analisi

Il lato oscuro di Immuni, mancate risposte al Garante e rischi di immissione illegittima online

di Andrea Lisi (coordinatore rubrica D&L NET e titolare dello Studio Legale Lisi) |

Il Garante privacy ha dato l'ok a Immuni solo nel rispetto di 12 precise e importanti prescrizioni: nulla è arrivato all’attenzione dell'Autorità: il trattamento di dati da parte del Ministero della salute rischia di poter essere considerato illegittimo e anche sanzionabile dall’Authority?
Inoltre, l’app può essere considerata un dispositivo medico?

Ho spiegato in una breve intervista rilasciata all’Agenzia Stampa Dire perché, ad oggi, l’app Immuni versa in una situazione piuttosto imbarazzante e incredibile di illegittimità. Questa osservazione, quasi ovvia dal punto di vista giuridico, ha suscitato reazioni contrastanti, alcune di immotivato stupore.

In realtà, sarebbe bastato leggere con attenzione alcuni passi del lungo e robusto provvedimento del Garante del 1° giugno 2020 per rendersi conto che l’Authority fosse piuttosto preoccupata della introduzione dell’app Immuni sul territorio nazionale, autorizzando nel suo provvedimento solo una fase sperimentale, alla quale sarebbe potuta seguire una diffusione dell’app di tracing sull’intero territorio nazionale, solo se le ben dodici misure prescritte fossero state “adottate nel corso della sperimentazione del Sistema, così da garantire che in fase attuativa ogni residua criticità sia risolta. E nello stesso provvedimento, il Garante ha autorevolmente rammentato “che la raccolta dei dati personali trattati attraverso tale sistema, da parte di soggetti non autorizzati, determina un trattamento di dati personali illecito (anche sotto il profilo penale, ove ne sussistano gli ulteriori requisiti di fattispecie). Analogamente, i dati raccolti attraverso il predetto sistema non possono essere trattati per finalità non previste dal richiamato art. 6 del d.l. n. 28/2020 ed in particolare per assumere decisioni nei confronti dell’interessato suscettibili di arrecargli pregiudizio”. 

Il Garante privacy ha dato l’ok a Immuni solo nel rispetto di precise e importanti prescrizioni

Quindi, il Garante ha chiaramente autorizzato il Ministero della salute “ad avviare il trattamento relativo al Sistema di allerta Covid-19 di cui all’art. 6 del d.l. 30 aprile 2020, n. 20solo nel rispetto di precise e importanti prescrizioni, richiedendo allo stesso Ministero, ai sensi e per gli effetti dell’art. 157 del Codice per la protezione dei dati personali, “di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel presente provvedimento, entro il termine di 30 giorni dalla data della ricezione del presente provvedimento”. Nulla è arrivato all’attenzione del Garante, quindi ad oggi, alla luce di ciò che si legge nel provvedimento (e nella normativa italiana ed europea) un qualsiasi trattamento di dati personali effettuato dal titolare del trattamento (il Ministero della salute) rischia di poter essere considerato illegittimo e anche sanzionabile dall’Authority secondo la normativa italiana ed europea. Situazione istituzionale piuttosto imbarazzante.

Del resto, il Garante ha avallato molti dei pesanti dubbi espressi in questi mesi da esperti sul sistema di tracing su cui si incardina l’app Immuni, specificando nel suo provvedimento autorizzativo come nella valutazione d’impatto non fosse stato “sufficientemente chiarito il ruolo di altri soggetti ivi nominati o che potrebbero essere coinvolti nel Sistema Immuni, quali la società che ha sviluppato l’applicazione (Bending Spoons S.p.a.), o le società Apple e Google. Relativamente a queste ultime, l’utilizzo del Framework A/G attribuisce loro un mero ruolo di fornitori di tecnologia (technology provider) senza implicare di per sé alcun trattamento di dati personali”. Tale aspetto, per nulla ovvio, ha proseguito autorevolmente l’Authority “andrebbe precisato, in ossequio ai principi di trasparenza e responsabilizzazione”. Così come sono stati espressi pesanti dubbi sui falsi positivi (peraltro confermati da recenti studi scientifici sulle app di tracing che rivelano la pericolosità dell’app Immuni nel “regalare” dati inesatti di esposizione), sulle possibilità di re-identificazione degli interessati, sulla debolezza a livello di sicurezza informatica della trasmissione Bluetooth, confermando i tanti dubbi espressi proprio qui su Key4biz da esperti in materia.

Come può essere giustificabile, oggi, il perdurante silenzio del Ministero e l’incredibile (oltreché indifferente alle critiche ricevute) propaganda istituzionale pro Immuni? 

Si fa fatica sinceramente a comprenderlo.

Inoltre, accanto ai tanti dubbi già espressi in passato, si è aggiunto questi giorni un altro inquietante interrogativo.

L’app Immuni può essere considerata un dispositivo medico? 

È vero che da più parti si legge che assolutamente non va considerata tale. Ma a leggere la normativa sembra più una excusatio non petita.

Infatti, un qualsiasi software destinato dal fabbricante a essere impiegato sull’uomo a fini di prevenzione andrebbe   considerato un dispositivo medico, come si desumerebbe dall’art. 1 comma 2 lettera a) del D. Lgs. 24 febbraio 1997, n. 46, (di recepimento della direttiva 93/42/CEE e come modificato dal  d.lgs. 25/01/2010 n° 37), laddove si definisce “qualunque strumento, apparecchio, impianto, software, sostanza o altro prodotto, utilizzato da solo o in combinazione, compreso il software destinato dal fabbricante ad essere impiegato specificamente con finalità diagnostiche o terapeutiche e necessario al corretto funzionamento del dispositivo, destinato dal fabbricante ad essere impiegato sull’uomo a fini di diagnosi, prevenzione, controllo, terapia o attenuazione di una malattia”. Considerate le funzioni dell’app di contenimento della pandemia e le conseguenze in caso di notifica dell’alert precisate nella Circolare del ministero della Salute del 29 maggio, sembrerebbero esserci pochi dubbi sulla possibile riconducibilità di Immuni nella categoria dei dispositivi medici.

E se l’app Immuni dovesse essere considerato dispositivo medico, allora dovrebbe essere stata verificata in tutti i suoi requisiti e aver ottenuto le varie certificazioni previste a tutela degli utenti di tali dispositivi. E allora perché non ha la marcatura CE prevista dalla normativa europea e italiana in materia e, ad esempio, non sembrerebbe aver ricevuto le certificazioni internazionali previste (come la IEC 62304)?

Non sono queste questioni di lana caprina. Si sta discutendo di diritti e libertà fondamentali di interessati, con particolare riferimento a dati personali delicatissimi e a questioni inerenti al nostro diritto alla salute. Il Ministero della Salute dovrebbe ben conoscere i rischi legati a trattamenti di questo tipo e a soluzioni tecnologiche che hanno attinenza con la salvaguardia della persona. 

Per tale motivo confido al più presto in un autorevole intervento del Garante e in un chiarimento in proposito da parte del Ministero.