Immuni. Aspetti privacy della app per il contact tracing

Al fine di contenere efficacemente la diffusione del virus Covid-19, l’art. 6 del D.L. 28/2020 ha previsto l’istituzione di una piattaforma unica nazionale di contact tracing, finalizzata ad allertare gli utenti entrati in contatto con soggetti positivi al virus, che possono così sottoporsi tempestivamente ai protocolli sanitari di prevenzione e cura (isolamento, tamponi).

A seguito della consultazione indetta dal Ministero per l’innovazione tecnologica e la digitalizzazione, tra le diverse piattaforme proposte è stata selezionata “Immuni”, app ideata dalla società Bending Spoons S.p.a., per la sua ritenuta idoneità a prevenire i contagi, da un lato, e per le garanzie offerte in termini di tutela della privacy, dall’altro lato. Va, infatti, tenuto presente che il monitoraggio sistematico e su larga scala dei contatti tra persone fisiche costituisce una grave interferenza nella vita privata degli utenti. Pertanto, il trattamento dei dati personali operato dalle app di contact tracing deve necessariamente essere assistito da idonee tutele. Questo articolo si propone di illustrare le questioni più rilevanti in tema di tutela della privacy legate al funzionamento della app.

Come funziona Immuni

Immuni sfrutta la tecnologia Bluetooth Low Energy per tracciare i contatti ravvicinati tra gli utenti da cui potrebbe essere scaturito un contagio.

Una volta che la app viene installata sul dispositivo, viene generata una chiave cifrata (c.d. temporary exposure key) associata all’utente, che cambia più volte nell’arco di un’ora al fine di impedirne l’identificazione. Gli smartphone su cui viene installata la app emettono continuativamente un segnale Bluetooth, in modo tale che, ogni volta che due persone che hanno scaricato Immuni sui loro cellulari si trovano ad una distanza ravvicinata per un tempo minimo prestabilito, le rispettive temporary exposure key generano e si scambiano reciprocamente un codice casuale criptato (c.d. identificativo di prossimità) che identifica l’incontro. Tale codice viene memorizzato sui rispettivi dispositivi ed è associato a metadati che riguardano la durata dell’incontro e l’intensità del segnale percepito, informazioni in base a cui viene calcolato il rischio di contagio.

Nel caso in cui uno degli utenti risulti positivo al virus, questi riceve dagli operatori sanitari istruzioni per generare un codice di autorizzazione (codice OTP) che consente all’utente di inviare la propria chiave cifrata al server centrale gestito dal Ministero della Salute. Il codice OTP viene inserito dall’operatore sanitario sul server, insieme alla data di inizio dei sintomi o del tampone. Successivamente, l’utente può – su libera scelta – confermare (mediante un tap sulla app) l’intenzione di inviare le proprie temporary exposure key al server centrale, il quale, dopo aver verificato la correttezza del codice OTP, permette a tutti i dispositivi che hanno installato Immuni di scaricare le chiavi cifrate relative a tale utente. Immuni, quindi, scarica periodicamente e automaticamente la lista delle temporary exposure key dei soggetti contagiati e verifica se da esse derivano gli identificativi di prossimità conservati nella memoria del dispositivo. Se da tale verifica emerge che l’utente ha recentemente avuto un contatto con un soggetto risultato positivo al virus, la app invia una notifica informando l’utente del protocollo sanitario che si consiglia di seguire (che comprende, ad esempio, l’isolamento e la possibilità di contattare i numeri di emergenza per effettuare un tampone).

Quando l’utente decide di comunicare la propria chiave cifrata al server centrale, inoltre, Immuni invia al server anche informazioni di natura epidemiologica (giorno del contatto, durata, intensità del segnale, probabile livello di contagiosità del soggetto) e operativa (abilitazione del Bluetooth, consenso al ricevimento delle notifiche da parte dell’app, avvenuta notifica di rischio contagio dopo l’ultimo download delle chiavi cifrate) utili per la gestione dell’epidemia da parte del Sistema Sanitario Nazionale.

Garanzie per la tutela della privacy

Immuni rispetta le Linee Guida (n. 3/2020 e n. 4/2020) del Comitato europeo per la protezione dei dati personali (EDPB) relative al trattamento dei dati nell’ambito della gestione dell’epidemia Covid-19. Inoltre, la app ha ottenuto parere favorevole da parte del Garante privacy italiano, chiamato a pronunciarsi sull’istituzione di una piattaforma nazionale avente le caratteristiche individuate dall’art. 6 del D.L. 28/2020. Di seguito si analizzeranno gli aspetti più rilevanti di Immuni sotto il profilo della privacy.

• L’app funziona interamente su base volontaria

Non ci sono restrizioni conseguenti al mancato utilizzo dell’app e questa non costituisce condizione di esercizio di alcun diritto (come avvenuto ad esempio in altri Stati in cui l’utilizzo della piattaforma per il contact tracing era condizione per potersi spostare liberamente). Inoltre, l’utente che decide di scaricare Immuni e ne accetta i termini e condizioni di utilizzo – che implicano, tra l’altro, l’attivazione del Bluetooth, la possibilità di inviare notifiche – in caso di accertata positività al virus, deve decidere di collaborare per allertare i possibili contagiati, condividendo la propria chiave cifrata con il server ministeriale. La volontarietà della piattaforma, come osservato anche dal Garante, è requisito fondamentale della app, visto il rilevante impatto individuale del tracciamento da questa operato, che richiede che l’adesione da parte dell’utente sia frutto di una scelta realmente libera.

• Titolarità del trattamento da parte di un soggetto pubblico

Il Ministero della Salute è il titolare del trattamento e i dati raccolti attraverso l’app potranno trattati per suo conto da parte dei soggetti individuati nello stesso art. 6 D.L. 28/2020, nominati responsabili ex art. 28 GDPR. La definizione chiara della titolarità del trattamento si pone in linea con l’esigenza di rispettare il principio di accountability.

• L’utente non viene geolocalizzato

Come sottolineato nelle Linee Guida EDPB n. 4/2020, le app per il tracciamento dei contatti non necessitano di localizzare la posizione dei singoli utenti per poter perseguire i propri fini, bastando invece l’utilizzo dei dati di prossimità. La scelta di utilizzare la tecnologia Bluetooth anziché quella GPS – che avrebbe permesso non solo di tracciare il verificarsi di un contatto, ma anche di localizzare il contatto e quantificarne la durata – è quindi legata alla necessità di rispettare il principio di minimizzazione del trattamento dei dati: lo scopo delle app di tracciamento, infatti, non è quello seguire i movimenti degli utenti o di far rispettare le regole, ma solo di verificare se si è venuti in contatto con una persona positiva a Covid-19 in modo tale da poter attuare tempestivamente tutti i protocolli sanitari di prevenzione e cura.

• Minimizzazione del trattamento, uso di dati pseudonimi e crittografia

Immuni rispetta il principio di minimizzazione del trattamento: i dati raccolti sono solo quelli essenziali al perseguimento delle finalità dell’app e non includono dati identificativi quali nome e cognome, data di nascita, indirizzo, telefono o e-mail, nonché, come visto al punto precedente, i dati relativi all’ubicazione. Inoltre, l’app registra solo incontri di almeno di 5 minuti e fino ad un massimo di 30 minuti al giorno, in modo da non permettere di ricostruire la durata delle frequentazioni e la loro ripetitività.

Nemmeno le informazioni operative e epidemiologiche comunicate al server ministeriale contengono dati che permettono di identificare l’utente e, in ogni caso, sono soggette a limitazioni (ad esempio, l’app non può determinare se i contatti avvenuti in giorni diversi siano avvenuti con lo stesso utente).

L’app utilizza esclusivamente identificatori univoci pseudonimi (ovvero, le temporary exposure key e gli identificatori di prossimità) che variano in continuazione, in modo tale da impedire la reidentificazione dell’utente. In aggiunta, la trasmissione dell’identificativo di prossimità ad un altro utente è cifrata e firmata digitalmente. Infine, Immuni effettua periodicamente degli upload fittizi al server centrale per mitigare il rischio che attraverso l’analisi del traffico dati dell’utente possano ottenersi informazioni sullo stesso.

• Sistema delocalizzato

I dati raccolti attraverso la app vengono memorizzati localmente sui dispositivi, contrariamente a quanto previsto nella prima versione della app, in cui i dati di prossimità venivano memorizzati insieme alle chiavi criptate sul server ministeriale (sistema centralizzato). Posto che l’EDPB aveva adottato una posizione neutrale sul punto, ritenendo che sia il modello centralizzato sia quello delocalizzato potessero essere adeguati in presenza di idonee misure di sicurezza, le ragioni alla base della scelta di un modello delocalizzato sono da rinvenire nel ritenuto minor rischio di violazione dei dati.

• La base giuridica del trattamento

Il fatto che l’applicazione funzioni su base volontaria e che l’utente sia libero di comunicare se è stato contagiato o meno non implica che il trattamento in questione si basi sul consenso dell’interessato. Sebbene, infatti, il consenso possa costituire una idonea base giuridica per il trattamento operato dalle app di contact tracing – come ritenuto dall’EDPB nelle Linee Guida 4/2020 – tale scelta implica la necessità per il Titolare del trattamento di rispettare i requisiti stringenti previsti per tale base giuridica (tra cui: libertà, specificità, revocabilità del consenso, nonché necessità che sia esplicito in relazione al trattamento di dati sulla salute).

In alternativa al consenso, però, può costituire idonea base giuridica per il trattamento in questione anche l’art. 6 par. 1 lett. e) del GDPR, ovvero la necessità di svolgere un “compito di interesse pubblico”. Il par. 3 della stessa norma precisa inoltre che la base di tale trattamento deve essere costituita da una norma del diritto dell’Unione ovvero “dal diritto dello Stato membro cui è soggetto il titolare del trattamento”.

Immuni ha dunque accolto tale seconda soluzione, individuando come base giuridica l’art. 6 D.L. 28/2020, in conformità all’art. 9 par. 2 lett. i) del GDPR.

I dati trattati dalla app, infatti, sono idonei a rivelare lo stato di salute dell’utente[1] e sono pertanto soggetti al divieto generale di trattamento stabilito dall’art. 9 par. 1 GDPR. Il par. 2 della stessa norma, tuttavia, prevede alcune eccezioni a tale divieto, che includono la possibilità di trattare i dati “per motivi di interesse pubblico nel settore della sanità pubblica (…) sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale” (art. 9 par. 2 lett. i). Sotto questo profilo, dunque, l’art. 6 del D.L. 28/2020 è norma nazionale che soddisfa i requisiti previsti dal GDPR, come affermato anche dal Garante nel parere sopra citato.

È bene ricordare, infine, che Immuni – così come tutte le app di contact tracing – implica la memorizzazione e/o l’accesso a informazioni già archiviate nel dispositivo dell’utente. Tali dati sono soggetti all’art. 5 par. 3 della direttiva ePrivacy (dir. 2002/58/CE), che esonera dalla necessità di ottenere il consenso dell’interessato quando (come nel caso di Immuni) l’accesso e la memorizzazione delle informazioni sono strettamente necessari per consentire al fornitore dell’app di rendere il servizio richiesto dall’utente.

• Finalità del trattamento e utilizzi secondari

I dati vengono raccolti e utilizzati esclusivamente per le finalità indicate dal comma 1 dell’art. 6 D.L. 28/2020, ovvero “Al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19”.

Così come auspicato dalle Linee Guida dell’EDPB, le finalità del trattamento sono state adeguatamente specificate in modo tale da escludere la possibilità di effettuare trattamenti ulteriori degli stessi dati per scopi non correlati alla gestione dell’emergenza epidemiologica (ad esempio, per fini commerciali o per le attività di contrasto di matrice giudiziaria o di polizia).

Tuttavia, fermo restando ciò, l’art. 6 D.L. 28/2020 ha previsto la possibilità di utilizzare i dati, in forma aggregata o anonima, per finalità secondarie di statistica, ricerca scientifica, sanità pubblica e profilassi.

Secondo l’orientamento espresso dall’EDPB, la possibilità di effettuare tali utilizzi secondari si può alternativamente basare o sul consenso dell’interessato, o su una norma del diritto UE o nazionale ex art. 9 lett. i) e j) del GDPR.  

La prima soluzione impone il rigoroso rispetto delle condizioni previste dagli artt. 4 par. 11 (consenso libero, specifico, informato e inequivocabile, espresso mediante azione positiva), 6 par. 1 lett. a) (per specifiche finalità) e 9 par. 2 lett. a) GDPR (consenso esplicito per il trattamento dei dati sulla salute). Inoltre, andrebbe garantita all’interessato la facoltà di revocare il proprio consenso, con la conseguenza che il titolare dovrebbe interrompere il trattamento dei dati successivo a tale revoca e, in assenza di altra base giuridica che giustifichi la conservazione, i dati dovrebbero essere cancellati.

L’art. 9 lett. i) e j), invece, consente di trattare i dati relativi alla salute, rispettivamente, per fini di sanità pubblica e di tutela dell’interesse pubblico, ovvero per fini statistici e di ricerca scientifica, sulla base di una norma del diritto UE o nazionale che adotti misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato.

Immuni ha quindi optato per la seconda soluzione, prevedendo che la base giuridica di tale trattamento sia ancora una volta l’6 D.L. 28/2020 (in conformità all’art. 9 appena citato), prevedendo a tutela dell’interessato, tra l’altro, l’utilizzo dei dati in forma aggregata o anonima.

• Tempi e modalità di conservazione

Il D.L. 28/2020 ha fornito sul punto delle indicazioni molto specifiche: i dati verranno archiviati su server localizzati in Italia, gestiti da soggetti pubblici, e potranno essere conservati solo per il tempo strettamente necessario al perseguimento delle finalità, in ogni caso non oltre il 31 dicembre 2020, dopodiché dovranno essere cancellati o resi definitivamente anonimi.

• Esercizio dei diritti dell’interessato

L’interessato può esercitare in ogni momento il diritto all’opposizione ex art. 21 GDPR semplicemente disinstallando l’app. Così come previsto dall’art. 11 par. 2 GDPR, non si applicano invece al trattamento in questione gli artt. da 15 a 20 GDPR, relativi ai diritti dell’interessato, poiché le chiavi di esposizione e gli identificativi di prossimità vengono cancellati in automatico dopo 14 giorni (anche dal server centrale) rendendo l’utente non identificabile. Resta invece salvo il diritto dell’utente di proporre reclamo presso il Garante privacy italiano.

[1] Come osservato dall’EDPB nelle Linee Guida 3/2020, infatti, si considerano dati relativi alla salute ex art. 4 par. 15 GDPR anche le informazioni che non riguardano direttamente la salute di un individuo, ma che possono rivelarne lo stato di salute in relazione al loro utilizzo in un contesto specifico (ad esempio, informazioni relative a un viaggio recente o alla permanenza in una regione interessata dal COVID-19 elaborate da un professionista sanitario per effettuare una diagnosi). La definizione di cui all’art. 4 par. 15 non va quindi interpretata in modo restrittivo.