1. El contexto y las previas intervenciones de la Autoridad de Protección de Datos Italiana. 

Deseo antes todo agradecer la Comisión para su contribución solicitada, que permitirá de subrayar algunos perfiles de particular interés del “rastreo de contacto” realizado mediante el sistema nacional de alerta con arreglo al artículo 6 del decreto-ley n. 28 del 2020 convertido, con modificaciones, desde la ley n. 70 del 2020. 

El tema del rastreo digital de los contactos desarrollado en Italia mediante la aplicación “immuni” ha representado y ahora representa una cuestión dirimente en el gobierno de la emergencia, expresiva como pocas otras del bilanciamento entre libertades individuales y intereses colectivos, tan más complexo desde el contexto pandémico.

Dos derechos fundamentales están en juego como lo de la salud, también en su componente meta individual de “interés de la colectividad” a la sanidad pública y lo de la protección de los datos personales, calificado como derecho “de libertad”, autónomo desde el tradicional derecho al respecto de la vida privada, artículo 8 Cdfue.   

No pudiendo configurar jerarquías “tiránicas” entre los derechos fundamentales (Tribunal Constitucional, sentencia n. 85/2013), también aquellas a la salud y a la protección datos exigen un equilibrio para proteger el contenido esencial, que el Artículo n. 52 Cdfue califica como inviolable. 

La búsqueda de este equilibrio ha representado uno de los tratos calificantes las posiciones asumidas desde las Autoridades, respecto a diferentes disposiciones adoptadas en los meses precedentes para el contraste de la pandemia: desde las inherentes al ámbito de circulación de los datos personales, también de salud, entre los sujetos afectados desde la acción de prevención (artículos n. 14 Decreto-Ley 14/2020 y 17-bis Decreto-Ley 18/2020) hasta, por esto, el sistema de rastreo digital de los contactos disciplinado desde el artículo 6 del decreto-ley 28, que se ha formado bajo de las direcciones de la Autoridad de Protección de Datos, desde la audición en comisión de transportes de la Cámara, el 8 abril. 

Deja aquel dia se indicaron los parámetros esenciales de legitimidad de los instrumentos de contact tracing, identificables en primer lugar en la funcionalización y a fines de utilidad social (contenimento de las infecciones), antes para fines represivo-sancionadores, en la necesaria parcialidad – estas soluciones integrándose en una amplia y compleja estrategia de prevención sanitaria – así como el respecto de las normas de protección de datos como condición indispensable para la confidencialidad social en estas medidas. 

Por consiguiente, la Autoridad había subrayado la necesidad de que el sistema de localización de contactos se regulara por ley, debido a la repercusión de la medida en la intimidad individual y a la necesidad de un modelo unitario de disciplina que permitiera absorber (también debido a la atribución del asunto al poder legislativo del Estado) las iniciativas de las autoridades territoriales que, en ese momento, se anunciaban como potencialmente disfuncionales.  El sistema, de titularidad pública, debería haberse basado -subrayó la Autoridad- en una adhesión verdaderamente voluntaria (excluyendo, por lo tanto, cualquier tipo de prejuicio hacia quienes no tenían intención de prestarla), en datos no de geolocalización sino de mera proximidad de los dispositivos (mucho menos significativos e «invasivos» que los primeros), al menos seudónimos, en un mecanismo deslocalizado de almacenamiento de la información, así como en sólidas garantías de seguridad informática. Se subrayó la necesidad de que la temporalidad del sistema se definiera en relación con la persistencia de la condición de emergencia y la necesaria limitación de la recogida a los únicos datos y al único período de conservación indispensable para fines epidemiológicos.

Con el dictamen (de 29 de abril) sobre el esquema de disposición que se incluiría en el decreto-ley nº 28/20 para la regulación del sistema de rastreo digital de contactos, se valoró positivamente la elección del Gobierno en favor de un sistema de notificación de la exposición a contactos significativos con sujetos positivos, basado en la libre adhesión de quienes descarguen una aplicación específica en su dispositivo y en una plataforma de alerta nacional creada en el Ministerio de Sanidad, con un fuerte grado de seudonimización de los datos, así como la prohibición de la comunicación de datos a terceros.

Además, se han evaluado positivamente las medidas previstas por el reglamento para garantizar la determinación y la exclusividad de la finalidad: el rastreo debe estar destinado exclusivamente a la contención de los contagios, excluyendo otras finalidades, sin perjuicio de la posibilidad de utilización para fines de investigación científica y estadística, prevista únicamente en los términos generales previstos por el Reglamento UE 2016/679, potenciando también en este sentido el destino solidario de los datos.

Finalmente, se acordó (ya que cumple con las indicaciones ya realizadas) que el sistema sería temporal, con la interrupción de las actividades de la plataforma en la fecha de finalización del estado de emergencia y el plazo de salvaguarda final, así como con la cancelación o anonimización definitiva de los datos recogidos.

Además, con la medida de autorización sobre la evaluación de los efectos del 1º de junio, la Autoridad, tras observar favorablemente la elección en favor de un sistema de gestión local de las notificaciones de exposición, ha indicado otras medidas destinadas a reforzar las garantías de procesamiento también en lo que respecta a la seguridad de la información, la transparencia y la información de los usuarios.

En particular, deben ser conscientes de los perfiles no secundarios, como el riesgo de falsos positivos (o incluso negativos), ya que el sistema no puede distinguir entre contactos peligrosos porque se producen, por ejemplo, en ausencia de dispositivos de protección y contactos, aunque calificados para la durabilidad y la proximidad, pero seguros porque se mantienen al aire libre o en condiciones protegidas. De hecho, hay que recordar que, en sentido estricto, Immuni representa una aplicación funcional para un sistema de notificación con respecto a las exposiciones de riesgo, que por lo tanto no sigue los movimientos, sino que reconoce los acontecimientos (el contacto es cualificado y significativo, al menos en abstracto, desde el punto de vista epidemiológico).

También se señaló que, en caso de que el frotis sea positivo, el inicio del sistema de rastreo de contactos está en todo caso sujeto a la elección voluntaria del sujeto, que debe proporcionar al trabajador de la salud su OTP para permitir que el sistema envíe alertas a las personas potencialmente infectadas. Este perfil no ha sido modificado por el DPCM del 18 de octubre, que se limita a intervenir sobre las obligaciones de los trabajadores de la salud.

Este otro elemento de la disciplina (aplicado concretamente mediante decreto ministerial sobre el que, asimismo, se ha obtenido la opinión de la Autoridad) representa la culminación y la garantía final del carácter voluntario efectivo del sistema de rastreo digital de contactos, cuya adhesión expresa, en cada fase y en cada consecuencia, una libre elección (tanto como responsable) del individuo, con exclusión reglamentaria expresa de todo posible perjuicio en caso de no adhesión al propio sistema.

Más detalladamente, a los efectos de evaluar el cumplimiento de los requisitos establecidos, con la medida del 1 de junio, el Garante solicitó al Ministerio de Salud que proporcionara información, en los treinta días siguientes, sobre los siguientes perfiles:

– indicación precisa del algoritmo y los parámetros de configuración utilizados por el sistema;

– información adecuada de los usuarios sobre la posibilidad (mencionada anteriormente) de que, debido a las circunstancias particulares del contacto, la notificación de la exposición no refleje una condición de riesgo real;

– accesibilidad de la función de desactivación temporal de la aplicación;

– protección adecuada de los análisis en el backend de Immuni, evitando cualquier forma de re-asociación con individuos identificables;

– Aclaración, en la notificación, de las operaciones realizadas con referencia al análisis de la información epidemiológica y los datos personales recogidos en relación con las diversas categorías de interesados;

– adecuación de la notificación de información y el mensaje de alerta también con referencia a la capacidad de discernimiento de los usuarios menores de edad, incluso si son mayores de 14 años;

– adecuación de la información proporcionada a los usuarios en relación con las características de la fase de prueba;

– la integración de la evaluación del impacto y la información relativa a los procedimientos para ejercer los derechos de cancelación y oposición;

– integración, sobre la base del principio de la responsabilidad, de la evaluación de los efectos con la descripción de la función y las operaciones atribuibles a otros sujetos que probablemente participen en el Sistema Inmunitario;

– medición de los tiempos de retención de las direcciones IP en la medida estrictamente necesaria para la detección de anomalías y ataques;

– garantizar el seguimiento de las operaciones realizadas por los administradores de sistemas en los sistemas operativos, la red y las bases de datos;

– adopción de medidas técnicas y organizativas para mitigar los riesgos derivados de la carga de TEKs no referidos a sujetos positivos como resultado de cualquier error material o de diagnóstico.

A raíz de la información proporcionada (en términos) el 23 de junio, se iniciaron reuniones entre las Oficinas con el fin de determinar las mejores soluciones -todavía en examen por la Autoridad- a algunas dificultades que surgieron en el cumplimiento, en particular, de los requisitos establecidos en los puntos cuatro, nueve, diez, once y doce de la lista anterior. A mediano plazo, la necesidad de garantizar la interoperabilidad hizo necesario adoptar una nueva evaluación de los efectos, que fue recibida por la Autoridad el 16 de octubre.

La Oficina también llevó a cabo un análisis de los riesgos -temidos por los informes de prensa- de la vulnerabilidad del sistema con respecto a los llamados ataques de repetición, capaces de generar falsas notificaciones de exposición al riesgo. En la actualidad, no parece reconocible esa vulnerabilidad específica (y la consiguiente necesidad de adoptar medidas adicionales), ya que este tipo de ataques, suponiendo la incautación ilegal del dispositivo móvil y la consiguiente modificación de la configuración, sería atribuible a la conducta delictiva llevada a cabo en el contexto (que no parece concebible como un riesgo típico o inherente al sistema) de una serie más amplia de delitos, también contra la confidencialidad de la información y las comunicaciones, la fe pública, etc.

Por otra parte, la investigación relativa a algunos casos, de los que se informó en informes de prensa, en relación con la omisión de la activación del procedimiento de carga de la teca de los sujetos que dieron positivo al Covid-19 previsto por el sistema de alerta, sigue en curso. Obviamente, el objetivo de superar estas omisiones es la disposición del Decreto del Primer Ministro de 18 de octubre, relativo a las obligaciones de los trabajadores de la salud con respecto a los pacientes que tienen la aplicación de la Inmunidad.

Por último, cabe señalar que en el Informe sobre la protección de datos de 2020, aprobado este mes por el Consejo de Europa, en lo que respecta a las soluciones digitales para combatir la pandemia, se reconoce la contribución positiva de la Autoridad en el proceso legislativo y, en términos más generales, en la elaboración por el Gobierno de un sistema de rastreo de contactos basado en una sinergia y un equilibrio justo entre la salud pública y la privacy.

2. La novela introducida por la Ley.

En este contexto, se inserta la novedad a la que se refiere el artículo 2 del Decreto-Ley de Conversión, que contiene dos innovaciones esenciales: la prestación de la interoperabilidad -sujeta a la evaluación del impacto sobre la privacy- del sistema de alerta nacional con las plataformas que operan, con los mismos fines, en el territorio de la Unión Europea (párrafo 1, letra a)), así como el aplazamiento del plazo final para la utilización de la aplicación y la plataforma -primero en consonancia con el fin de la eficacia de la declaración del estado de emergencia nacional, en cualquier caso a más tardar el 31 de diciembre de 2020- hasta el fin de las necesidades de protección y prevención de la salud pública, identificadas por el dPCM y, en cualquier caso, a más tardar el 31 de diciembre de 2021.

Como se señala en el informe explicativo del proyecto de ley de conversión, la preparación de la disposición fue precedida por la opinión de la Autoridad, aunque de manera oficiosa, inicialmente en una nota de fecha 21 de septiembre, en la que se daban algunas indicaciones sobre el texto inicialmente propuesto, con el que el gobierno, en la redacción final de la disposición, cumplió sustancialmente.

En ese momento, en particular, se mencionó la oportunidad de verificar la uniformidad, con respecto a las otorgadas por nuestro sistema de alerta, de las garantías que ofrecen las plataformas utilizadas en otros Estados. También se subrayó la necesidad de limitar a lo necesario los datos intercambiados, en todo caso en forma seudónima, relativos a los usuarios que han dado positivo en las pruebas del virus, con las plataformas de otros Estados.

Por último, la oportunidad de integrar estas garantías adicionales en la evaluación de impacto específica que se presentará al SEPD para su evaluación, antes del inicio del tratamiento.

Por otra parte, con referencia a los cambios propuestos originalmente en el régimen de eficacia temporal de la actividad de la plataforma, era necesario no liberar el plazo final de la condición de emergencia, debido al carácter derogatorio (y por lo tanto excepcional, precisamente no ordinario) de la disciplina sobre el rastreo de contactos.

Como resultado de ulteriores deliberaciones, el Gobierno propuso entonces la versión (que sería entonces definitiva) de la disposición, que la Autoridad considera aceptable por las razones que se exponen a continuación.

El suministro de interoperabilidad representa la consecuencia coherente del diseño del sistema de alerta nacional como parte de una estrategia europea para combatir la pandemia. De hecho, esta característica de los sistemas ha sido prefigurada desde el pasado mes de abril con la Recomendación (C(2020)2296) relativa a un conjunto de instrumentos comunes de la Unión Europea para la utilización de tecnología y datos, con la que la Comisión, a fin de lograr un enfoque europeo común de la pandemia, pidió la «interoperabilidad en toda la Unión Europea» de los sistemas de rastreo.

El 13 de mayo, los Estados miembros de la Unión Europea, con el apoyo de la Comisión Europea, acordaron, en el marco de la Red de Salud Electrónica, directrices para la interoperabilidad transfronteriza de las aplicaciones de rastreo en la Unión.

La interoperabilidad entre las plataformas de rastreo de toda la Unión Europea fue entonces objeto de la Decisión de aplicación de la Comisión (UE) 2020/1023, de 15 de julio. Esta decisión constituye el fundamento jurídico que legitima, a nivel europeo, la interoperabilidad de las aplicaciones móviles nacionales para el rastreo de contactos y alertas (la llamada pasarela federal), con referencia a los Estados miembros que se han adherido a esta forma específica de cooperación.

La interoperabilidad de los sistemas de alerta representa, en este sentido, una medida funcional tanto para el fortalecimiento de las actividades de contención del contagio – ya que permite reconstruir la cadena de contactos también en caso de movilidad intraeuropea del sujeto – como para la libertad de circulación de los ciudadanos en el territorio de la Unión. Este derecho (y principio, al mismo tiempo, principio fundador del sistema jurídico europeo) corre el riesgo, además, de verse sumamente socavado por el contexto de la pandemia y, de este modo, puede salvaguardarse en cierta medida.

El impacto que la interoperabilidad de los sistemas de rastreo determina inevitablemente en la protección de los datos personales está, después de todo, adecuadamente equilibrado no sólo por la tendencia de las garantías adoptadas por los Estados miembros sobre el punto – en particular, tras la citada decisión de ejecución – sino también por las prescripciones que la Autoridad, durante el examen de la evaluación del impacto, puede hacer para reforzar las salvaguardias, al menos desde un punto de vista interno.

En cambio, en lo que respecta a las enmiendas mencionadas en el apartado b) del párrafo 1, la disposición del dies ad quem de funcionamiento de la plataforma hasta el cese de los requisitos de protección y prevención de la salud pública, se ajusta a la necesidad, representada por la Autoridad, de anclar el término de eficacia, aunque en relación con la condición de pandemia continuada.

En este sentido, el cambio realizado por el decreto-ley se ajusta a este modelo, ya que asume, entre los parámetros a los que se ancla el funcionamiento del sistema, el sustancial relativo a la persistencia de las necesidades de prevención de la salud y el formal-normativo relativo a la identificación de la subsistencia de las mismas con el DPCM. La garantía de último recurso se confía entonces a la provisión, con una cláusula de salvaguardia, de la fecha final de funcionamiento del sistema al 31 de diciembre de 2021.

Por consiguiente, el aplazamiento del plazo de eficacia del sistema se basa en un doble orden de criterios. En primer lugar, hay necesidades de salud pública relacionadas con la necesidad de reconstruir, también digitalmente, la cadena de contactos, con respecto a la cual el Gobierno asume la responsabilidad de declarar su existencia con el DPCM. En segundo lugar, la garantía con respecto al riesgo de «normalización de emergencia» se confía a la disposición del plazo del 31 de diciembre de 2021 en el que, independientemente de las razones de fondo, debe cesar la actividad del sistema de rastreo.

Así pues, la descripción, en extrema síntesis, de los motivos que justifican la opinión favorable emitida por la Autoridad sobre el plan propuesto entonces y que luego, como se había previsto, se reflejó con precisión en el texto del decreto-ley, no puede sino confirmar la posición entonces expresada. También por efecto de la transposición de las indicaciones dadas por la Autoridad, de hecho, tanto las modificaciones introducidas en la disciplina de la localización de contactos subyacen a un equilibrio razonable entre las exigencias de la salud pública y la protección de los datos personales, de conformidad con esa convergencia entre las instancias personalistas y la vocación de solidaridad en la que se basa nuestro sistema. FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’ITALIA – GPDP