Via libera dal Garante privacy al call center nazionale per la app Immuni. L’Autorità ha dato parere favorevole allo schema di ordinanza del Commissario straordinario che regola l’organizzazione e il funzionamento del Servizio nazionale di supporto telefonico e telematico alle persone risultate positive al Covid-19, istituito dal decreto legge “Ristori”.
Lo schema individua, in particolare, le modalità con le quali il call center, su richiesta dell’interessato, avvia la procedura di sblocco dell’app Immuni del chiamante risultato positivo per inviare il messaggio di allerta ai suoi contatti; le modalità di trasmissione agli assistiti del codice univoco nazionale (Cun) che identifica tutti referti (positivi e negativi) dei test Covid-19; le regole con cui le strutture sanitarie comunicano al sistema centrale denominato Tessera Sanitaria l’esito (positivo o negativo) del tampone; il tempo di conservazione dei dati raccolti.
Nel corso delle interlocuzioni avute con il Ministero della Salute, il Ministero dell’economia e finanze, il Commissario straordinario e il Dipartimento della trasformazione digitale della Presidenza del Consiglio dei ministri, l’Ufficio del Garante ha fornito specifiche indicazioni per individuare, seppur con l’urgenza richiesta dall’emergenza sanitaria, soluzioni rispettose della protezione di dati degli assistiti, come si legge in una nota del Garante.
I vincoli sul codice Cun e la piattaforma di accesso
In particolare l’Autorità ha ritenuto che l’identificazione di chi chiama il call center e del suo stato di positività dovesse avvenire attraverso un apposito codice, il codice univoco nazionale del referto Covid (Cun), che individua in modo univoco il singolo referto e la persona ad esso associata, anziché con altre modalità meno sicure dal punto di vista della protezione dei dati degli assistiti, evitando che fosse creata una nuova banca dati dei referti Covid, liberamente consultabile dagli operatori del call center.
Il Garante ha chiesto inoltre che la piattaforma utilizzata dagli operatori del call center per accedere al Sistema Tessera Sanitaria sia progettata e realizzata adottando stringenti misure di sicurezza adeguate al rischio che presenta un trattamento di dati così delicato (in particolare, riguardo alle modalità di autenticazione informatica, ai profili di autorizzazione e al tracciamento delle operazioni svolte dagli stessi operatori).
L’Autorità, infine, ha prescritto al Ministero della salute di effettuare controlli costanti sull’attività del soggetto a cui è affidata la gestione del call center Immuni, per verificare il pieno rispetto della disciplina sulla privacy. Alla luce delle novità introdotte con l’istituzione del call center, il Ministero dovrà aggiornare anche la valutazione d’impatto relativa ai trattamenti di dati effettuati nell’ambito del sistema di allerta Covid-19.
Il call center finanziato con 4 milioni
Il call center nazionale per Immini è stato introdotto a fine ottobre dal decreto Ristori. Attivato presso il ministero della Salute, è finanziato con 4 milioni di euro complessivi, di cui uno disponibile subito e tre nel 2021.
Come si legge all’art. 20, “Il Ministero della Salute svolge attività di contact tracing e sorveglianza sanitaria nonché di informazione e accompagnamento verso i servizi di prevenzione e assistenza delle competenti aziende sanitarie locali. A tal fine, il Ministero della Salute attiva un servizio nazionale di supporto telefonico e telematico alle persone risultate positive al virus SARS-Cov-2, che hanno avuto contatti stretti o casuali con soggetti risultati positivi o che hanno ricevuto una notifica di allerta attraverso l’applicazione Immuni (…), i cui dati sono resi accessibili per caricare il codice chiave in presenza di un caso di positività. A tal fine i dati relativi ai casi diagnosticati di positività al virus SARS-Cov-2 sono resi disponibili al predetto servizio nazionale, anche attraverso il Sistema Tessera Sanitaria ovvero tramite sistemi di interoperabilità”.
Il governo ha cercato così di sanare una lacuna di Immuni segnalata da molti utenti: una volta ricevuta la notifica di avvenuto contatto a rischio, non c’era assistenza in merito alle decisioni da intraprendere.