Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid 19- App Immuni a seguito dell’aggiornamento della valutazione di impatto effettuata dal Ministero della salute su cui l’Autorità si era espressa con provvedimento del 1° giugno 2020 - 25 febbraio 2021 [9555987]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9555987
Data:
25/02/21
Argomenti:
Particolari categorie di dati , Sanità e ricerca scientifica , Dati sanitari , Stato di salute , App , DPIA , Coronavirus
Tipologia:
Autorizzazione

 

VEDI ANCHE NEWSLETTER DELL'11 MARZO 2021

 

[doc. web n. 9555987]

Provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid 19- App Immuni a seguito dell’aggiornamento della valutazione di impatto effettuata dal Ministero della salute su cui l’Autorità si era espressa con provvedimento del 1° giugno 2020 - 25 febbraio 2021

Registro dei provvedimenti
n. 65 del 25 febbraio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTE le “Linee guida 04/2020 sull’utilizzo dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19” del Comitato europeo per la protezione dei dati del 21 aprile 2020 (doc. web n. 9322516);

VISTO l’art. 17-bis del decreto legge 17 marzo 2020, n. 18, concernente “Disposizioni sul trattamento dei dati personali nel contesto emergenziale”, convertito, con modificazioni, dall’art. 1, comma 1, della legge 24 aprile 2020, n. 27;

VISTO l’art. 6 del decreto legge 30 aprile 2020, n. 28, convertito, con modificazioni, dall’art. 1, comma 1, della legge 25 giugno 2020, n. 70, che ha introdotto il “Sistema di allerta Covid-19”, sul quale l’Autorità ha espresso il proprio parere con il provvedimento n. 79 del 29 aprile 2020, doc. web n. 9328050), successivamente modificato e integrato dall’art. 2, comma 1, lett. b), del decreto legge 7 ottobre 2020, n. 125, convertito, con modificazioni, dalla legge 27 novembre 2020, n. 159, in relazione al quale il Presidente dell’Autorità ha presentato, in sede di conversione in legge, alla Commissione Affari costituzionali del Senato della Repubblica un’apposita memoria (memoria del 19 ottobre 2020, doc. web n. 9468919);

VISTO, in particolare, che il predetto articolo prevede che:

“al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19, è istituita una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile” (comma 1);

il Ministero della salute, titolare del trattamento, “all’esito di una valutazione di impatto, costantemente aggiornata, effettuata ai sensi dell’articolo 35 del Regolamento (UE) 2016/679, adotta misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali ai sensi dell’articolo 36, paragrafo 5, del medesimo Regolamento (UE) 2016/679 e dell’articolo 2-quinquiesdecies del Codice in materia di protezione dei dati personali” (comma 2);

“al solo fine indicato al comma 1, previa valutazione d’impatto ai sensi dell’articolo 35 del regolamento (UE) 2016/679, è consentita l’interoperabilità con le piattaforme che operano, con le medesime finalità, nel territorio dell’Unione europea” (comma 3);

“l’utilizzo dell’applicazione e della piattaforma, nonché ogni trattamento di dati personali effettuato ai sensi al presente articolo sono interrotti alla data di cessazione delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione del COVID-19 anche a carattere transfrontaliero, individuata con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro della salute, e comunque entro il 31 dicembre 2021, ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi” (comma 6);

VISTO il provvedimento del 1° giugno 2020 (provv. n. 95, doc. web n. 9356568), rilasciato sulla base della valutazione d’impatto sulla protezione dei dati predisposta dal Ministero della salute ai sensi del predetto art. 6, comma 2, con il quale è stato autorizzato il trattamento dei dati personali effettuato attraverso il predetto Sistema di allerta Covid-19, ingiungendo al Ministero di comunicare le iniziative intraprese al fine di dare attuazione alle seguenti prescrizioni:

1) indicare puntualmente nella valutazione d’impatto, l’algoritmo, basato su criteri epidemiologici di rischio e modelli probabilistici, aggiornandolo costantemente, specificando i parametri di configurazione impiegati e le assunzioni effettuate, rendendolo disponibile alla comunità scientifica;

2) informare adeguatamente gli utenti in ordine alla possibilità che l’app Immuni generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio, in ragione della possibilità di contatto con persone positive al Covid-19 a causa della propria attività lavorativa, in condizioni tuttavia caratterizzate da un adeguato grado di protezione;

3) consentire agli utenti dell’app di disattivarla temporaneamente attraverso una funzione facilmente accessibile nella schermata principale, informando di tale facoltà attraverso le infografiche visualizzate all’atto dell’istallazione dell’applicazione;

4) individuare modalità adeguate a proteggere gli analytics nel backend di Immuni, evitandone ogni forma di riassociazione a soggetti identificabili, adottando altresì idonee misure di sicurezza e tecniche di anonimizzazione, da individuarsi in ragione delle specifiche finalità in concreto perseguite, nel rispetto dei principi di privacy by design e by default;

5) precisare, nel modello di informativa, la descrizione delle operazioni effettuate con riferimento agli analytics di tipo epidemiological info e dei dati personali raccolti in relazione alle diverse categorie di interessati;

6) dedicare particolare attenzione all’informativa e al messaggio di allerta tenendo conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultra quattordicenni;

7)  fornire adeguate informazioni agli utenti in relazione alle caratteristiche della fase di sperimentazione;

8) integrare la valutazione d’impatto e l’informativa in relazione alle modalità di esercizio del diritto di cancellazione e di opposizione;

9) integrare, sulla base del principio di responsabilizzazione, la valutazione d’impatto con la descrizione del ruolo e delle operazioni ascrivibili ad altri soggetti lì citati o suscettibili, comunque, di coinvolgimento nel Sistema di allerta Covid-19, evidenziando la sussistenza di eventuali rischi per gli interessati i cui dati siano trattati dal sistema;

10) commisurare i tempi di conservazione degli indirizzi IP, per i fini e nei termini richiamati, nella misura strettamente necessaria al rilevamento di anomalie e di attacchi;

11) introdurre misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati;

12) adottare misure tecniche e organizzative per mitigare i rischi derivanti dall’upload di TEK non riferite a soggetti positivi a seguito di eventuali errori materiali o diagnostici;

VISTO il decreto del Ministero dell’economia e delle finanze del 3 giugno 2020, recante “Modalità tecniche per il coinvolgimento del Sistema tessera sanitaria ai fini dell’attuazione delle misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19”, sul quale il Garante ha espresso parere favorevole il 1° giugno 2020 (provv. n. 94, doc. web n. 9357932)

VISTA la nota del Ministero del 23 giugno 2020, con la quale è stata trasmessa una nuova versione della valutazione d’impatto sulla protezione dei dati, parzialmente riformulata ed integrata in considerazione delle prescrizioni dell’Autorità, e sono state comunicate le iniziative intraprese;

VISTE le interlocuzioni avviate con i rappresentati del Ministero e di Sogei S.p.a al fine di individuare soluzioni ad alcune difficoltà emerse nell’adempimento, in particolare, delle prescrizioni di cui ai punti 4), 9), 10), 11) e 12) del precedente elenco;

VISTA la nota del Ministero della salute del 16 ottobre 2020, con la quale è stata trasmessa un’integrazione alla valutazione d’impatto, necessaria per dare attuazione alla prevista interoperabilità del Sistema di allerta Covid-19 con le piattaforme che operano, con le medesime finalità, nel territorio dell’Unione europea, introdotta dal citato decreto legge n. 125 del 2020 (art. 6, comma 3, del decreto legge n. 28 del 2020);

VISTA la decisione di esecuzione (UE) 2020/1023 della Commissione del 15 luglio 2020 che modifica la decisione di esecuzione (UE) 2019/1765 per quanto riguarda lo scambio transfrontaliero di dati tra applicazioni mobili nazionali di tracciamento dei contatti e di allerta nell’ambito della lotta alla pandemia di Covid-19, su cui il Garante europeo della protezione dei dati è stato consultato ai sensi dell’art. 42, par. 1, del Regolamento (UE) 2018/1725 e ha espresso il proprio parere il 9 luglio 2020, nonché la dichiarazione relativa all’impatto sulla protezione dei dati derivante dall’interoperabilità delle applicazioni di tracciamento dei contatti, adottata dal Comitato europeo per la protezione dei dati il 16 giugno 2020;

VISTO l’art. 20 del decreto legge 28 ottobre 2020, n. 137, concernente l’”Istituzione del servizio nazionale di risposta telefonica per la sorveglianza sanitaria”, convertito, con modificazioni, dall’art. 1, comma 1, della legge 18 dicembre 2020, n. 176, e vista l’ordinanza n. 34 del 19 dicembre 2020 del Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica Covid-19, concernente il “Servizio di supporto telefonico sblocco Immuni”, attuativa del predetto articolo, sulla quale il Garante ha espresso parere il 17 dicembre 2020 (provv. n. 273, doc. web n. 9516719);

VISTA la nota del Ministero della salute del 10 febbraio 2021, con la quale è stata trasmessa una nuova versione della valutazione d’impatto sulla protezione dei dati, che è stata modificata e integrata, in particolare, in relazione ai seguenti aspetti:

a) attuazione delle prescrizioni di cui ai punti 4), 9), 10), 11) e 12) del citato provvedimento del Garante del 1° giugno 2020:

limitazione dei tempi di conservazione degli analytics, nei sistemi di backend, e relative misure di protezione (punto 4);

corretta individuazione del ruolo assunto dai soggetti che forniscono servizi di device attestation per i dispositivi mobili con sistema operativo iOS e Android e descrizione delle relative operazioni di trattamento (punto 9);

introduzione di misure di garanzia, in relazione al trattamento degli indirizzi IP utilizzati dai dispositivi che interagiscono con il backend di Immuni (punto 10);

descrizione puntuale delle misure relative alla registrazione delle operazioni compiute dagli amministratori dei sistemi del backend di Immuni (punto 11);

aggiornamento della valutazione del rischio relativo al caricamento di TEK non riferite a soggetti positivi (punto 12);

b) modalità di utilizzo dell’app Immuni da parte dei dispositivi mobili Huawei;

c) descrizione delle modalità di caricamento delle TEK tramite call center e sblocco in-app (dati trattati, flussi di dati, architettura e misure di sicurezza);

d) aggiornamento della valutazione dei rischi;

RILEVATO che, nell’ambito della valutazione d’impatto in esame, è stato introdotto un nuovo meccanismo per consentire, in autonomia, a un soggetto risultato positivo, il caricamento delle TEK nel backend di Immuni, c.d. sblocco in-app, prevedendo che:

l’interessato può interagire direttamente con il Sistema di allerta Covid-19 inserendo, nell’apposita sezione dell’app Immuni, il codice CUN (codice univoco nazionale attribuito dal Sistema TS ai referti dei test diagnostici per SARS-CoV-2) associato a un proprio referto con esito positivo unitamente alle ultime 8 cifre della propria tessera sanitaria;

il backend di Immuni, attraverso il Sistema TS, verifica l’esistenza del CUN e l’associazione dello stesso a un test con esito positivo riferito a un assistito con tessera sanitaria che termini con le 8 cifre comunicate dall’interessato e provvede quindi ad abilitare il caricamento delle TEK;

una volta effettuato con successo il caricamento delle TEK da parte dell’interessato, il backend di Immuni verifica che la data di inizio sintomi, eventualmente indicata dallo stesso, non sia successiva alla data di esecuzione del tampone fornita dal Sistema TS (in caso di soggetto asintomatico o di data di inizio sintomi successiva al tampone, il backend di Immuni prende in considerazione esclusivamente la data di esecuzione del tampone);
 

al termine delle suddette operazioni, il backend di Immuni, attraverso il Sistema TS, invalida il codice CUN utilizzato per il caricamento delle TEK, così da impedirne ulteriori utilizzi;

RILEVATO che la versione della valutazione d’impatto in esame tiene conto delle indicazioni fornite dall’Ufficio, nell’ambito delle interlocuzioni informali con i rappresentati del Ministero della salute, il Ministero dell’economia e delle finanze, il Dipartimento per la trasformazione digitale presso la Presidenza del Consiglio dei Ministri e Sogei S.p.A., relative, in particolare, a:

la corretta individuazione del ruolo assunto dai soggetti che forniscono servizi di device attestation per i dispositivi mobili con il sistema operativo iOS e Android e delle misure adottate a tutela degli interessati (art. 5, par. 1, lett. a) e b), del Regolamento);

il rispetto del principio di limitazione della conservazione dei dati personali, con particolare riferimento alla conservazione degli analytics (art. 5, par. 1, lett. e), del Regolamento);

le misure tecniche e organizzative necessarie a garantire la sicurezza del trattamento, nel rispetto degli artt. 5, par. 1, lett. f), e 32 del Regolamento, con specifico riferimento al tracciamento delle operazioni compiute dagli amministratori dei sistemi del backend di Immuni, nonché la protezione dell’infrastruttura tecnologica prevedendo adeguate modalità di conservazione dei dati relativi agli indirizzi IP utilizzati dagli utenti dell’app Immuni;

un’adeguata valutazione dei rischi presentati dal trattamento nel suo complesso e la conseguente individuazione delle misure necessarie ad assicurare la protezione dei dati personali in tale contesto, anche con riferimento alle nuove modalità di caricamento delle TEK tramite call center e sblocco in-app, volte a consentire una maggiore efficienza del Sistema di allerta Covid-19 nel suo complesso;

RITENUTO, pertanto, che non vi siano osservazioni da formulare sulla nuova versione della valutazione d’impatto sulla protezione dei dati trasmessa dal Ministero;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 5, e 58, par. 3, lett. c), del Regolamento e dell’art. 2-quinquiesdecies del Codice, autorizza il Ministero della salute a effettuare il trattamento relativo al Sistema di allerta Covid-19, così come rappresentato nella valutazione d’impatto sulla protezione dei dati in esame.

Roma, 25 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei