Il 25 maggio 2020 la CNIL ha emanato un progetto di decreto relativo a “StopCovid”, un’applicazione mobile messa a disposizione degli utenti dagli smartphone dal governo per avvisarli del rischio di contaminazione da virus . Dopo il suo parere del 24 aprile 2020 sul principio dell’uso di tale applicazione, ha esaminato le condizioni concrete della sua attuazione.
L’essenziale
- Lunedì 25 maggio 2020 la CNIL ha deciso con urgenza un progetto di decreto relativo all’applicazione mobile “StopCovid”. Questa applicazione ha lo scopo di informare gli utenti che sono stati vicini alle persone con diagnosi di COVID-19 e che utilizzano la stessa applicazione, questa vicinanza porta a un rischio di contaminazione.
- Questo rinvio fa seguito al parere espresso dalla CNIL il 24 aprile 2020 sul principio stesso della diffusione di tale domanda. Dato l’eccezionale contesto di gestione della crisi sanitaria, il CNIL ha ritenuto possibile l’implementazione di “StopCovid”, a condizione che sia utile per la strategia di deconfinamento e che sia progettato per proteggere la vita privacy degli utenti.
- L’applicazione utilizzerà dati pseudonimizzati, senza ricorrere alla geolocalizzazione, e non porterà alla creazione di un file di persone infette. La CNIL rileva che le sue principali raccomandazioni sono state prese in considerazione e ritiene pertanto che questo dispositivo temporaneo, basato sul servizio volontario, possa essere legalmente attuato.
- Al fine di garantire la piena conformità del trattamento alle norme generali sulla protezione dei dati (GDPR), ha tuttavia formulato diverse osservazioni sul progetto di decreto che gli è stato presentato e sulle condizioni operative per la distribuzione della domanda.
Il contesto
Nell’ambito della strategia generale di “deconfinamento progressivo”, il governo ha pianificato l’implementazione di numerosi dispositivi digitali. In particolare, la CNIL ha deciso l’8 maggio su due fascicoli nazionali , “Contact Covid” e “SI-DEP”, autorizzati dalla legge che estende lo stato di emergenza sanitaria e un decreto del 12 Maggio 2020 . Questi file mirano a garantire lo screening, lo svolgimento di indagini sulla salute e l’assistenza sanitaria delle persone infette dal virus o che potrebbero esserlo.
Inoltre, il governo desiderava mettere a disposizione della popolazione un’applicazione mobile, disponibile su smartphone (smartphone ) e denominata “StopCovid”. Il suo scopo è informare gli utenti del rischio di contaminazione quando sono stati vicini a un altro utente a cui è stato diagnosticato COVID-19. Si tratta di un dispositivo di “tracciamento dei contatti” , basato sul lavoro volontario delle persone e basato sulla tecnologia Bluetooth.
Il CNIL si era pronunciato il 24 aprile 2020 sul principio di attuazione di tale domanda e aveva formulato un certo numero di raccomandazioni.
Il parere del CNIL sulle condizioni per l’attuazione di “StopCovid”
La Commissione ricorda che il fatto di istituire un sistema che registra automaticamente i casi di contatto dei suoi utenti costituisce un’invasione della privacy che è ammissibile solo a determinate condizioni. Inoltre, verranno trattati dati personali relativi alla salute.
Nota che l’applicazione “StopCovid” non porterà alla creazione di un elenco di persone infette, ma semplicemente di un elenco di contatti, per i quali tutti i dati sono pseudonimizzati. Rispetta quindi il concetto di protezione dei dati dal concepimento.
Sono state seguite le principali raccomandazioni del CNIL, formulate nel suo parere del 24 aprile per integrare le garanzie inizialmente fornite dal governo. Riguardano in particolare la responsabilità del trattamento affidato al ministero responsabile della politica sanitaria, l’assenza di conseguenze legali negative legate alla scelta di non utilizzare l’applicazione o persino l’attuazione di alcune misure tecniche di sicurezza.
La CNIL ritiene che l’applicazione possa essere distribuita legalmente non appena sembra essere uno strumento aggiuntivo al sistema di rilevamento sanitario manuale e che consente avvisi più rapidi in caso di contatto con una persona infetta, anche per contatti sconosciuti.
Tuttavia, il CNIL ritiene che la reale utilità del sistema dovrà essere studiata più precisamente dopo il suo lancio. La durata dell’attuazione del sistema dovrebbe essere condizionata dai risultati di questa valutazione periodica.
Le altre osservazioni del CNIL
Data la delicatezza della domanda, il CNIL ha formulato diverse raccomandazioni aggiuntive in questo nuovo parere, tra cui:
- Miglioramento delle informazioni fornite agli utenti, in particolare per quanto riguarda le condizioni d’uso dell’applicazione e le modalità di cancellazione dei dati personali.
- La necessità di fornire informazioni specifiche per i minori e i genitori di minori .
- Conferma nel prossimo decreto di un diritto di opposizione e di un diritto alla cancellazione di dati pseudonimizzati registrati.
- Accesso gratuito a tutto il codice sorgente dell’applicazione mobile e del server.