Le app Covid-19 trattano veramente dati anonimi?
Tra le misure di contrasto a Covid-19 grande attualità riveste in questo periodo l’ipotesi di utilizzo di applicazioni software che, attraverso la raccolta di dati sull’ubicazione o sull’interazione tra diversi dispositivi mobili, consentano l’analisi dell’andamento epidemiologico, a fini prognostici e statistici, e la ricostruzione della cosiddetta “catena dei contagi”.
Date le importanti implicazioni che l’utilizzo di tali app potrebbe avere in termini di limitazione di diritti fondamentali dell’individuo, tra i quali certamente il diritto alla riservatezza e protezione dei dati personali, della questione si sono occupati recentemente l’European Data Protection Supervisor (lettera 20.3.2020 a Dg Cnet), il Garante privacy (audizione informale in Comm. Parlamentare 8.4.2020) l’European Data Protection Board (lettera 14.4.2020 alla Dg Just), organismo Ue istituito ai sensi dell’art. 68 del Regolamento Ue 2016/679, e da ultimo la Commissione Ue con la sua Guidance on Apps supporting the fight against Covi-19 del 16.4.2020.
I termini della privacy
Tutti convengono su alcuni principi fondamentali, in particolare: (i) l’utilizzo dell’app dovrà avvenire su base volontaria e andrà regolamentato con provvedimento normativo di rango primario che, fondato su esigenze di sanità pubblica, contenga adeguate garanzie di rispetto dei principi cardine in materia di privacy; (ii) i dati raccolti – nel rispetto del principio di minimizzazione - dovranno essere accessibili a un numero limitato di soggetti espressamente autorizzati, (iii) conservati possibilmente a livello di dispositivo locale e non centralizzato e (iv) per il tempo strettamente necessario ad affrontare l’emergenza, dopodiché andranno cancellati.
Ed infine, in ossequio a un criterio di gradualità, si dovrà privilegiare l’utilizzo di dati effettivamente anonimi. Ma ciò sarà realmente possibile?
Come noto, si considerano anonime quelle informazioni che non si riferiscono a una persona fisica identificata o identificabile o che riguardano dati personali resi sufficientemente anonimi da impedire, o da non consentire più, l'identificazione dell'interessato. Per stabilire l'identificabilità di una persona vanno considerati tutti i mezzi di cui il titolare del trattamento, o un terzo, possano ragionevolmente avvalersi, tenuto conto di una serie fattori, tra cui i costi e tempi necessari per l'identificazione nonché le tecnologie attuali e future disponibili. Si noti infine che per “identificazione” non si intende solo la possibilità di “recuperare” il nominativo di una persona, ma anche la potenziale identificabilità mediante individuazione (single-out all’interno di un gruppo), correlabilità e deduzione.
I criteri di anonimizzazione
Alla luce di tale definizione, la Corte di Giustizia Ue e le varie Autorità garanti si sono in passato espresse per affermare la natura di dato personale, quindi non anonimo, dei codici identificativi univoci di strumenti e dispositivi elettronici (Mac Address, codici di sicurezza Nuid dei decoder, Ip dinamici, codici Imei, ecc.), anche se sottoposti a tecniche di hashing e criptazione. Dispositivi che giocano naturalmente un ruolo fondamentale nell’operatività delle app.
Lo stesso Edps nella lettera alla Dg Cnet avverte come una “effective anonymization requires more than simply removing obvious identifiers such as phone numbers and Imei numbers”.
E ancora, con riferimento ai dati sulla interazione di un soggetto positivo a Covid-19 con soggetti con i quali il medesimo sia venuto in contatto (contact tracing), sia l’Edpb che il Garante Privacy si sono espressi rispettivamente in termini di trattamento di random pseudonyms o di “flussi di dati pseudonimizzati suscettibili di reidentificazione solo in caso di rilevata positività”. La Commissione Ue, a sua volta, ha affermato che: “Proximity data should only be generated and stored on the terminal device of the individual in encrypted and pseudonymised format”.
Appare pertanto evidente che, quanto meno per il contact tracing, non si parlerà di dati anonimi ma semmai di dati personali pseudonimizzati; da cui la coerente indicazione dell’Edpb e della Commissione di procederne alla cancellazione o anonimizzazione una volta che la crisi sanitaria sarà conclusa.
L’esempio della app lombarda
Venendo infine a un caso concreto, la Regione Lombardia ha recentemente promosso l’utilizzo della app “AllertaLOM”, la quale consente di partecipare al progetto “CercaCovid”, mediante la compilazione di “un questionario integrato all’interno dell’app che renderà possibile raccogliere dati, in forma anonimizzata (…)” a fini di mappatura del rischio contagio. Tramite il questionario l’utente non fornisce dati direttamente identificativi, ma informazioni relative a sesso, età, particolari condizioni di salute, comune di residenza o domicilio, spostamenti per motivi di lavoro ed eventuali contatti con persone positive a Covid-19, nonché eventuali sintomi.
Ora, mentre, da un lato parrebbe evidente che, tramite il download della app l’utente fornisca alla Regione dati personali, indirettamente identificativi (es. Codice Imei o indirizzo Ip), tanto è vero che la stessa correttamente fornisce un’informativa ex art. 13 del Regolamento Ue 2016/679, dall’altro si ritiene che la compilazione del questionario consentirà di raccogliere dati effettivamente anonimi nella misura in cui la Regione, anche tramite un terzo, non sia effettivamente in grado di identificare l’utente, direttamente o indirettamente, ad esempio associandogli l’identificativo univoco del dispositivo utilizzato in sede di download della app.
Il tema è sicuramente delicato, venendo in gioco diritti fondamentali la cui limitazione temporanea può essere giustificata solo da situazioni eccezionali come quella che il mondo sta vivendo; si auspica pertanto che il provvedimento dell’Edpb in materia di strumenti di tracciamento e geolocalizzazione, di ormai imminente pubblicazione, possa contribuire a fornire chiarezza.