A seguito dei controlli effettuati dal suo Presidente, il CNIL ritiene che la nuova versione dell’applicazione StopCovid sia sostanzialmente conforme al GDPR e al Data Protection Act. Tuttavia, ha rilevato diverse irregolarità e ha invitato il Ministero della solidarietà e della salute a rimediare.

Nel contesto dello stato di emergenza sanitaria legato all’epidemia di COVID-19 e alla strategia di deconfinamento, il Ministero della Solidarietà e della Salute offre, dal 2 giugno 2020, l’applicazione mobile “StopCovid France” », Disponibile su computer (smartphone).

Si tratta di un’applicazione di tracciamento dei contatti che consente all’utente di segnalare positivi per il virus SARS-CoV-2. Consente inoltre agli utenti di essere informati di essere stati vicini a un altro utente con diagnosi di virus SARS-CoV-2 e di essere invitati a rivolgersi a un operatore sanitario per il trattamento. il più rapidamente possibile.

Durante il mese di giugno, il CNIL ha effettuato tre controlli per garantire che il funzionamento dell’applicazione “StopCovid France” soddisfi i requisiti per la protezione della privacy e dei dati personali dei suoi utenti. Hanno iniziato il 9 giugno con un controllo online della domanda e l’invio di un questionario inteso a valutare la conformità dei trattamenti attuati. Hanno continuato con i controlli in loco il 25 e 26 giugno 2020.

Tali controlli hanno dimostrato che l’operazione di “StopCovid France” è sostanzialmente conforme alle disposizioni applicabili in materia di protezione dei dati personali e che la maggior parte delle raccomandazioni formulate dalla CNIL nei suoi pareri del 24 aprile e 25 maggio Il 2020 è stato preso in considerazione dal Ministero della Solidarietà e della Salute.

In particolare, ha ritenuto corretto il fatto che l’indirizzo IP dell’apparecchiatura terminale fosse utilizzato dal cosiddetto sistema di sicurezza anti-DDOS (Distributed Denial of Service) distribuito come parte dell’applicazione Stopcovid. .

Durante i suoi controlli, il CNIL ha tuttavia rilevato alcune violazioni delle disposizioni del GDPR e del Data Protection Act nella prima versione dell’applicazione. In concomitanza con il controllo del CNIL, il ministero ha rapidamente distribuito una seconda versione dell’applicazione al fine di apportare modifiche al modo in cui i dati vengono elaborati. Ad oggi, le due versioni dell’applicazione coesistono.

In particolare, il CNIL ha preso atto dei seguenti punti durante le sue ispezioni:

• La cronologia dei contatti dell’utente è ora filtrata per mantenere solo la cronologia delle prossimità, ovvero gli utenti delle app che sono stati in contatto entro un metro per almeno 15 minuti. Tuttavia, nella prima versione dell’applicazione ancora in uso, questo filtro viene eseguito a livello del server centrale anziché essere eseguito a livello del telefono dell’utente, contrariamente a quanto previsto dal decreto. Questo problema è stato risolto nella seconda versione dell’applicazione distribuita il 26 giugno. Il CNIL richiede che l’uso di questa nuova versione sia generalizzato tra gli utenti.
• Le informazioni fornite agli utenti dell’applicazione “StopCovid France” sono quasi conformi ai requisiti del GDPR. Tuttavia, queste informazioni dovrebbero essere ancora integrate per quanto riguarda i destinatari di questi dati, le operazioni per la lettura delle informazioni presenti sull’apparecchiatura terminale (effettuate tramite il recaptcha) e il diritto di rifiutare queste operazioni di lettura.
• Il contratto di subappalto concluso tra il Ministero e INRIA contiene una grande quantità di informazioni richieste dal GDPR ma deve ancora essere completato, in particolare per quanto riguarda gli obblighi del subappaltatore.
• Un’analisi di impatto relativa alla protezione dei dati è stata effettivamente svolta dal Ministero, ma è incompleta per quanto riguarda il trattamento dei dati effettuato a fini di sicurezza (soluzione anti-DDOS che raccoglie l’indirizzo IP e ricaptcha).

Alla luce delle carenze rilevate, al Ministero della solidarietà e della salute è stato quindi ordinato di rendere conforme l’applicazione Stopcovid entro un mese su questi vari punti.

È inoltre invitato ad avviare quanto prima un processo per valutare il sistema sul contributo dell’applicazione Stopcovid alla strategia sanitaria globale e riferire regolarmente i suoi risultati al CNIL.

Dato il numero particolarmente elevato di interessati (quasi 2 milioni di utenti) e la natura sensibile dei dati personali provenienti dall’applicazione “StopCovid France”, che si riferisce allo stato di salute degli utenti, l’Ufficio di presidenza La CNIL ha deciso di rendere pubblica questa comunicazione ufficiale.

Questa pubblicità contribuisce inoltre all’obiettivo della trasparenza del controllo effettuato dal CNIL sulle condizioni e le modalità di funzionamento dell’applicazione “StopCovid France”, attuata da un pubblico ufficiale nell’ambito di una missione di interesse pubblico.

A questo proposito, rende possibile rendere gli utenti dell’applicazione consapevoli della necessità di accettare l’aggiornamento per avere un’applicazione più protettiva dei propri dati.

Il CNIL ricorda che questo avviso formale non è una sanzione. In effetti, nessun seguito sarà dato a questa procedura se il Ministero della Solidarietà e della Salute si conforma al GDPR e alla Legge sulla protezione dei dati entro il termine. In tal caso, anche la chiusura del procedimento sarà pubblica. In caso contrario, il Presidente può deferire la questione alla formazione ristretta del CNIL affinché venga pronunciata una sanzione.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL