Riceviamo e volentieri pubblichiamo le precisazioni di Fabrizio Sala, Vicepresidente Regione Lombardia, Assessore alla Ricerca, Innovazione, Università, Export e Internazionalizzazione delle imprese, in merito all’articolo L’app anti Covid-19 di Regione Lombardia raccoglie dati in forma non anonima. E l’informativa lo dice chiaramente pubblicato su Key4biz venerdì 15 maggio 2020.
Le precisazioni del Vicepresidente della Regione Lombardia Fabrizio Sala
Gentile direttore,
in riferimento all’articolo pubblicato sul vostro sito lo scorso 15 maggio, intitolato “L’app anti Covid-19 di Regione Lombardia raccoglie dati in forma non anonima. E l’informativa lo dice chiaramente” desidero possiate ospitare le seguenti precisazioni:
Regione Lombardia attraverso l’applicazione allertaLOM ha realizzato uno strumento di monitoraggio e analisi epidemiologica che si sta rivelando molto utile per analizzare la sintomatologia riportata dagli utenti e la loro frequenza a livello territoriale.
L’analisi dei dati raccolti ha ricevuto un riscontro positivo da parte di virologi e medici impegnati in prima linea nel contrasto all’emergenza COVID-19, i quali hanno apprezzato la possibilità di avere a disposizione uno strumento alimentato direttamente dai cittadini ed efficace nell’individuare gruppi di utenti potenzialmente contagiati. La disponibilità di tali stime in modo affidabile e in tempo reale, con un dettaglio a livello anche comunale, è molto importante per consentire alle istituzioni di allocare le risorse – materiali ed umane – necessarie a contenere il contagio e mitigarne gli effetti.
Tale risultato è stato ottenuto rispettando in modo sempre attento quanto previsto dalla normativa vigente in termini di privacy e – in tal senso – l’articolo sin dal titolo presenta inesattezze e individua nel documento di informativa privacy elementi di conferma. Al contrario, questi rilievi sono privi di fondamento e frutto di una lettura sbagliata perché estrapola termini che vengono de-contestualizzati e dunque danno l’impressione di una forzata strumentalizzazione.
Considerato l’elevato valore sociale del progetto CercaCovid, anche la stampa ricopre un ruolo significativo affinché i cittadini possano disporre di informazioni complete.
Riferimento all’SMS
Il primo riferimento è relativo all’invio dell’SMS da parte degli operatori telefonici. A causa di limiti tecnici dello strumento da loro utilizzato, il testo era limitato a soli 160 caratteri. A livello comunicativo si è ritenuto di utilizzare le parole chiave che consentissero al destinatario di comprendere subito la finalità dell’iniziativa, ovvero: “Aiuterai a tracciare la mappa del contagio”. Tale espressione è stata preceduta da una forma molto concisa per rappresentare che il trattamento di analisi dei dati sarebbe stato garantito da anonimato, così come in realtà avviene. L’espressione “questionario anonimo” dunque intendeva essere in linea con tali principi di progettazione e sviluppo.
Le informazioni raccolte nel contesto del trattamento risultano a tutti gli effetti pseudoanonimizzate, in quanto non vengono raccolti dati personali che consentono identificazione diretta dell’utente. La protezione dei suddetti dati è in ogni caso garantita dall’impossibilità di Regione Lombardia di risalire all’identità dell’utente della app nemmeno indirettamente.
Infatti, l’unico elemento relativo all’interessato è un ID univoco, assegnato in modo automatico dallo store digitale al dispositivo su cui la app viene installata. Durante il primo utilizzo dell’app, il suddetto ID viene cancellato e si genera un altro codice pseudocasuale associato al questionario per tutto il tempo in cui l’utente dell’app è coinvolto nella compilazione e ciò al fine di consentirne l’aggiornamento, mantenendone uno storico. A valle di tale operazione di anonimizzazione – che avviene contestualmente alla prima compilazione del questionario – le informazioni relative allo stato di salute non possono essere in alcun modo associate né al dispositivo né all’identità di chi ha compilato il questionario. E tutte le analisi e i trattamenti risultano completamente anonimi.
Osservazioni su specifici passaggi dell’articolo
<<Nell’art. 1 dell’informativa è scritto: “Il Titolare NON tratterrà i Suoi dati identificativi diretti”: quindi significa che tratta quelli indirettamente identificativi.>>
L’affermazione non è corretta e forza l’interpretazione del concetto di “indirettamente identificativi”.
La raccolta dati effettuata da allertaLOM si limita a dati non identificativi e non è previsto alcun incrocio con basi di dati esterne per poter risalire indirettamente all’identità degli utenti.
<<Segue, nello stesso art. 1 “Gli unici Suoi dati personali trattati saranno il sesso, l’età, il domicilio (città e CAP), il luogo di lavoro (città e CAP), l’eventuale necessità di spostamenti rispetto al domicilio, l’eventuale frequentazione di luoghi pubblici poi chiusi a seguito dell’emergenza COVID-19,”. Trattati tutti insieme, questi dati consentono indirettamente di identificare una persona.>>
Anche questa affermazione non è corretta.
I dati raccolti, infatti, non consentono l’identificazione dell’utente. Circostanza che viene garantita anche nel caso in cui venissero trattati nel loro complesso.
Tutti i dati personali raccolti non sono indentificativi e vengono associati ad un codice casuale, generato internamente dal sistema, legato alla compilazione del questionario CercaCovid e non all’utente stesso né al dispositivo in cui è installata l’app AllertaLOM.
<<Sempre nell’art. 1 si legge: “Un codice identificativo del Suo dispositivo mobile verrà impiegato per l’invio delle notifiche push relative alle informazioni messe a disposizione dalla Regione Lombardia tramite allertaLOM.” Quindi il device è univocamente identificato.>>
Il questionario CercaCovid non necessita di notifiche push né di identificazione.
La funzionalità di notifica è necessaria per le finalità della app allertaLOM legate alle allerte della Protezione Civile.
<<Continuando a leggere l’articolo 1 “Le informazioni relative alla versione del sistema operativo ivi installato, l’indirizzo IP identificativo dell’host di rete, ecc.,” : si fa riferimento alla finger print del device, anche questa univoca.>>
L’utilizzo del termine device fingerprint risulta in questo caso improprio.
I dati tecnici non sono trattati dal Titolare per analisi di alcun tipo ma servono esclusivamente per garantire la comunicazione tra app e i sistemi informatici del Titolare, come per qualunque coppia di dispositivi che dialogano tra loro su Internet.
Chi scrive ha voluto insinuare il dubbio riguardo all’uso malevolo di informazioni necessarie al mero funzionamento della comunicazione sicura tra i devices.
<<In una precedente versione dell’app, in questo stesso articolo 1 era scritto, ora tolto, anche l’accesso al “codice IMEI identificativo del suo dispositivo mobile…”>>
È opportuno evidenziare come durante la situazione emergenziale dovuta al rapido diffondersi dell’epidemia, Regione Lombardia abbia, nei tempi ristretti che hanno contraddistinto questo genere di scenario, progettato e sviluppato il questionario “CercaCovid” con la finalità di avere un ulteriore contributo alla lotta contro il virus Covid19. Nella prima fase di rilascio del questionario previsto all’interno dell’app AllertaLOM è stata predisposta un’Informativa circa il Trattamento dei dati personali utile a comprendere l’efficacia dello strumento, e poi prontamente aggiornata in occasione della diffusione dell’iniziativa stessa su larga scala. In merito al punto evidenziato, come è riportato nel testo aggiornato dell’Informativa il codice IMEI del dispositivo non fa parte dei dati raccolti.
<<Poi nell’art. 2 “Il Titolare non effettua e non è nelle condizioni di effettuare trattamenti di dati personali atti a risalire all’identità degli utenti”.>>
I dati vengono raccolti in forma pseudoanonima e – contestualmente alla prima compilazione del questionario – sono anonimizzati rimuovendo ogni riferimento al codice identificativo della compilazione.
<<Art. 8: “In particolare, i dati verranno conservati in maniera da rendere identificabile l’interessato solo per il tempo strettamente necessario alla costruzione dei modelli statistici ed epidemiologici di riferimento”. Ecco dunque l’ammissione: allertaLom identifica chi usa l’app.>>
In questo passaggio si vuole dare evidenza che la possibilità di associare tra loro le compilazioni di uno stesso utente più volte nel tempo e non costituiscono ammissione che allertaLOM identifica chi utilizza la app, come ribadito in precedenza e argomentato anche a livello di flusso di operazioni contestuali alla prima compilazione. Si conviene che il termine “identificabile” può dar luogo a qualche confusione e si farà certamente tesoro di questa osservazione per riformulare il testo al prossimo aggiornamento della app.
Regione Lombardia rimane a disposizione per qualunque approfondimento e chiarimento inerente l’applicazione.
Grazie per lo spazio che vorrete concedermi.
Fabrizio Sala
Vicepresidente Regione Lombardia
Assessore alla Ricerca, Innovazione, Università, Export e Internazionalizzazione delle imprese
In risposta alle precisazioni del Vicepresidente della Regione Lombardia Fabrizio Sala
Egregio Vicepresidente Sala,
Le sue precisazioni confermano la correttezza del nostro titolo e il contenuto dell’articolo a firma del collega Luigi Garofalo.
L’informativa Privacy della App AllertaLOM della Regione Lombardia, lo ripetiamo ancora una volta, spiega che “…i dati verranno conservati in maniera da rendere identificabile l’interessato solo per il tempo strettamente necessario alla costruzione dei modelli statistici ed epidemiologici di riferimento…”.
Quindi una ammissione di quanto riportato nell’articolo e anche di una certa gravità, che non viene sanata dalla dichiarazione secondo cui “…si farà certamente tesoro di questa osservazione per riformulare il testo al prossimo aggiornamento della App”.
Quell’operazione presente nell’informativa di allertaLOM, “identificazione temporanea dell’utente”, pesa come un macigno perché è indicata da Regione Lombardia come procedura di funzionamento ordinaria, né si può pensare che essa venga sanata dalla semplice riformulazione del testo della Informativa Privacy. Ancora una volta, è la sostanza a dettar legge e non la forma.
Le sue precisazioni, se mi permette Vicepresidente Sala, non dissolvono la confusione tra i termini di “anonimizzazione” e “pseudonimizzazione” dei dati personali usati (nel senso che li considera equiparabili, usandone l’uno o l’altro indifferentemente) e ci conferma i dati che la App raccoglie: “…Sesso, Età, Domicilio e Cap, Luogo di lavoro e Cap l’eventuale necessità di spostamenti rispetto al domicilio, l’eventuale frequentazione di luoghi pubblici poi chiusi a seguito dell’emergenza COVID-19”. Si tratta di dati ben più che sufficienti per identificare ogni singolo individuo. Ma di questo la Regione Lombardia non sembra avere la dovuta consapevolezza.
Nella sua cortese precisazione Ella ci rassicura inoltre sul fatto che l’App allertaLOM non fa più la raccolta dei codici IMEI che identificano inequivocabilmente l’utente. Viene allora da chiedersi che fine abbiano fatto i codici raccolti sino ad una certa data, la data sino a cui la Regione Lombardia ammette di aver raccolto i codici IMEI, chi vi ha avuto accesso e chi è stato incaricato della loro distruzione e con quali procedure.
Un’ultima considerazione che vorrei comunque segnalarle è che ancora non si sa nulla delle specifiche tecniche e dei codici della App allertaLOM.
Inoltre, non si sa in quale server i dati raccolti da allertaLOM siano custoditi, né chi sia stato incaricato di tale custodia.
Tutti obblighi importanti e non derogabili nei casi di servizi di pubblica utilità, dettati come in questa circostanza da una emergenza sanitaria e per di più dedicati alla raccolta e trattamento di dati personali sanitari.
Sarebbe pertanto utile che la Regione Lombardia facesse chiarezza su questi punti, in nome della trasparenza e dei cittadini lombardi.
Raffaele Barberio, direttore Key4biz.
