Con la memoria del 19 ottobre 2020, il Presidente dell’Autorità Garante per la protezione dei dati personali ha illustrato alla Commissione Affari Costituzionali del Senato lo stato del sistema di contact tracing adottato tramite la app Immuni, precisando inoltre i riscontri ai rilievi formulati tramite il provvedimento di autorizzazione del 1 giugno 2020.
Risulta difatti che a tali rilievi il Ministero della Salute abbia risposto già il 23 giugno, e dunque entro i termini di 30 giorni, indicando però “alcune difficoltà emerse nell’adempimento” di alcuni punti, ovverosia:
- adeguata protezione degli analytics nel backend di Immuni, evitandone ogni forma di riassociazione a soggetti identificabili;
- integrazione, sulla base del principio di responsabilizzazione, della valutazione d’impatto con la descrizione del ruolo e delle operazioni ascrivibili ad altri soggetti suscettibili di coinvolgimento nel Sistema Immuni;
- commisurazione dei tempi di conservazione degli indirizzi ip nella misura strettamente necessaria al rilevamento di anomalie e di attacchi;
- garanzia del tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati;
- adozione di misure tecniche e organizzative per mitigare i rischi derivanti dall’upload di TEK non riferite a soggetti positivi a seguito di eventuali errori materiali o diagnostici.
Nonostante il rinnovo della valutazione d’impatto inviata all’Authority il 16 ottobre in conseguenza all’interoperabilità con i sistemi di allerta che operano nel territorio dell’Unione Europea, i punti sopra evidenziati non sembrano ancora aver trovato una soluzione.
La ricerca continua di una sintesi delle esigenze di tutela individuale e collettiva va a connotare l’azione del Garante, e al momento l’Autorità sta approfondendo mediante istruttorie e incontri tra Uffici alcuni profili relativi al sistema di contact tracing.
I punti tutt’ora irrisolti, però, destano alcune preoccupazioni in quanto investono aspetti di sicurezza (protezione e assegnazione di ruoli e responsabilità), riguardano il coinvolgimento di operazioni di “altri soggetti suscettibili di coinvolgimento nel Sistema Immuni” ed hanno un impatto significativo sugli interessati per la mancata mitigazione dei rischi per i falsi positivi.
Alcune perplessità emergono inoltre in conseguenza di un approccio piuttosto opaco da parte del Ministero della Salute, con la scelta di non aver reso pubblicamente consultabile e disponibile un estratto aggiornato della valutazione d’impatto (contrariamente a quanto fatto per il codice sorgente).
Fino alla memoria del Garante, infatti, non era possibile per i cittadini sapere neanche circa il tempestivo riscontro ai rilievi formulati, né alcun aggiornamento dei “lavori in corso” sulla valutazione d’impatto. Con buona pace dei buoni propositi di trasparenza da perseguire per acquisire la fiducia dei cittadini nell’impiego dell’app.
