Aggiornamenti sull’applicazione di contact tracing

Photo by Brian McGowan on Unsplash

##Aggiornamento## 17/05/2020 ###############################

La documentazione relativa all’app Immuni. Purtroppo solo in inglese…

https://github.com/immuni-app/documentation

##Aggiornamento## 01/05/2020 ore 10:12########################

Attivo su GitHub il repository del gruppo di lavoro data-driven per l’emergenza covid-19

https://github.com/taskforce-covid-19/documents

#############################################################

La fase di attivazione dell’app di contact tracing è alle porte. Gli organi di stampa riferiscono che l’app selezionata dovrebbe essere resa disponibile per il download già a partire dalla prima metà dei maggio.

Il Ministro per l’Innovazione riferirà oggi alle ore 16 in Commissione Affari costituzionali. Cliccare qui per assistere alla diretta.

Nella giornata di ieri nel sito del Ministero per l’Innovazione è stato pubblicato un articolo con

Un aggiornamento sull’applicazione di contact tracing digitale per l’emergenza coronavirus

Nell’articolo viene riferito che il sottogruppo “Profili giuridici della gestione dei dati connessa all’emergenza” ha evidenziato che:

“Le soluzioni tecnologiche esaminate più in linea con il quadro giuridico, in generale, funzionano come segue: il segnale Bluetooth LE (Low Energy) degli utenti che hanno scelto di installare una specifica applicazione viene registrato dalle analoghe applicazioni con le quali “entrano in contatto”; quando un utente viene diagnosticato contagiato dal Covid-19 il suo dispositivo trasmette i dati al server del soggetto pubblico che gestisce il sistema [alcune delle soluzioni valutate prevedono tale trasferimento su base sistematica e non condizionata], che provvede quindi a informare gli altri utenti – che abbiano egualmente volontariamente installato la medesima app – di essere a rischio contagio perché sono entrati in contatto con una persona risultata contagiata.

I presupposti essenziali delle valutazioni e considerazioni riassunte nel documento sono:

(a) che l’intero sistema integrato di contact tracing sia interamente gestito da uno o più soggetti pubblici e che il suo codice sia aperto e suscettibile di revisione da qualunque soggetto indipendente voglia studiarlo;

(b) che i dati trattati ai fini dell’esercizio del sistema siano “resi sufficientemente anonimi da impedire l’identificazione dell’interessato” [cfr. Considerando 26 GDPR] tenuto conto dell’insieme di fattori obiettivi, tra cui i costi, le tecnologie disponibili ed il valore della reidentificazione almeno in condizioni ordinarie e salvo il verificarsi di eventi patologici o, almeno, pseudo anonimi previa adozione di idonee misure idonee a limitare il rischio di identificazione degli interessati;

(c) che la decisione di usare la soluzione tecnologica sia liberamente assunta dai singoli cittadini;

(d) che raggiunta la finalità perseguita tutti i dati ovunque e in qualunque forma conservati, con l’eccezione di dati aggregati e pienamente anonimi a fini di ricerca o statistici, siano cancellati con conseguente garanzia assoluta per tutti i cittadini di ritrovarsi, dinanzi a soggetti pubblici e privati, nella medesima condizione nella quale si trovavano in epoca anteriore all’utilizzo della soluzione;

(e) che la soluzione adottata – nelle sue componenti tecnologiche e non tecnologiche – possa essere considerata, almeno in una dimensione prognostica, effettivamente efficace sul piano epidemiologico giacché, in difetto, diverrebbe difficile giustificare qualsivoglia, pur modesta e eventuale, compressione di diritti e libertà fondamentali”.

Il sistema di contact tracing dovrà essere finalizzato tenendo in considerazione l’evoluzione dei sistemi di contact tracing internazionali, oggi ancora non completamente definiti (PEPP-PTDP-3TROBERT), e in particolare l’evoluzione del modello annunciato da Apple e GoogleIl codice sorgente del sistema di contact tracing sarà rilasciato con licenza Open Source MPL 2.0 e quindi come software libero e aperto.

L’applicazione non dovrà accedere alla rubrica dei contatti del proprio telefono, non chiederà nemmeno il numero e non manderà SMS per notificare chi è a rischio.

Inoltre sarà necessaria l’integrazione delle indicazioni e dei protocolli sanitari stabiliti dal Ministero della Salute e dalle autorità sanitarie. L’applicazione si baserà sull’installazione volontaria da parte degli utenti e il suo funzionamento potrà cessare non appena terminerà la fase di emergenza, con cancellazione di tutti i dati generati durante il suo funzionamento.

L’applicazione non conserverà i dati relativi alla geolocalizzazione degli utenti, ma registrerà esclusivamente i contatti pseudonimizzati di prossimità rilevati mediante la tecnologia bluetooth low energy.

Il Consiglio dei Ministri di ieri ha ieri approvato ha approvato un decreto legge che introduce misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile, e disposizioni urgenti in materia di tutela dei dati personali nel tracciamento dei contatti e dei contagi da COVID-19.

Il decreto interviene in materia di prevenzione dei contagi da Covid-19. Al solo fine di allertare le persone che siano entrate in contatto con soggetti risultati positivi al nuovo coronavirus e tutelarne la salute attraverso le previste misure di profilassi legate all’emergenza sanitaria, il testo prevede che, presso il Ministero della salute, sia istituita una piattaforma per il tracciamento dei contatti stretti tra i soggetti che installino, su base volontaria, un’apposita applicazione per dispositivi di telefonia mobile.

L’applicazione sarà complementare rispetto alle ordinarie modalità già in uso da parte del Servizio sanitario nazionale.

Il Ministero adotterà misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali, assicurando, in particolare, che:

gli utenti ricevano, prima dell’attivazione dell’applicazione, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati;

per impostazione predefinita, i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID- 19, nonché ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti;

il trattamento effettuato sia basato sui dati di prossimità dei dispositivi, resi anonimi, oppure, ove ciò non sia possibile, pseudonimizzati. È esclusa in ogni caso la geo-localizzazione dei singoli utenti;

siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento;

i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della salute. I dati sono cancellati in modo automatico alla scadenza del termine;

Si prevede, infine, che:

i dati raccolti non possano essere trattati per finalità diverse da quella specificate, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica;

il mancato utilizzo dell’applicazione non comporti alcuna limitazione o conseguenza in ordine all’esercizio dei diritti fondamentali dei soggetti interessati;

la piattaforma sia realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o società a totale partecipazione pubblica e i programmi informatici sviluppati per la realizzazione della piattaforma siano di titolarità pubblica;

l’utilizzo dell’applicazione e della piattaforma, nonché ogni trattamento di dati personali siano interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati siano cancellati o resi definitivamente anonimi.

Questo il testo non definitivo dello Schema di decreto-legge approvato ieri dal Governo.

Skip to content