Update 30 aprile
Il governo ha varato il decreto che regola il funzionamento della app Immuni.
Sarà il ministero della Salute a gestire la piattaforma informatica per il tracciamento dei contatti tra coloro che hanno installato, su base volontaria, la app Immuni. Lo prevede una parte del provvedimento che sta elaborando il governo e che CorCom ha potuto visionare.
“Al solo fine di rintracciare le persone che siano entrate in contatto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di profilassi nell’ambito delle misure di sanità pubblica legate all’emergenza Covid-19 – si legge nel decreto – presso il Ministero della Salute è istituita una piattaforma per il tracciamento dei contatti stretti tra i soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile”.
La piattaforma, che consentirà di fare “matching” tra i dati raccolti tramite Immuni, sarà realizzata con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o in controllo pubblico. Secondo indiscrezioni di stampa in lizza ci sarebbero Sogei, la spa tecnologica del Mef, e Sia che è controllata all’80% da Cdp. Entrambe le società rispondono ai requisiti richiesti.
Anche la ministra dell’Innovazione Paola Pisano, in audizione alla Camera, ha sottolineato il ruolo strategico che le società pubbliche stanno giocando nel programma di data tracing: “Per tutto quello che l’app per il tracciamento dei dati comporta, analisi e sviluppo, gestione dei dati, diffusione negli store, sono “coinvolte in questo momento società pubbliche interamente partecipate dallo Stato: PagoPa e Sogei Spa, oltre che il dipartimento”.
Il provvedimento allo studio del governo prevede anche che gli utenti ricevano, prima dell’attivazione dell’applicazione , informazioni chiare e trasparenti sul trattamento e la conservazione dei dati che “resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati; è esclusa in ogni caso la geolocalizzazione dei singoli utenti”.
I dati relativi ai contatti stretti saranno conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento.
Il decreto stabilisce regola anche la dead line del programma di data tracong. “L’utilizzo dell’applicazione e della piattaforma, nonché ogni trattamento di dati personali effettuato ai sensi al presente articolo sono interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi”.
Di seguito l’articolo del decreto
1. Al solo fine di rintracciare le persone che siano entrate in contatto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di profilassi nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19, presso il Ministero della Salute è istituita una piattaforma per il tracciamento dei contatti stretti tra i soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile. Il Ministero, in qualità di titolare del trattamento, si coordina, anche ai sensi dell’art. 28 del Regolamento (UE) 2016/679, con i soggetti operanti nel Servizio nazionale della protezione civile, di cui agli articoli 4 e 13 del codice di cui al decreto legislativo 2 gennaio 2018, n. 1, e con i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3 febbraio 2020, nonché con l’Istituto superiore di sanità e con le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale, nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all’emergenza epidemiologica da COVID 19, per gli ulteriori adempimenti necessari al tracciamento dei contatti e per l’adozione di correlate misure di sanità pubblica e di cura. La modalità di tracciamento dei contatti tramite la piattaforma informatica di cui al presente comma è complementare alle ordinarie modalità in uso nell’ambito del Servizio sanitario nazionale.
2. Il Ministero, all’esito di una valutazione di impatto, costantemente aggiornata, effettuata ai sensi dell’articolo 35 del Regolamento (UE) 2016/679, adotta misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali ai sensi dell’articolo 36, par. 5, del medesimo Regolamento (UE) 2016/679 e dell’articolo 2-quinquiesdecies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, assicurando, in particolare, che:
a) gli utenti ricevano, prima dell’attivazione dell’applicazione, ai sensi degli articoli 13 e 14 del Regolamento, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati;
b) per impostazione predefinita, in conformità all’articolo 25 del Regolamento, i dati personali raccolti dall’applicazione di cui al comma 1 siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, individuati secondo criteri stabiliti dal Ministero della salute e specificati nell’ambito delle misure di cui al presente comma del presente comma, nonché ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti;
c) il trattamento effettuato per il tracciamento dei contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati; è esclusa in ogni caso la geolocalizzazione dei singoli utenti;
d) siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento;
e) i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della salute e specificato nell’ambito delle misure di cui al presente comma; i dati sono cancellati in modo automatico alla scadenza del termine;
f) i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento (UE) 2016/679 possano essere esercitati anche con modalità semplificate.
3. I dati raccolti attraverso l’applicazione di cui al comma 1 non possono essere utilizzati per finalità diverse da quella di cui al medesimo comma 1, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini statistici o di ricerca scientifica.
4. Il mancato utilizzo dell’applicazione di cui al comma 1 non comporta alcuna limitazione o conseguenza in ordine all’esercizio dei diritti fondamentali dei soggetti interessati ed è assicurato il rispetto del principio di parità di trattamento.
5. La piattaforma di cui al comma 1 è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o in controllo pubblico.
6. L’utilizzo dell’applicazione e della piattaforma, nonché ogni trattamento di dati personali effettuato ai sensi al presente articolo sono interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi.
La strategia di Colao
Immuni servirà ma bisogna fare in fretta. Vittorio Colao, a capo della task force che sta aiutando il governo a delineare la Fase 2, evidenzia l’importanza dell’app di tracciamento nella lotta al Coronavirus.
“L’app – dice il manager al Corriere della Sera – servirà davvero “se arriva in fretta, e se la scarica la grande maggioranza degli italiani. E importante lanciarla entro la fine di maggio; se quest’estate l’avremo tutti o quasi, bene; altrimenti servirà a poco”.
In merito alla potenziale violazione della privacy, Colao è chiaro: “Non è così. Non è stato scelto il sistema centralizzato, che manteneva l’identità di tutti i contatti. E’ stata scelta l’altra soluzione, quella Apple-Google. I contatti stanno solo sui telefonini delle persone. Quando scopro di essere contagiato, sono io che metto dentro un codice, che rilascia una serie di codici alle persone con cui sono entrato in contatto. Tutto avviene in modo anonimo: l’individuo viene informato dal sistema, ma il sistema non sa chi sono i due; la privacy dei due individui è mantenuta. Nessuno conosce l’altro. Il sistema sanitario locale, se vorrà, potrà disegnare l’app in modo da contattare i cittadini, ma in trasparenza”.
Gli italiani, assicura, la scaricheranno: “se gli verrà spiegato bene, lo faranno. Se vivessi in un piccolo paese e fossi contagiato, avviserei chi mi è stato vicino di stare attento. L’app lo fa in automatico e anonimamente: mi avviserebbe che sono stato in contatto con un contagiato, e devo chiamare il servizio sanitario. Non vedo perché gli italiani dovrebbero rinunciare a informazioni che non limitano ma rafforzano la loro libertà”.
Secondo Colao l’emergenza Coronavirus può essere trasformata anche in un’occasione per ricostruire la macchina dello Stato. “Non solo – evidenzia – è l’occasione per rilanciare tutto il sistema Italia. II Paese ha imparato a usare le nuove tecnologie, i nuovi strumenti per comunicare. Dobbiamo ammodernare i modelli commerciali delle nostre imprese”.
Immuni è in fase di test nell’hub Ferrari di Maranello. Il commissario straordinario Domenico Arcuri ieri ha assicurato che la app sarà operativa da maggio.
“Noi abbiamo lavorato per perseguire un obiettivo giusto, il server della App è pubblico e italiano, al momento dello sviluppo, e lo faremo prima di introdurla sul mercato, si potrà decidere se lasciare i dati sul telefonino e-o sul server, la modalità non cambia e anche se i dati fossero sul server pubblico comunque sarebbero criptati. Inoltre al momento l’alert arriverà alla persona e non al Servizio Sanitario nazionale, sarà quindi l’utente a diventare protagonista del percorso sanitario”, prosegue il commissario ricordando che “mancano sei giorni al 4 maggio, inizia un graduale alleggerimento delle misure di contenimento, io resto un convinto assertore della prudenza e della cautela. Inoltre voglio sottolineare che le critiche al governo sono il segno che le decisioni sono state ispirate da equilibrio e prudenza. Non possiamo illuderci di uscire dal lockdown ignorando i rischi che corriamo”.
“Ovviamente se la relazione tra la tempestività che il contact tracing garantisce e il fatto che tu ti sottoponga tempestivamente a un tampone salta noi non abbiamo raggiunto l’obiettivo, quindi sarà anche necessario che in un tempo molto ravvicinato ci si possa sottoporre al tampone”, ha proseguito Arcuri parlando ancora della appa Immuni.
“Gli scienziati ci dicono che il tempo minimo certo per essere a rischio di contagio sia 15 minuti – ha precisato ancora Arcuri – La app sarà collegata ai tamponi, noi ne abbiamo distribuiti 2,5 mln fino a ieri, ne abbiamo eseguiti 1,7 mln, debbo immaginare che le regioni abbiano in magazzino almeno 800mila tamponi, continueremo con una massiccia distribuzione per essere certi che ce ne sia sempre una quantità sufficiente”.
Il governo è in attesa del rilascio delle Api di Apple e Google che consentono la “comunicazione” tra gli smartphone iOs e Android. Inoltre abilitano il modello decentralizzato per la gestione dei dati per il quale ha optato la ministra dell’Innovazione, Paola Pisano.
“Il sistema di contact tracing – ha spiegato la ministra – dovrà essere finalizzato tenendo in considerazione l’evoluzione dei sistemi di contact tracing internazionali, oggi ancora non completamente definiti (PEPP-PT, DP-3T, ROBERT), e in particolare l’evoluzione del modello annunciato da Apple e Google. Il codice sorgente del sistema di contact tracing sarà rilasciato con licenza Open Source MPL 2.0 e quindi come software libero e aperto“.
Nel modello decentralizzato nessuno conosce i contatti di tutti gli utenti, ma ciascun utente conosce i propri. Quando un utente risulta positivo, un suo identificativo anonimo viene reso pubblico – previo consenso dell’interessato – di modo che gli altri utenti possano verificare se sono entrati in contatto con il contagiato, senza però sapere di chi si tratta.
Articolo originariamente pubblicato il 04 Ott 2020