ANDIP - E' stato presentato il nuovo sito dell'associazione

ANDIP - A partire da Marzo 2018 l'associazione riprende i suoi corsi formativi

ANDIP - Nel menù consulenze e servizi tutto quello che l'associazione propone ai propri iscritti e al mercato in tema di privacy

ANDIP - Nella nuova sezione Pillole di privacy troverete brevi concetti spiegati sui temi della Privacy

ANDIP - Grazie al contributo del suo comitato scientifico l'associazione si apre in toto al mondo digitale, parleremo anche di robotica

A far data dal 25 Maggio 2018 entra in vigore il regolamento europeo

ANDIP - è stata riattivata la newsLetter

ANDIP - E' in linea sulla nostra piattaforma il corso online per il GDPR.

IMMUNI: UN'APP CHE NON CONVINCE

Come noto è stata individuata con ordinanza n. 10/2020 datata 16 aprile 2020 del Commissario straordinario per l’emergenza dott. Arcuri l’app di tracciamento o meglio di contact tracing che verrà utilizzata per combattere il Covid- 19. L’app, selezionata dal gruppo di esperti insediato al dicastero dell'innovazione e proposta dal Ministro Paola Pisano si chiama “Immuni” ed è un progetto della software house milanese Bending Spoons.

Riguardo le modalità di funzionamento si compone di due parti.

La prima è un sistema di tracciamento dei contatti che sfrutta la tecnologia Bluetooth. Difatti attraverso il Bluetooth è possibile rilevare la vicinanza tra due smartphone entro un metro e ripercorrere a ritroso tutti gli incontri di una persona risultata positiva al Covid-19, così da poter rintracciare e isolare i potenziali contagiati. Una volta scaricata, infatti, l’ app conserva sul dispositivo di ciascun cittadino una lista di codici identificativi anonimi di tutti gli altri dispositivi ai quali è stata vicino.

La seconda funzione di Immuni, invece, è un diario clinico contenente tutte le informazioni più rilevanti del singolo utente (sesso, età, malattie pregresse, assunzione di farmaci). Lo stesso utente dovrà avere cura di aggiornare quotidianamente il diario clinico con eventuali sintomi e dettagli sullo stato di salute. Si tratta, di fatto, di una caratteristica simile a quella già presente nell'app AllertaLOM (CercaCovid) della Regione Lombardia.

Il commissario Arcuri ha precisato che si partirà da alcune regioni pilota - ancora da definire - per poi estendere il servizio ad un'area più vasta. Si tratta di uno strumento che può essere molto utile, principalmente, per gestire in modo ottimale la famosa seconda fase dell’emergenza, ma presenta delle criticità, alcune delle quali ammesse dallo stesso commissario che rischiano di condizionarne il risultato.

Il principale limite di carattere operativo riguarda la volontarietà dell'adesione, difatti come precisato dal Comitato europeo sulla protezione dei dati personali (EDPB) e dalla stessa nostra Autorità Garante in linea di principio, i dati relativi all'ubicazione possono essere utilizzati dall'operatore solo se resi anonimi o con il consenso dei singoli. Di conseguenza lo stesso dott. Arcuri auspica che ci sia una massiccia adesione volontaria dei cittadini, poiché il sistema di tracciamento dei contatti servirà proprio a capitalizzare l'esperienza della fase precedente ed evitare che il contagio si possa replicare. Per essere efficace, quindi, Immuni dovrà essere scaricata dal 60 per cento degli italiani.

In effetti già questo aspetto lascia molto perplessi poiché si rischia di utilizzare un’app, che comunque comporta un trattamento di particolari categorie di dati personali, senza avere garanzie sufficienti circa la sua funzionalità rischiando, quindi, di trovarsi di fronte a quelle famose “derive tecnologiche” citate dal prof. Rodotà.

In effetti, lo stesso EDPB ha anche precisato che il Regolamento generale sulla protezione dei dati (GDPR) è una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19. Il GDPR consente, difatti, alle competenti autorità sanitarie pubbliche e ai datori di lavoro di trattare dati personali nel contesto di un'epidemia, conformemente al diritto nazionale e alle condizioni ivi stabilite. Di conseguenza se il trattamento è ritenuto necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica, si può prescindere dal consenso dei singoli, poiché esiste già un presupposto di liceità di sicuro rilievo. Lo stesso art. 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica. E’ chiaro che tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all'interno di una società democratica. Tali misure, quindi, devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali. Inoltre, esse sono soggette al controllo giurisdizionale della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo. In presenza di situazioni di emergenza, le misure in questione devono essere rigorosamente limitate alla durata dell'emergenza.

Evidentemente si è ritenuto che il sistema di tracciamento non possa fondarsi su altre condizioni di liceità e quindi ci si è affidati al classico consenso che però inficia, come si è visto, in modo rilevante l’effettiva funzionalità del sistema e, ricordiamo, si deve fondare su un’informativa chiara e trasparente.

Eppure, come suggerito dall’EDPB, è stato precisato che Immuni garantirà l’anonimato (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi sulla concentrazione di dispositivi mobili in un determinato luogo ("cartografia"). Difatti le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati.

Anche in questo caso, però, bisogna riconoscere che l’EDPB non è stato categorico in quanto ha precisato che quando non è possibile elaborare solo dati anonimi, la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15). Inoltre qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l'obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale.

D’altro canto il tracciamento (ossia il trattamento di dati storici di localizzazione in forma non anonimizzata) può essere considerato lecito e proporzionato in circostanze eccezionali come quella che stiamo vivendo e in funzione delle modalità concrete del trattamento.

E’ ovvio, naturalmente, che tali misure debbano essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità).

Quello che va precisato, però, è che anonimizzare non è un operazione banale (rimuovere semplicemente il codice IMEI non basta); aggregare i dati, seppur anonimizzati è un operazione da valutare ed anonimizzare i dati e effettuare elaborazioni sui dati con l'ausilio di terze parti richiede misure di sicurezza adeguate su tutta la filiera di trattamento.

Viene inoltre, chiarito che l’app non utilizzerà la geolocalizzazione in quanto sfrutterà la connettività bluetooth. Sinceramente, anche questa non è una soluzione ideale poiché la tecnologia bluetooth non è certo affidabile e presenta, almeno, due limiti ben evidenti. Difatti, non ha una banda di comunicazione generica come il Wi-Fi, ma utilizza i profili specifici del dispositivo, che cambiano da costruttore a costruttore. Inoltre la banda è super affollata e se le antenne bluetooth sono a bassissima potenza, sui dispositivi meno costosi il bluetooth può avere prestazioni mediocri e scadenti. L'altro motivo è legato al software che gestisce il bluetooth, che non è mai privo di bug, che cambia a seconda del dispositivo elettronico, senza documentazione e senza supporto.

In realtà va riconosciuto che la Commissione UE, come si ricava da una nota del presidente dell’Autorità Garante Antonello Soro, ritiene che l’app sia comunque in linea con le linee guida in materia di protezione dati tracciate dalla stessa Commissione, ma nonostante tale rassicurazione rimangono molti interrogativi: quale sarà la sorte dei dati raccolti relativi a tante persone una volta cessata l’emergenza? Ed inoltre siamo sicuri che questo tracciamento non continuerà anche in una fase successiva per svolgere altre e meno lecite attività di controllo?

Non dimentichiamo che potrebbe essere molto rapido il passaggio da una società dell’informazione e della comunicazione ad una società del controllo se non ci fossero dei baluardi rappresentati proprio dai nostri diritti inviolabili riconosciuti dalla Carta Costituzionale. In questo ambito i modelli cinesi e coreani non sono certo modelli da seguire.

News letter

Iscriviti alla newsletter
Joomla Extensions powered by Joobi

Agenda Eventi

I nostri referenti in Italia

contentmap_module

Pillole di Privacy

Si possono utilizzare recapiti telefonici contenuti...

I dati personali di un professionista - anche quando sono estratti da un registro, elenco o albo consultabile da chiunque - possono essere utilizzati dal promotore solo se ha già acquisito lo specifico consenso dell’interessato iscritto all’albo o se presenta offerte strettamente attinenti all’attività svolta dal professionista contattato. Tutte le società, prima di poter utilizzare a fini di marketing i numeri...
08. 02. 2018
Read more

Il supermercato può rifiutarsi di concedere la tessera...

No, la tessera fedeltà è un’opportunità per l’azienda di fidelizzazione del cliente, ma non può trasformarsi in una forma occulta di raccolta dati per il marketing e la profilazione. Il consenso per tali attività non può essere imposto, ma va raccolto in modo specifico.
08. 02. 2018
Read more

A chi ci si deve rivolgere per sapere come ha avuto i dati...

È sufficiente farne richiesta al titolare del trattamento dei dati personali indicato nell’informativa privacy della società. Tale informazione può anche essere chiesta direttamente, magari all’operatore che ci sta telefonando.  
08. 02. 2018
Read more

Registrati al sito

Articoli e news

L’elaborazione dei dati acquisiti tramite dispositivi...

È innegabile che l'odierno uso intensivo di dispositivi video ha un impatto sul comportamento dei cittadini; inevitabilmente, quindi, le implicazioni sulla protezione dei dati sono enormi. La quantità di dati generati dai video, combinata con le innovative tecniche, ne aumenta fra l’altro i rischi di un uso non correlato o improprio. Il 29 gennaio 2020 è stata adottata, dopo la consultazione...
23. 04. 2020
Read more

Diritto all’oblio: la rilevanza storico-sociale...

https://www.altalex.com/documents/news/2020/04/14/diritto-all-oblio-la-rilevanza-storico-sociale-dell-archivio-giornalistico In determinati casi il riconoscimento del diritto all’oblio in merito alla pubblicazione di un articolo giornalistico comporta la necessità di trovare un punto di equilibrio tra gli interessi contrapposti (quelli del titolare del sito di un archivio giornalistico e quelli del titolare del dato, non più accessibile dai comuni motori di ricerca) e dovendo considerare la permanenza dell’interesse alla conservazione...
22. 04. 2020
Read more

L’importanza del digitale ai tempi del Coronavirus

https://www.altalex.com/documents/news/2020/03/18/importanza-digitale-tempi-coronavirus In questo difficile momento dove l’evoluzione della pandemia da Covid-19 ha costretto tutti noi a cambiare drasticamente le nostre abitudini di vita, rimanendo confinati all’interno dei nostri appartamenti, stanno assumendo grande rilevanza tante iniziative di natura digitale come quella del Ministro per l’Innovazione Tecnologia e l’Innovazione “Solidarietà digitale” nelle quali si riscoprono i grandi vantaggi connessi all’uso delle tecnologie digitali. In...
22. 04. 2020
Read more

Canale Video