App "Immuni": via libera del Garante privacy
App "Immuni": via libera del Garante privacy
Condividi
App "Immuni": via libera del Garante privacy
Il Garante per la protezione dei dati personali ha autorizzato il Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19 (app “Immuni”). Sulla base della valutazione d’impatto trasmessa dal Ministero, il trattamento di dati personali effettuato nell’ambito del Sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati, che attenuano i rischi che potrebbero derivare da trattamento.
Tenuto conto della complessità del sistema di allerta e del numero dei soggetti potenzialmente coinvolti, il Garante ha comunque ritenuto di dare una serie di misure volte a rafforzare la sicurezza dei dati delle persone che scaricheranno la app. Tali misure potranno essere adottate nell’ambito della sperimentazione del Sistema, così da garantire che nella fase di attuazione ogni residua criticità sia risolta.
In particolare, l’Autorità ha chiesto che gli utenti siano informati adeguatamente in ordine al funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio. E dovranno essere portati a conoscenza del fatto che il sistema potrebbe generare notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio. Gli utenti dovranno avere inoltre la possibilità di disattivare temporaneamente l’app attraverso una funzione facilmente accessibile nella schermata principale.
I dati raccolti attraverso il sistema di allerta non potranno essere trattati per finalità non previste dalla norma che istituisce l’app.
Dovrà anche essere garantita la trasparenza del trattamento a fini statistico-epidemiologici dei dati raccolti e individuate modalità adeguate a proteggerli, evitando ogni forma di riassociazione a soggetti identificabili e adottando idonee misure di sicurezza e tecniche di anonimizzazione. Dovranno essere introdotte misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati.
La conservazione degli indirizzi Ip dei cellulari dovrà essere commisurata ai tempi strettamente necessari per il rilevamento di anomalie e di attacchi.
Dovranno essere adottate misure tecniche e organizzative per mitigare i rischi derivanti da falsi positivi.
Particolare attenzione dovrà essere dedicata all’informativa e al messaggio di allerta, tenendo altresì conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultra quattordicenni.
Il Garante ha sottolineato infine che il trattamento di dati personali raccolti attraverso la app, da parte di soggetti non autorizzati, può determinare un trattamento di dati personali illecito, eventualmente anche sotto il profilo penale.
Roma, 1 giugno 2020
_______________________________
Green light to the ‘immuni’ contact tracing app by the italian sa
The Italian SA (Garante per la protezione dei dati personali) has authorised the Italian Ministry of Health to commence the processing related to the COVID-19 alert system via the ‘Immuni’ app. Based on the impact assessment provided by the Ministry, the processing of personal data within the framework of that system can be considered to be proportionate since measures have been put in place to adequately safeguard the rights and freedoms of data subjects by mitigating the risks possibly resulting from the processing.
Taking account of the complexity of the alert system and the number of individuals potentially involved, the Garante considered it necessary anyhow to set out several measures in order to enhance security of the data related to the individuals downloading the app. Those measures will be implemented as part of the testing phase of the system so as to ensure that any residual criticalities are coped with prior to the full deployment phase.
More specifically, the Garante requested users to be informed adequately about operation of the algorithm used to assess the exposure risk; users will have to be also made aware that the system might generate exposure alerts that do not entail in all cases an actual risk situation. Users will have to be enabled to temporarily deactivate the app through an easily accessible function on the home page.
The data collected via the alert system may not be used for purposes other than those specified in the legislation regulating the app.
Transparency of the data processing for statistical and epidemiological purposes will have to be ensured and appropriate safeguards for that processing will have to be laid down; to that end, any matching with identifiable individuals will have to be prevented and adequate security measures and anonymisation techniques must be in place. Any processing operations performed by system administrators on operating systems, the network and databases will have to be logged.
The IP addresses of mobile phones will have to be stored for a period commensurate to what is strictly necessary to detect malfunctioning or attacks.
Technical and organisational measures will have to be implemented to mitigate the risks related to false positives.
Special care will have to be taken in drafting the information notices and alert messages, given that the system may also be used by minors aged above 14 years.
Finally, the Garante has emphasized that processing by unauthorised entities of the personal data collected via the app may entail a criminal offence.
Rome, 1 June 2020
Scheda
9356588
01/06/20