App immuni: come funziona ed in che modo tutela la privacy

App immuni - come funziona
75

In questi giorni si parla molto della “app immuni” disponibile per il download nei play store Google ed Apple. Saremo tenuti a valutare se installarla o meno. Per effettuare una scelta consapevole cerchiamo di approfondirne i principali aspetti, soprattutto a livello di privacy, e di comprenderne l’utilità.

  1. Inquadramento normativo
  2. Funzionamento della app
  3. I dati personali trattati
  4. I principi di privacy by design e by default
  5. La posizione del Garante
  6. Conclusioni

Inquadramento normativo

Con il d.l. 28/2020 è stato istituito il “Sistema di allerta Covid-19” nell’ambito del quale il Ministero della salute ha avviato il trattamento di dati personali con l’esclusiva finalità di “allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute”.
Il “Sistema di allerta Covid-19” rappresenta dunque il modello nazionale di contact tracing.
Nello specifico, con il termine Immuni, nel suo complesso, ci si riferisce alla “app immuni”, all’insieme delle componenti tecnologiche ed organizzative che ne consentono il funzionamento e ad un servizio di interazione con gli operatori sanitari, che si avvale del sistema Tessera Sanitaria.

Come vedremo, titolare del trattamento dei dati raccolti nell’ambito del “Sistema di allerta Covid-19” è il Ministero della salute.

Funzionamento della app

L’app immuni è disponibile per il download, in forma gratuita e del tutto volontaria, e consente ad ogni utente di essere tempestivamente avvisato nel caso sia entrato in contatto “qualificato” (il contatto per essere significativo deve essere avvenuto per un certo tempo e ad una certa distanza, conformemente a parametri elaborati dal Ministero – al momento, però, non ben definiti) con un soggetto positivo al Covid-19. Alla notifica di esposizione l’utente dovrebbe ricevere informazioni sui comportamenti da adottare.

Dall’informativa privacy reperibile al seguente link https://get.immuni.gov.it/docs/app-pn-it.html e dal provvedimento del Garante privacy del 01.06.20 (doc. web. 9356568 che esamineremo in seguito) si ricava il funzionamento dell’applicazione:

  1. al momento dell’installazione sul dispositivo mobile dell’utente, la app genera, in modo casuale, mediante algoritmi crittografici, una chiave temporanea denominata TEK (Temporary Exposure Key) che varia giornalmente. L’attribuzione di detta chiave al singolo device è del tutto casuale, svincolata da indicazioni sul dispositivo sul quale è installata la app o sull’utente. A partire da ogni TEK, circa ogni 10 minuti, è generato un codice identificativo di prossimità del dispositivo mobile (tecnicamente detto Rolling Proximity Identifier – RPI). La chiave TEK viene aggiornata quotidianamente mentre i codici RPI mutano varie volte all’ora. Il meccanismo consente in tal modo di conseguire due risultati: da un lato, di abbinare in ogni momento al device un codice identificativo univoco per renderlo “riconoscibile”, dall’altro, di mantenere l’anonimato sull’utente della app;
  2. nel caso in cui due device entrino in contatto qualificato, essi registreranno e conserveranno i rispettivi RPI. Ciò è possibile mediante l’uso della tecnologia BLE (Bluetooth Low Energy). E questo fa sì, ancora una volta, che nel dispositivo di ciascun utente resti traccia del RPI abbinato al device dell’altro, senza che ciò consenta in alcun modo di conoscere l’identità degli individui, né di sapere dove tale contatto sia avvenuto (è chiaro che rendere identificabile il device e non l’interessato, se garantisce la riservatezza, crea problemi nel caso in cui il dispositivo mobile non sia sempre nella disponibilità del medesimo individuo);
  3. nel caso in cui un utente risulti positivo al Covid-19 potrà (in modo del tutto volontario) trasmettere le proprie TEK ad un server centrale per permettere al sistema di allertare gli utenti con cui è entrato in contatto nei giorni precedenti. Ciò potrà avvenire solo mediante l’aiuto di un operatore sanitario e consentirà di pubblicare le Temporary Exposure Key dei positivi su un server centrale, per la messa a disposizione dell’app immuni, affinchè possano essere scaricate in modo automatico e periodico dagli utenti di immuni: in questo modo ciascun device avvierà il confronto tra gli RPI ricavati dalle TEK scaricate e quelli memorizzati all’interno di ciascun dispositivo;
  4. In caso di corrispondenza l’utente riceverà una notifica di esposizione al rischio contagio.

Il meccanismo descritto si basa sulla ricerca dei contatti avuti con soggetti risultati positivi e che hanno accettato di comunicare i codici registrati sui propri dispositivi, corrispondenti ad altrettanti device incontrati nel corso di un certo periodo di tempo.
Sarà la app che, scandagliando il server centrale, qualora trovi delle corrispondenze, invierà una notifica al titolare del dispositivo segnalando il potenziale rischio di contagio.
Il sistema si basa solo sulle comunicazioni che avvengono tra i singoli device, nulla dicendo sugli utenti, pertanto il destinatario dell’allert non saprà dove sia avvenuto il contatto, né avrà alcuna informazione sul soggetto positivo, né altre indicazioni, ad esempio, circa l’uso di misure di protezione individuale adottate dal singolo utente nel momento del contatto.
Ciò con massima tutela della privacy e garanzia di anonimato ma con la connessa incertezza sulle circostanze e sul contesto del possibile contagio.

I dati personali trattati nell’app immuni

Nell’informativa privacy dell’applicazione sono elencante tutte le caratteristiche del trattamento, in attuazione degli obblighi di informazione e trasparenza imposti dal GDPR.
Il titolare (il Ministero della salute) precisa che i dati personali saranno solo quelli necessari ad avvisare l’utente/interessato di essere stato esposto ad un rischio di contagio e ad agevolare l’eventuale adozione di misure di prevenzione e assistenza sanitaria. Ciò, quindi, in piena conformità con le finalità di realizzazione del “Sistema di allerta Covid-19”.

Privilegiando un’impostazione schematica orientata alla massima chiarezza espositiva, l’informativa contiene tre tabelle, con il dettaglio delle tipologie di dati personali trattati, con riguardo alle diverse categorie di interessati.

Nella tabella A sono indicati i dati personali trattati con riguardo a tutti gli utenti dell’app:

  • provincia di domicilio, con l’obiettivo di consentire il monitoraggio sullo sviluppo dell’epidemia;
  • indicatori di corretto funzionamento dell’applicazione;
  • token temporanei per finalità di validazione degli indicatori di funzionamento;
  • indirizzo IP usato dal device per connettersi ad internet e far comunicare i dispositivi con il server dell’applicazione.

Si distinguono poi ulteriori tipologie di dati con riguardo a due differenti categorie di utenti: quelli esposti al rischio contagio ed i positivi al Covid-19.

Nella tabella B sono indicati i dati dei soli utenti risultati esposti al rischio contagio, che sono:

  • dati di cui alla tabella A;
  • ricezione di notifica di esposizione: con cui è segnalato all’utente il rischio di esposizione e la data in cui è avvenuto l’ultimo contatto;
  • data dell’ultimo contatto a rischio.

I dati di cui alla tabella C, in relazione agli utenti positivi al Covid-19, sono:

  • dati di cui alla tabella A;
  • chiavi di esposizioneTEK (Temporary Exposure Key) con cui il dispositivo dell’utente ha generato i codici casuali (RPI), inviati fino a 14 giorni prima, ai device con cui è entrato in contatto. Come descritto sopra è questo il meccanismo di segnalazione ed identificazione dei contatti con il positivo;
  • indicatori di rischio di precedenti contatti: sono i parametri relativi alla durata e alla distanza di contatto al fine di individuare le soglie che fanno scattare la notifica (su questo punto, allo stato delle cose, non vi sono precise informazioni);
  • OTP: una one time password di 10 caratteri che l’utente positivo dovrà comunicare all’operatore sanitario, qualora decida di inviare al server centrale gli identificativi dei device incontrati e memorizzati sul proprio dispositivo;
  • data di comparsa dei sintomi o, in caso di asintomaticità, data di effettuazione del tampone: consente di segnalare del rischio contagio i soli utenti entrati in contatto con un positivo entro un certo tempo, riducendo il più possibile i falsi allarmi.

I principi di privacy by design e by default dell’app immuni

La app immuni si basa sulla tecnologia Bluetooth Low Energy (BLE): i cellulari conservano in memoria i dati di altri dispositivi mobili con cui sono entrati in contatto (in forma di codici anonimi crittografati).

Come indicato dalla Commissione Europea, è stato escluso l’uso della tecnologia GPS a favore di quella bluetooth, ritenuta maggiormente compatibile con i principi di protezione dei dati personali.
Per le stesse ragioni, si è optato per un modello decentralizzato, rispetto a quello centralizzato che avrebbe comportato la memorizzazione dei dati su uno o più server centrali.
In questo modo, i soli dati caricati, in modalità anonima, sul server centrale sono quelli comunicati dai soggetti positivi al Covid-19: i singoli device potranno rilevare la sussistenza di un eventuale contatto, mediante il confronto con gli RPI salvati all’interno di ciascun dispositivo mobile.
Nel caso in cui il sistema riscontri la presenza, tra i codici salvati nella propria memoria, di uno di quelli che appartiene ad un soggetto positivo, scatterà la notifica di esposizione.

Inoltre, il sistema si basa in modo significativo sull’uso della crittografia a chiave asimmetrica, al fine di garantire la massima sicurezza e riservatezza: trattandosi di un modello decentralizzato, la crittografia delle chiavi avviene direttamente sul device dell’utente, mentre al server centrale è assegnato il solo compito di fornire la lista dei codici anonimi dei contagiati. 

Altro esempio di privacy by design è l’uso della pseudonimizzazione usata per il trattamento di dati di prossimità dei dispositivi.
Molto importante, dal punto di vista tecnologico, è stato il contributo dei due colossi Google ed Apple, i quali hanno rilasciato delle API per consentire l’accesso alle funzioni bluetooth dei dispositivi.
Gli sviluppatori potranno così migliorare il funzionamento dell’app in background, limitando quanto più possibile il rischio di falsi negativi, che potrebbe originare dalla potenza variabile del segnale bluetooth.
È di fondamentale importanza per l’intero sistema determinare con esattezza la “soglia” che fa scattare la rilevanza del contatto: essa è determinata da parametri di tempo e spazio che si basano sulle informazioni ricevute dal sistema bluetooth.
Peraltro, come anticipato, al momento non sono disponibili adeguate indicazioni sul funzionamento dell’algoritmo di calcolo usato per far scattare la segnalazione, con pregiudizio per la trasparenza.

La posizione del Garante

Con provvedimento del 01.06.2020, il Garante ha autorizzato il Ministero della salute ad avviare il trattamento dei dati relativo al “Sistema Codid-19” all’esito di un procedimento che ha visto l’Autorità esprimersi già a fine Aprile e che ha tenuto conto delle linee guida europee (n. 04/2020 dell’EDPB), in tema di utilizzo di dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19.

Pur ritenendo il sistema proporzionato, l’Autorità elenca 12 prescrizioni volte a rafforzare le garanzie nei confronti degli interessati, tra cui:

  1. informare gli utenti sulle possibilità che la app generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio (è possibile, ad esempio, che il soggetto contagiato sia stato in contatto con il positivo nell’ambito di un contesto in cui erano prescritte misure di protezione individuale – ad esempio uso di mascherina in ambiente di lavoro – tali per cui il rischio potrebbe ritenersi sensibilmente mitigato);
  2. consentire agli utenti di disattivare in qualunque momento, anche in via temporanea, la app senza bisogno di disinstallarla;
  3. adottare misure di sicurezza e tecniche di anonimizzazione;
  4. commisurare i tempi di conservazione degli indirizzi IP nella misura strettamente necessaria al rilevamento di anomalie e di attacchi;
  5. adottare misure tecniche e organizzative per mitigare i rischi derivanti dall’upload di TEK non riferite a soggetti positivi, a seguito di eventuali errori materiali o diagnostici.

Conclusioni

Il giudizio sulla app immuni è, dunque, sostanzialmente positivo.
Si tratta di un buon esempio di compatibilità e bilanciamento tra tecnologia e diritti.
Non va sottaciuto, però, che permangono criticità, anche dal punto di vista del trattamento dei dati personali (evidenziate dal Garante) che, tuttavia, non hanno impedito l’emissione del provvedimento di autorizzazione. A parere di chi scrive i due aspetti su cui è necessario un approfondimento sono:

  1. la mancanza di trasparenza sul funzionamento dell’algoritmo che dà origine alle segnalazioni di potenziale contagio: non è noto quali siano il tempo e la distanza di prossimità al contagiato che faranno superare la soglia da cui deriverà la notifica di esposizione;
  2. la mancanza di informazioni circa la gestione dei destinatari della notifica di esposizione: se ed in quale misura essi verranno instradati in un percorso di monitoraggio sanitario volto a verificare l’effettivo contagio.
    Chiarire questi due temi aumenterà la fiducia degli utenti, incentivando l’installazione e l’uso della app.

Avv. Arianna Ciracò

Potrebbero interessarti
Rimozione e deindicizzazione datiRimozione e deindicizzazione dei contenuti online
GDPR Cosa devono fare le aziende per adeguarsiGDPR – Cosa devono fare le aziende per adeguarsi?
Data Onboarding e protezione dei dati personaliData Onboarding e protezione dei dati personali
Covid 19 challengeDeadline prorogata per la Covid-19 Challenge
Aprire un negozio onlineCome aprire un negozio online – Aspetti legali dell’ecommerce
Pubblicità comportamentalePubblicità comportamentale e tutela della Privacy