desc

Contact tracing, il Governo mette le regole in un decreto

Cybersecurity
TECH
Edit article
Set prefered

Contact tracing, il Governo mette le regole in un decreto

Il testo del DL uscito dal Consiglio dei Ministri riprende quanto anticipato dal Ministro Pisano. I dati, anonimizzati, resteranno sui server pubblici fino alla fine dell’anno

Il testo del DL uscito dal Consiglio dei Ministri riprende quanto anticipato dal Ministro Pisano. I dati, anonimizzati, resteranno sui server pubblici fino alla fine dell’anno

Cybersecurity

Al termine di una seduta del Consiglio dei Ministri conclusasi a tarda notte, il Governo Conte ha reso noto di aver inserito tra gli altri argomenti trattati anche la app di contact tracing tra gli aspetti normati a mezzo di un decreto legge. Nel testo della nota del Governo si riprendono i temi già trattati dal Ministro Pisano in audizione al Senato nella giornata di ieri: Immuni, o qualunque sarà il nome finale dell’app, sarà totalmente gestita dal soggetto pubblico, punta alla decentralizzazione dei dati più sensibili e gli unici dati trattati a livello centrale saranno in ogni caso aggregati o conservati in forma pseudoanonimizzata.

Preparazione e lancio

Nella nota prodotta dal Governo si legge che “il testo prevede che, presso il Ministero della salute, sia istituita una piattaforma per il tracciamento dei contatti stretti tra i soggetti che installino, su base volontaria, un’apposita applicazione per dispositivi di telefonia mobile”: niente obbligatorietà, quindi, anzi si precisa che “il mancato utilizzo dell’applicazione non comporti alcuna limitazione o conseguenza in ordine all’esercizio dei diritti fondamentali dei soggetti interessati”.

 

Tale piattaforma si comporrà di due parti: un’app, quella di cui tanto si è parlato in questi giorni, e una infrastruttura di backend che servirà a raccogliere dati “in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica”. Una importante precisazione, anche alla luce delle domande emerse ieri in Commissione al Senato: “la piattaforma sia realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o società a totale partecipazione pubblica e i programmi informatici sviluppati per la realizzazione della piattaforma siano di titolarità pubblica”. Il testo non lo dice, ma stando a quanto comunicato dal Ministro Pisano tale ente dovrebbe essere SOGEI.

 

Infine, il Governo pone come condizioni per il lancio dell’app due elementi: che “gli utenti ricevano, prima dell’attivazione dell’applicazione, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati”. Inoltre, forse più significativo, “per impostazione predefinita, i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID- 19, nonché ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti”: in altre parole, niente diario clinico ma un semplice sistema di segnalazione di eventuali contatti con soggetti poi risultati positivi al Covid19. Per questo, “L’applicazione sarà complementare rispetto alle ordinarie modalità già in uso da parte del Servizio sanitario nazionale”: ovvero, distanziamento sociale e profilassi (igiene, mascherine ecc) saranno gli altri elementi del sistema.

Le condizioni per la privacy

Tra le condizioni poste all’implementazione di questo strumento di contact tracing: “il trattamento effettuato sia basato sui dati di prossimità dei dispositivi, resi anonimi, oppure, ove ciò non sia possibile, pseudonimizzati. È esclusa in ogni caso la geo-localizzazione dei singoli utenti”. Ovvero, quanto ha detto ieri il Ministro Pisano: codici random che ruotano nel tempo scambiati tra i cellulari a mezzo Bluetooth LE, a condizione che “siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento”.

 

Altro aspetto cruciale è la durata della conservazione di questi dati: alcuni parametri saranno specificati dal Ministero della Salute, ma si precisa che “i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento”. Inoltre “I dati sono cancellati in modo automatico alla scadenza del termine” e “ogni trattamento di dati personali siano interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati siano cancellati o resi definitivamente anonimi”.