuni siano analogamente cancellate dopo 14 giorni.

 

I soggetti coinvolti nel trattamento

Come già precedentemente indicato, il titolare del trattamento è il Ministero della salute che si avvale dei soggetti indicati nelle predette disposizioni, fra cui Sogei S.p.a. e il Ministero dell’economia e delle finanze, limitatamente all’utilizzo del Sistema TS, che operano in qualità di responsabili del trattamento (art. 28 del Regolamento).

Nella valutazione d’impatto non è sufficientemente chiarito il ruolo di altri soggetti ivi nominati o che potrebbero essere coinvolti nel Sistema Immuni, quali la società che ha sviluppato l’applicazione (Bending Spoons S.p.a.), o le società Apple e Google. Relativamente a queste ultime, l’utilizzo del Framework A/G attribuisce loro un mero ruolo di fornitori di tecnologia (technology provider) senza implicare di per sé alcun trattamento di dati personali.

Tale aspetto andrebbe precisato, in ossequio ai principi di trasparenza e responsabilizzazione.

 

La sicurezza dei dati

Ai diversi pregi del modello decentralizzato su cui si basa il Sistema Immuni, si affiancano alcune vulnerabilità di cui occorre essere consapevoli anche al fine di adottare le opportune misure di mitigazione dei rischi di sicurezza del Sistema.

La riservatezza dei dati relativi ai soggetti risultati positivi al Covid-19 è affidata in parte alle misure tecniche e organizzative che devono essere individuate dal titolare del trattamento ma, in parte, anche alla capacità di evitare le occasioni in cui gli RPI di un utente (identificativi di prossimità, pseudonimi di breve periodo), inviati in broadcast con tecnologia bluetooth, possano essere rilevati da terzi, anche in abbinamento ad altre informazioni identificative, per essere, successivamente, raffrontati con le TEK dei soggetti risultati positivi, pubblicate dal Sistema di allerta Covid-19.

L’utente deve quindi riservare particolare cura alla sicurezza del proprio dispositivo mobile, per prevenire l’azione di malware anche in forma di app apparentemente innocue ma che potrebbero avere un comportamento malizioso al fine di acquisire informazioni utili a ricostruire le relazioni tra gli utenti o le catene di contagio, ovvero individuare i soggetti esposti al rischio di contagio o quelli risultati positivi al Covid-19.

 

Le misure adottate nell’ambito del Sistema di allerta Covid-19

Con riferimento alla sicurezza complessiva del trattamento, si rappresenta che nella valutazione d’impatto sono descritte accuratamente le misure tecniche e organizzative adottate dal Ministero della salute nell’ambito del Sistema di allerta Covid-19, nonché quelle condivise dal Ministero dell’economia e delle finanze in relazione alle funzionalità appositamente introdotte nel Sistema TS, di seguito sinteticamente descritte:

  • le TEK, gli RPI e gli altri dati presenti sul dispositivo dell’utente sono memorizzati in aree crittograficamente protette, in modo da renderli illeggibili a soggetti non autorizzati;
  • il colloquio tra l’app e i servizi del backend di Immuni avviene mediante canali di comunicazione sicuri basati sul protocollo HTTPS (Hypertext Transfer Protocol Secure) e sull’utilizzo del meccanismo di certificate pinning;
  • la generazione di traffico dummy (dati fittizi), in modo automatico e secondo un modello probabilistico, consente di limitare, in modo efficace, la possibilità di inferire – attraverso l’analisi del traffico crittografato tra l’app e il backend di Immuni all’atto dell’upload delle TEK o della trasmissione delle Operational Info – informazioni relative a particolari categorie di utenti (soggetti risultati positivi o esposti al rischio di contagio);
  • i file contenenti i TEK Chunck sono firmati digitalmente, in modo da consentire all’app di verificarne l’integrità e l’autenticità;
  • la pubblicazione del codice sorgente dell’app e delle principali componenti del backend di Immuni che consente lo scrutinio da parte della comunità di sviluppatori;
  • il tracciamento degli accessi compiuti ai sistemi e alle basi dati dagli amministratori di sistema, con un congruo periodo di conservazione dei log;
  • l’utilizzo di apparati di sicurezza perimetrale per bloccare attacchi volti a sfruttare vulnerabilità note, associate sia al software di base che al codice sviluppato per il Sistema Immuni;
  • l’utilizzo di un codice OTP, con una validità temporale limitata (2 minuti e 30 secondi), per autorizzare – nel corso dell’indagine epidemiologica condotta da un operatore sanitario del Dipartimento di prevenzione della Azienda sanitaria locale competente – l’operazione di upload delle TEK di un soggetto risultato positivo;
  • l’adozione di procedure di autenticazione informatica degli operatori sanitari per l’accesso al servizio di autenticazione OTP, reso disponibile sul Sistema TS;
  • il tracciamento degli accessi e delle operazioni compiute sul Sistema TS dai predetti operatori sanitari e dagli amministratori di sistema, con un congruo periodo di conservazione dei log.

 

 

Considerazioni conclusive e spunti di miglioramento

In ragione dell’esigenza di avviare il Sistema di allerta Covid-19, il trattamento di dati personali effettuato nell’ambito di tale Sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati attenuandone i rischi derivanti dal trattamento.”

Nella parte finale del provvedimento sono quindi elencate una serie di indicazioni che il Ministero della Salute dovrà impegnarsi ad implementare per poter avviare il trattamento:

  • indicare puntualmente nella valutazione d’impatto, l’algoritmo, basato su criteri epidemiologici di rischio e modelli probabilistici, aggiornandolo costantemente, specificando i parametri di configurazione impiegati e le assunzioni effettuate, rendendolo disponibile alla comunità scientifica;
  • informare adeguatamente gli utenti in ordine alla possibilità che l’app generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio, in ragione della possibilità di contatto con persone positive al Covid-19 a causa della propria attività lavorativa, in condizioni tuttavia caratterizzate da un adeguato grado di protezione;
  • consentire agli utenti dell’app di disattivarla temporaneamente attraverso una funzione facilmente accessibile nella schermata principale, informando di tale facoltà attraverso le infografiche visualizzate all’atto dell’istallazione dell’applicazione;
  • individuare modalità adeguate a proteggere gli analytics nel backend di Immuni, evitandone ogni forma di riassociazione a soggetti identificabili, adottando altresì idonee misure di sicurezza e tecniche di anonimizzazione, da individuarsi in ragione delle specifiche finalità in concreto perseguite, nel rispetto dei principi di privacy by design e by default;
  • precisare, nel modello di informativa, la descrizione delle operazioni effettuate con riferimento agli analytics di tipo Epidemiological Info e dei dati personali raccolti in relazione alle diverse categorie di interessati ;
  • dedicare particolare attenzione all’informativa e al messaggio di allerta tenendo conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultra quattordicenni;
  • fornire adeguate informazioni agli utenti in relazione alle caratteristiche della fase di sperimentazione;
  • integrare la valutazione d’impatto e l’informativa in relazione alle modalità di esercizio del diritto di cancellazione e di opposizione;
  • integrare, sulla base del principio di responsabilizzazione, la valutazione d’impatto con la descrizione del ruolo e delle operazioni ascrivibili ad altri soggetti lì citati o suscettibili, comunque, di coinvolgimento nel Sistema Immuni, evidenziando la sussistenza di eventuali rischi per gli interessati i cui dati siano trattati dal sistema;
  • commisurare i tempi di conservazione degli indirizzi ip, per i fini e nei termini richiamati, nella misura strettamente necessaria al rilevamento di anomalie e di attacchi;
  • introdurre misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati;
  • adottare misure tecniche e organizzative per mitigare i rischi derivanti dall’upload di TEK non riferite a soggetti positivi a seguito di eventuali errori materiali o diagnostici.

 

Come precedentemente indicato, l’app non sostituisce l’attuale sistema di contrasto della diffusione del Covid-19, ma è complementare alle modalità ordinarie di tracciamento dei contatti già in uso nell’ambito del Servizio sanitario nazionale. L’app può quindi essere un valido alleato per velocizzare e migliorare la ricostruzione della catena dei contagi, ma non può e non deve sostituire quanto già messo in campo fino ad oggi.