App “Immuni”: tutto quello che c’è da sapere. Gli Stati membri dell’Unione europea, con il sostegno della Commissione europea, hanno sviluppato un pacchetto di strumenti (toolbox) per l’uso di applicazioni mobili di tracciamento dei contatti e allerta in risposta alla pandemia di Covid-19. Il toolbox fa seguito a quanto raccomandato dalla Commissione per un approccio comune coordinato a sostegno della revoca graduale delle misure di confinamento.
Al centro del dibattito europeo sono le conseguenze sulla privacy dei singoli cittadini che potrebbero derivare dall’utilizzo di tali app. In particolare, sono attualmente oggetto di discussione le tecnologie utilizzate e le modalità di memorizzazione dei dati, con design “decentralizzato” o “centralizzato”, opzioni avanzate fra l’altro dal consorzio Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), in cui lavorano circa 130 scienziati, accademici ed esperti informatici per la creazione di app di tracciamento a livello europeo.
Per quanto riguarda l’Italia, con ordinanza del 16 aprile 2020 del Commissario straordinario per l’emergenza Domenico Arcuri, è stata disposta la stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con Bending Spoons Spa, società sviluppatrice dell’app Immuni.
L’uso di applicazioni mobili in risposta alla pandemia di Covid-19 Il 15 aprile 2020 è stato pubblicato un toolbox, sviluppato dagli Stati membri con il supporto della Commissione europea, sull’uso di applicazioni mobili di tracciamento dei contatti in risposta alla pandemia di Covid-19, così come previsto dalla raccomandazione presentata l’8 aprile. 1. Con la Raccomandazione relativa a un pacchetto di strumenti comuni dell’Unione per l’uso della tecnologia e dei dati, al fine di contrastare e superare la crisi relativa alla pandemia di Covid-19, in particolare per quanto riguarda le applicazioni mobili e l’uso di dati anonimizzati sulla mobilità (C(2020)2296) la Commissione si è posta l’obiettivo di sviluppare un approccio europeo comune.
La raccomandazione stabilisce i principi generali cui dovrebbe essere improntato lo sviluppo del toolbox e sollecita un coordinamento a livello di Unione per scopi di allerta, prevenzione e tracciamento dei contatti e per consentire in tal modo ai cittadini di adottare efficaci misure di distanziamento sociale.
La raccomandazione ha previsto inoltre la pubblicazione da parte della Commissione di orientamenti sui risvolti dell’uso delle applicazioni per quanto riguarda la sicurezza dei dati e la tutela della vita privata (su cui vd. infra). La raccomandazione riconosce che le applicazioni di allerta e tracciamento possono rivestire un ruolo importante nell’individuazione dei contatti, contribuendo a limitare la propagazione della malattia interrompendo le catene di trasmissione.
In combinazione con adeguate strategie di test, queste applicazioni possono rivelarsi particolarmente idonee a fornire informazioni sul livello di circolazione del virus, per la valutazione dell’efficacia delle misure di distanziamento fisico e confinamento e per elaborare strategie di mitigazione della crisi.
La raccomandazione delinea un processo strategico per l’adozione, a livello europeo, di un “pacchetto di strumenti” (toolbox of practical measures) volti a fronteggiare efficacemente, dal punto vista medico e tecnico, la situazione di emergenza, con particolare attenzione su due aspetti: un approccio paneuropeo per l’uso delle applicazioni mobili per consentire ai cittadini di adottare misure di distanziamento sociale efficaci e più mirate e per scopi di allerta, prevenzione e tracciamento dei contatti al fine di contribuire a limitare la propagazione della malattia Covid-19; un piano comune per l’utilizzo di dati anonimizzati e aggregati sulla mobilità delle popolazioni al fine di prevedere l’evoluzione della malattia, monitorare l’efficacia del processo decisionale delle autorità degli Stati membri riguardo a misure quali il distanziamento sociale e il confinamento, improntare una strategia coordinata per uscire dalla crisi Covid-19.
Nel dare attuazione alla raccomandazione gli Stati membri, rappresentati nella rete di assistenza sanitaria online (e-Health), dovrebbero instaurare una stretta cooperazione con altri organismi e reti, fra i quali: il Comitato per la sicurezza sanitaria, organo per il coordinamento degli sforzi nel contesto delle gravi minacce per la salute a carattere transfrontaliero; la Rete di sorveglianza epidemiologica delle malattie trasmissibili, utilizzata e coordinata dal Centro europeo per la prevenzione e il controllo delle malattie (ECDC); il Garante europeo della protezione dei dati e il Comitato europeo per la protezione dei dati, che dovrebbero essere strettamente coinvolti in modo che nel pacchetto di strumenti siano integrati i principi della protezione dei dati e della tutela della vita privata fin dalla progettazione; l’Organismo dei regolatori europei delle comunicazioni elettroniche; il Gruppo di cooperazione sulle reti e sui sistemi informativi (NIS); le competenti agenzie della Commissione, compresa l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), Europol e i gruppi di lavoro del Consiglio.
La raccomandazione indica i principi ai quali l’intero processo di sviluppo del toolbox e l’utilizzo delle tecnologie e dei dati dovranno ispirarsi. In particolare, la Commissione raccomanda che l’uso delle applicazioni mobili di allerta e prevenzione per la Covid-19 sia guidato dai principi, relativi alla tutela della vita privata e alla protezione dei dati, di seguito indicati: adozione di misure di salvaguardia che garantiscano il rispetto dei diritti fondamentali e la prevenzione della stigmatizzazione, con particolare riferimento alle norme applicabili alla protezione dei dati personali e alla riservatezza delle comunicazioni (il trattamento dei dati personali dovrà limitarsi al contrasto della crisi Covid-19 e i dati personali non dovranno essere utilizzati per altri scopi, ad esempio per l’applicazione di norme di legge o per fini commerciali); preferenza per le misure meno intrusive e comunque efficaci, compreso l’uso dei dati di prossimità, ma senza il trattamento dei dati relativi all’ubicazione o agli spostamenti delle persone, e l’uso di dati anonimizzati e aggregati laddove possibile.
Il caricamento di dati di prossimità dovrà avvenire solo in caso di infezione confermata e con metodi appropriati per allertare le persone che abbiano avuto contatti stretti con la persona infettata, la quale deve comunque rimanere anonima; requisiti tecnici riguardanti le tecnologie appropriate (ad esempio, Bluetooth a bassa energia) per stabilire la prossimità del dispositivo, la cifratura, la sicurezza dei dati, l’archiviazione dei dati sul dispositivo mobile, il possibile accesso da parte delle autorità sanitarie e la memorizzazione dei dati; requisiti di cyber security efficaci per proteggere la disponibilità, l’integrità, l’autenticità e la riservatezza dei dati; scadenza delle misure adottate e cancellazione dei dati personali ottenuti attraverso tali misure, al più tardi nel momento in cui la pandemia sarà dichiarata sotto controllo.
Dovranno essere garantiti un riesame periodico del persistere della necessità del trattamento dei dati personali per il contrasto della crisi Covid-19 e le opportune clausole di temporaneità. Si dovranno inoltre prevedere misure al fine di garantire che il trattamento, quando non più strettamente necessario, venga effettivamente soppresso e i dati personali irreversibilmente distrutti (a meno che, sulla base del parere dei comitati etici e delle autorità preposte alla protezione dei dati, il loro valore scientifico, al servizio dell’interesse pubblico, sia superiore all’impatto sui diritti in questione); prescrizioni relative alla trasparenza delle impostazioni sulla privacy. 2.
Il toolbox sull’uso delle applicazioni mobili di tracciamento dei contatti fa parte dell’approccio comune coordinato a livello europeo, proposto dalla Commissione, per la revoca graduale delle misure di confinamento. Integra inoltre altre misure, fra cui l’aumento delle capacità di test. Il 15 aprile la Commissione europea e il Presidente del Consiglio europeo hanno presentato una tabella di marcia comune europea per la revoca graduale delle misure di contenimento dell’epidemia di Covid-19.
Secondo le linee guida in questa contenute, l’avvio della Fase 2 dovrebbe tenere conto dei parametri epidemiologici, che dimostrino la netta diminuzione e la stabilizzazione dei contagi su un arco di tempo prolungato, nonché della qualità dei servizi ospedalieri e di monitoraggio, inclusa la capacità di effettuare test diagnostici su vasta scala per individuare e monitorare la diffusione del virus, combinata al tracciamento dei contatti e alla possibilità di isolare le persone in caso di ricomparsa e ulteriore diffusione del contagio. Nell’ambito della tabella di marcia, la Commissione ha presentato inoltre le linee guida sulle metodologie di test per il coronavirus.
Il toolbox è stato adottato con il consenso dell’eHealth Network, una rete volontaria che collega le autorità nazionali responsabili dell’assistenza sanitaria online designate dagli Stati membri, istituita sulla base dell’art. 14 della direttiva 2011/24/UE concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera, i cui compiti sono stati precisati dalla decisione di esecuzione (UE) 2019/1765.
I requisiti essenziali per le applicazioni mobili di tracciamento dei contatti e allerta stabiliti nel toolbox sono i seguenti1: uso volontario; implementazione e approvazione in stretto coordinamento con le autorità di sanità pubblica; piena conformità alle normative dell’Unione europea in materia di protezione dei dati e di tutela della vita privata, previa consultazione del Comitato europeo per la protezione dei dati (i dati personali devono essere crittografati in modo sicuro); cancellazione dei dati quando non più necessari.
Nel toolbox vengono specificati ulteriori requisiti: app basate sugli orientamenti epidemiologici convenuti e sulle migliori pratiche in materia di sicurezza informatica e accessibilità; soluzioni tecnologiche volte a rafforzare la tutela della vita privata, come la tecnologia di prossimità Bluetooth, e a non consentire il tracciamento della posizione delle persone; dati anonimi (le applicazioni possono allertare le persone che sono state per un determinato periodo di tempo vicine a una persona infetta affinché si sottopongano al test o si autoisolino, senza rivelarne l’identità); interoperabilità in tutta l’Unione europea; criteri di cyber security (redatti dall’ENISA); efficacia delle app (gli Stati membri dovrebbero sviluppare indicatori chiave di prestazione).
Gli adempimenti previsti sono i seguenti: entro il 30 aprile, le autorità sanitarie pubbliche dovranno valutare l’efficacia delle app a livello nazionale e transfrontaliero; entro il 31 maggio, gli Stati membri dovranno riferire in merito alle azioni intraprese a norma della raccomandazione (una lista delle app e delle iniziative messe in campo alla data del 15 aprile a livello nazionale è già disponibile nel toolbox) e rendere le misure accessibili agli altri Stati membri e alla Commissione per una valutazione inter pares. Le relazioni dovrebbero continuare a essere presentate su base regolare fino al persistere della crisi Covid-19; a partire da giugno 2020, la Commissione dovrà valutare, sulla base delle relazioni presentate dagli Stati membri, i progressi compiuti e, per tutta la durata della crisi Covid-19, sviluppare un approccio comune, raccomandando ulteriori azioni o l’eliminazione graduale di misure che non ritenga più necessarie.
Il 14 aprile il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato una lettera, indirizzata alla Commissione europea, fornendo il suo parere in merito alle implicazioni sulla privacy delle app per la tracciabilità dei contatti.
L’EDPB ha formulato le seguenti osservazioni: accoglie con favore l’iniziativa della Commissione mirante a definire un approccio coordinato a livello europeo; ritiene che la messa a punto delle app debba avvenire secondo criteri di responsabilizzazione e previa la predisposizione di un documento di valutazione di impatto sulla protezione dei dati di tutti i meccanismi, alla luce dei principi di privacy by design e by default; afferma che il codice sorgente dovrebbe essere reso pubblico così da permettere la più ampia valutazione possibile da parte della comunità scientifica; accoglie con grande favore la proposta della Commissione di prevedere l’adozione di tali app su base volontaria, attraverso una scelta compiuta dai singoli nel segno di una responsabilità collettiva; sottolinea infine la necessità di essere pienamente coinvolto in tutto il processo di elaborazione e implementazione delle misure previste.
Come preannunciato nella lettera, in occasione della 23ma sessione plenaria del 21 aprile, il Comitato europeo per la protezione dei dati ha adottato le Linee guida sul trattamento di dati relativi alla salute per finalità di ricerca nonché le Linee guida sull’utilizzo della geolocalizzazione e di altri strumenti di tracciamento nel contesto dell’emergenza legata al Covid-19.
Le linee guida sull’utilizzo della geolocalizzazione intendono chiarire le condizioni e i principi da rispettare ai fini di un impiego proporzionato degli strumenti che utilizzano i dati di localizzazione e il tracciamento dei contatti, in rapporto a due ambiti specifici: l’utilizzo dei dati di localizzazione a supporto della risposta alla pandemia, tramite la definizione di modelli della diffusione del virus, al fine di valutare l’efficacia complessiva di misure di isolamento e quarantena; l’utilizzo del tracciamento dei contatti per informare le persone che sono probabilmente entrate in contatto ravvicinato con soggetti successivamente confermati positivi, al fine di interrompere tempestivamente la trasmissione del contagio. Le linee guida affermano che tutte le misure adottate dagli Stati membri o dall’Unione europea, che comportino il trattamento di dati personali per il contrasto del Covid-19, devono essere ispirate ai principi generali di efficacia, necessità e proporzionalità, in conformità con quanto stabilito dal regolamento generale sulla protezione dei dati (GDPR) e dalla direttiva e-privacy.
Il Comitato sottolinea infatti che entrambe le normative “contengono norme specifiche che consentono l’uso di dati anonimi o personali per sostenere le autorità pubbliche e altri soggetti, a livello nazionale e dell’UE, nel monitoraggio e nel contenimento della diffusione del virus SAR-CoV-22”.
Il regolamento sulla protezione dei dati personali (regolamento (UE) 2016/679) stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché le norme relative alla libera circolazione di tali dati.
Il regolamento prevede, fra l’altro, che il trattamento dei dati personali possa aver luogo quando l’interessato abbia prestato il proprio consenso esplicito o quando il trattamento sia necessario per motivi di interesse pubblico rilevante, sulla base del diritto dell’Unione o degli Stati membri, in particolare nel settore della sanità pubblica, per finalità di sicurezza sanitaria, controllo e allerta, prevenzione o controllo di malattie trasmissibili e altre gravi minacce (art. 9).
La direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche stabilisce le norme per garantire la sicurezza nel trattamento dei dati personali, la notifica delle relative violazioni e la riservatezza delle comunicazioni. Vieta inoltre le comunicazioni indesiderate qualora l’utente non abbia fornito il proprio consenso.
La direttiva attua nel diritto derivato dell’Unione il diritto fondamentale al rispetto della vita privata relativamente alle comunicazioni, quale sancito all’art. 7 della Carta dei diritti fondamentali dell’Unione europea. In particolare, all’art. 5 viene stabilito che l’archiviazione di informazioni sul dispositivo dell’utente o l’accesso a informazioni già archiviate siano consentiti: – nel caso l’utente abbia espresso preliminarmente il proprio consenso2; – nella misura strettamente necessaria a fornire un servizio della società dell’informazione (ad esempio l’app) esplicitamente richiesto (ad esempio, installato e attivato) dall’utente.
Come ricordato inoltre dal Comitato, i dati relativi all’ubicazione raccolti dai fornitori di comunicazioni elettroniche possono essere trattati solo entro i limiti di cui agli artt. 6 e 9 della direttiva, e quindi essere trasmessi alle autorità o a terzi solo se sono stati resi anonimi dal fornitore oppure, per i dati indicanti la posizione geografica dell’apparecchiatura terminale di un utente, che non sono dati relativi al traffico, con il consenso previo degli utenti. Sono tuttavia possibili, a norma dell’art. 15, deroghe ai diritti e agli obblighi previsti qualora la restrizione costituisca una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (ovvero della sicurezza dello Stato), della difesa, della sicurezza pubblica.
A tal fine gli Stati membri possono fra l’altro adottare misure legislative che prevedano la conservazione dei dati per un periodo di tempo limitato. Nelle linee guida il Comitato ribadisce e sottolinea quanto già espresso nella lettera di risposta alla Commissione europea del 14 aprile, ossia che l’impiego di app per il tracciamento dei contatti dovrebbe avvenire su base volontaria e non comportare il tracciamento degli spostamenti individuali, facendo invece perno sulle informazioni di prossimità relative agli utenti. Nelle conclusioni, evidenzia infine che “spetta a noi tutti garantire che ogni misura adottata in queste circostanze eccezionali sia necessaria, limitata nel tempo, di portata minima e soggetta a un riesame periodico ed effettivo nonché a una valutazione scientifica.
A nessuno dovrebbe essere chiesto di scegliere fra una risposta efficace all’attuale crisi e la tutela dei diritti fondamentali, in quanto il diritto europeo in materia di protezione dei dati consente l’uso responsabile dei dati personali per la gestione della salute, garantendo al contempo che non siano erosi i diritti e le libertà individuali”. Pur dichiarando che ogni valutazione dovrà essere comunque compiuta caso per caso, il Comitato ha adottato una Guida per le app di tracciamento dei contatti, con l’intento di fornire indicazioni generali ai progettisti e agli sviluppatori delle app di tracciamento.
Contestualmente al toolbox, il 16 aprile la Commissione ha presentato gli Orientamenti sulle app a sostegno della lotta alla pandemia di Covid-19 relativamente alla protezione dei dati (C(2020)124). Al fine di garantire un approccio coerente in tutta l’Unione e fornire indicazioni agli Stati membri e agli sviluppatori di app, gli orientamenti stabiliscono le caratteristiche e i requisiti cui le app devono rispondere per garantire il rispetto della legislazione dell’UE in materia di protezione dei dati personali e della vita privata, in particolare per quanto concerne il regolamento generale sulla protezione dei dati e la direttiva e-privacy.
Gli orientamenti non sono giuridicamente vincolanti e non pregiudicano il ruolo della Corte di giustizia dell’UE, che, come evidenziato dalla Commissione stessa, è l’unica istituzione che può dare l’interpretazione autentica del diritto dell’Unione.
Per quanto concerne l’ambito di applicazione degli orientamenti, sono prese in considerazione solo le app facoltative a sostegno della lotta alla pandemia di Covid-19 (app scaricate, installate e utilizzate su base volontaria dalle persone), aventi una o più delle seguenti funzionalità:
dare informazioni precise sulla pandemia di Covid-19;
offrire questionari di autovalutazione e di orientamento (funzionalità di controllo dei sintomi);
allertare le persone che si siano trovate per un certo tempo in prossimità di una persona infetta, per informarle ad esempio sull’opportunità di mettersi in autoquarantena e su dove sottoporsi ai test (funzionalità di tracciamento dei contatti e allerta);
offrire un canale di comunicazione fra pazienti e medici nelle situazioni di autoisolamento (maggiore ricorso alla telemedicina).
La Commissione ricorda che, a norma della direttiva e-privacy, l’uso di un’app che incida sui diritti alla riservatezza delle comunicazioni è possibile solo mediante una legge che sia necessaria, opportuna e proporzionata al fine di conseguire obiettivi specifici. Di seguito una sintesi degli orientamenti forniti dalla Commissione: le app devono essere progettate in modo tale che i titolari del trattamento siano le autorità sanitarie nazionali (o i soggetti che svolgono un compito nel pubblico interesse nel campo della salute); occorre garantire che le persone mantengano il controllo sui propri dati personali. Pertanto: l’installazione dell’app sul dispositivo dovrebbe avvenire su base volontaria e senza conseguenze negative per la persona che decida di non scaricare/utilizzare l’app; le diverse funzionalità dell’app (informazioni, controllo dei sintomi, tracciamento dei contatti e allerta) non dovrebbero essere raggruppate, in modo da consentire di dare separatamente il proprio consenso a ciascuna funzionalità; i dati di prossimità (generati dallo scambio di segnali Bluetooth a bassa energia fra dispositivi a una distanza epidemiologicamente significativa e durante il periodo epidemiologicamente rilevante) devono essere conservati sul dispositivo.
Tali dati dovrebbero essere condivisi con le autorità sanitarie solo
dopo la conferma che la persona interessata sia infetta e a condizione che scelga di farlo; le autorità sanitarie dovrebbero fornire alle persone tutte le informazioni necessarie relative al trattamento dei propri dati personali (conformemente agli artt. 12 e 13 del GDPR e all’art. 5 della direttiva e-privacy); la persona dovrebbe essere in grado di esercitare i diritti previsti dal GDPR (in particolare, accesso, rettifica e cancellazione); le app dovrebbero essere disattivate al più tardi quando la pandemia sarà dichiarata sotto controllo; tenuto conto della natura dei dati personali in questione (in particolare dei dati relativi alla salute che costituiscono una categoria particolare di dati personali) e delle circostanze dell’attuale pandemia, l’utilizzo della normativa dell’Unione o nazionale come base giuridica per il trattamento da parte delle autorità sanitarie nazionali contribuirebbe alla certezza del diritto; occorre conformarsi al principio della minimizzazione dei dati (solo i dati personali che sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità possono essere trattati). 5.
Con ordinanza n. 10/2020 del 16 aprile, il Commissario per l’emergenza Domenico Arcuri ha disposto la stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la Bending Spoons spa, la società progettatrice della app Immuni per il tracciamento del contagio durante la cosiddetta fase 2. L’ordinanza specifica che il sistema di tracciamento digitale sarà utile per contenere e contrastare l’emergenza epidemiologica da Covid-19, in quanto “può aiutare a identificare individui potenzialmente infetti prima che emergano sintomi e, se condotto in modo sufficientemente rapido, può impedire la trasmissione successiva dai casi secondari”.
L’app Immuni è stata selezionata all’esito delle valutazioni effettuate dal “Gruppo di lavoro datadriven per l’emergenza Covid-19”. Il Ministro della Salute e il Ministro per l’Innovazione tecnologica e la digitalizzazione, in data 10 aprile 2020, hanno comunicato al Presidente del Consiglio dei ministri il risultato delle valutazioni, unitamente a una proposta di implementazione della soluzione.
Nell’ordinanza viene specificato che la soluzione denominata “Immuni” è stata ritenuta la più idonea per la sua capacità di contribuire tempestivamente all’azione di contrasto del virus, per la conformità al modello europeo delineato dal consorzio Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT)3 e per le garanzie che offre per il rispetto della privacy.
Secondo le stime del Governo, ai fini della sua efficacia, l’app dovrebbe essere scaricata e utilizzata da almeno il 60% della popolazione. Come evidenziato sul sito del Dipartimento per la Trasformazione Digitale della Presidenza del Consiglio dei Ministri (Dipartimento a cui è attualmente preposto il Ministro per l’innovazione tecnologica e la digitalizzazione), il sistema di contact tracing dovrà tenere in considerazione l’evoluzione dei sistemi di contact tracing internazionali, oggi ancora non completamente definiti (fra cui vengono citati, oltre a PEPP-PT, Decentralised Privacy.
Il consorzio, che comprende oltre 130 membri di otto Stati europei fra i quali scienziati, tecnici ed esperti di Istituti di ricerca internazionali, intende supportare lo sviluppo di iniziative nazionali ai fini di un approccio privacy-preserving ed è esplicitamente menzionato nel toolbox.
Preserving Proximity Tracing – DP-3T4 e ROBERT), e in particolare i modelli annunciati da Apple e Google.
Il codice sorgente del sistema di contact tracing sarà rilasciato con licenza Open Source MPL 2.0, come software libero e aperto. Principali caratteristiche dell’app dovrebbero essere l’installazione volontaria e il funzionamento tramite Bluetooth a bassa energia. L’applicazione non conserverebbe i dati relativi alla geolocalizzazione degli utenti, ma registrerebbe esclusivamente i contatti pseudonimizzati di prossimità. Il suo funzionamento potrà cessare non appena terminerà la fase di emergenza, con cancellazione di tutti i dati generati.
(fonte: Servizio Studi del Senato – a cura di Viviana Di Felice)