All’interno del Provvedimento di autorizzazione emesso dal Garante Privacy che ha dato il “via libera” all’impiego dell’app Immuni emergono rilievi ed indicazioni riguardo la necessità di integrare la valutazione di impatto svolta (e trasmessa dal Ministero della Salute il 28 maggio 2020) precisando e chiarendo alcuni aspetti, già dalla fase di sperimentazione.
Il Ministero della Salute ha trasmesso al Garante la valutazione d’impatto effettuata ai sensi dell’art. 35 GDPR sul Sistema di allerta COVID-19, documentando così le misure tecniche e organizzative adottate per garantire “un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati”. Alcuni passaggi evidenziano la necessità di provvedere ad una maggiore chiarezza sia nell’ambito del rapporto con gli utenti che delle relazioni che intercorrono nei confronti di alcuni soggetti potenzialmente coinvolti nelle attività di trattamento di dati personali.
La raccolta delle opinioni da parte degli interessati (prevista dall’art. 35.9 GDPR) è stata svolta preliminarmente rendendo pubbliche alcune questioni tecniche tramite la piattaforma GitHub, ma il coinvolgimento degli utenti è stato programmato per la successiva fase di sperimentazione (della durata di almeno una settimana, limitata ad alcune Regioni o Province autonome). In relazione a tale ultimo punto il Garante sottolinea come tali opinioni debbano essere considerate sia per provvedere all’aggiornamento della valutazione di impatto che al continuo miglioramento del Sistema.
Affrontando l’aspetto della sicurezza, inoltre, il Garante evidenzia come il modello decentralizzato debba necessariamente coinvolgere l’utente per la gestione della sicurezza del dispositivo e nella conseguente mitigazione dei rischi del Sistema da eventuali intercettazioni (con malware o sniffer) e dalla perdita di riservatezza per re-identificazione (in pratica: “superando” lo pseudonimo e ottenendo informazioni sull’utente). Tale mitigazione avviene, oltre che mediante le misure tecniche e organizzative predisposte e adottate dal Ministero, rendendo l’utente maggiormente consapevole dei rischi e delle azioni da adottare per mantenere la sicurezza del proprio dispositivo.
Andando ad affrontare invece il tema dei soggetti coinvolti nel trattamento, mentre sono correttamente inquadrati come responsabili del trattamento Sogei s.p.a. e il Ministero dell’Economia e delle finanze (nell’ambito del Sistema Tessera Sanitaria) così come i sub-responsabili che forniscono servizi di Content Delivery Network (CDN) per Sogei, meno chiaro è invece il coinvolgimento degli “altri soggetti” nominati all’interno della valutazione d’impatto. Anzi, sul punto il Garante indica proprio che “non è invece sufficientemente chiarito il ruolo di altri soggetti ivi nominati o che potrebbero essere coinvolti nel Sistema Immuni”, citando a riguardo Bending Spoons s.p.a., Apple e Google, prescrivendo al Ministero di fornire precisazioni a riguardo. Qualora tali società si limitino ad essere dei fornitori di tecnologia non svolgerebbero certamente alcun ruolo nelle attività di trattamento dei dati personali, ovviamente, ma se alcuni soggetti possono essere coinvolti a vario titolo a svolgere attività all’interno del Sistema Immuni è necessario che, in ossequio al principio di responsabilizzazione, nella valutazione d’impatto sia svolta una puntuale descrizione di ruoli, operazioni e responsabilità ascrivibili a tali soggetti oltre che ad una valutazione degli eventuali rischi derivanti da tali attività per gli interessati.
Certamente, una versione “open” di almeno una parte della valutazione d’impatto avrebbe ben giovato al coinvolgimento degli utenti e ai propositi di trasparenza che il Ministero intende perseguire.
