Non ho alcuna conoscenza in tema di app. Mi interessa, e non poco, l’uso dell’app al fine di prevenire i contagi Covid-19. Seguo fino a un certo punto le polemiche quotidiane sull’individuazione del gestore, sulla sua affidabilità, sulla difficile interlocuzione fra il Governo, in particolare il ministro dell’Innovazione, e il Parlamento, in particolare il Copasir. Tuttavia, poiché il lavoro che svolgo è applicare norme di legge a vicende concrete controverse, ho provato a studiare la prima norma avente forza di legge che dalla dichiarazione dello stato di emergenza disciplina il “sistema di allerta Covid-19”: quella dell’art. 6 del decreto legge n. 28 del 30 aprile 2020. La riporto per intero alla fine di questa nota, sì che chiunque lo desideri, senza perdere tempo a cercarla, potrà verificare se gli interrogativi che seguono siano corretti, oppure no.
Provo a sintetizzare l’articolo in questione, scorrendolo per commi e tentando l’ardua impresa di coglierne il significato. Ardua impresa non solo per l’estensione della disposizione, che si compone di 7 commi, 1020 parole, 7232 battute, ma anche perché, affrontando quello che gli esperti indicano come uno snodo cruciale per contenere e spegnere la diffusione del virus, essa non risparmia quantità massicce di riferimenti normativi (da consultare uno per uno per capire di volta in volta di che si tratta) e di termini assenti dal linguaggio corrente, come “pseudonimizzazione” – troppo facile l’equivalente “uso di pseudonimo”? -, mentre è assai parca di punti fermi.
Il Comma 1 più che una norma di legge è una manifestazione di intenti. Il Governo informa che “è istituita una piattaforma unica nazionale per la gestione del sistema di allerta”, ma il verbo indicativo è in realtà un “ottativo”. Si comprende (quasi) subito che sarà una storia lunga, perché il Ministero della Salute dovrà sentire il Ministro degli affari regionali – non sottilizzo sul fatto che il dialogo non è omogeneo, “ministero” nel primo caso, “ministro” nel secondo – e poi entrano in gioco la Protezione civile, l’Istituto superiore di sanità, le strutture operanti nel Sistema sanitario nazionale, e infine la Conferenza Stato-Regioni. Né sottilizzo sul fatto che l’ISS è una articolazione del ministero della Salute e che a quest’ultimo fa capo il SSN, sì che non è chiaro perché il ministero della Salute non realizzi un immediato coordinamento con le Regioni, vista la competenza ripartita fra l’uno e le altre, pur se con prevalenza delle seconde.
Il Comma 2 fa entrare in scena il Garante della privacy e assicura che ogni utente dell’app verrà reso “pienamente consapevole” di ciò che in questo momento, stando alle cronache mediatiche, non è stato neanche definito, e cioè le tecniche per garantire l’anonimato e le modalità e i tempi di conservazione dei dati; e quindi non è nella “piena consapevolezza” neanche del Governo.
Se il comma 3 garantisce che la finalità dei dati acquisiti con l’app sarà esclusivamente la gestione dell’allerta, e al più il loro uso aggregato per la sanità pubblica, il comma 4 fornisce una ulteriore assicurazione: chi non utilizzerà l’app non sarà penalizzato o discriminato.
Il comma 5 conferisce “titolarità pubblica” alla “piattaforma”, mentre il comma 6 stabilisce che quest’ultima cessa col termine dello stato di emergenza, e comunque entro il 31 dicembre 2020, con la cancellazione di tutti i dati. Il comma 7 prevede la copertura finanziaria.
Un tale dispendio di commi e di parole lascia aperti molti – troppi – interrogativi:
- che cosa accade in concreto una volta che scatta l’allerta? chi informa chi? e qual è l’oggetto preciso della comunicazione? confesso i miei limiti: non lo ricavo dalla lettura di quella che pure – lo ripeto – è la prima norma dedicata alla app. È però la prima cosa che andrebbe ben spiegata.
- Il Commissario dott. Arcuri, parlando in conferenza stampa il 28 aprile (https://www.adnkronos.com/fatti/cronaca/2020/04/28/coronavirus-arcuri-app-immuni-operativa-maggio_x7Mn9lSNSB7eUCQ2YO8juM.html) ha asserito che l’app “farà scattare l’alert quando ad esempio il signor Rossi avrà avuto un contatto stretto per più di 15 minuti con una persona positiva“. E ha aggiunto che “la distanza di rischio per noi è (…) una quantità di metri più vicina ai due che non all’uno”. Dunque, se io entro in metropolitana e per 12 minuti – un tempo medio di percorrenza in un mezzo pubblico veloce – mi trovo a breve distanza da un soggetto portatore del virus non scatta alcuna allerta, pur se entrambi abbiamo attivato l’app. È rassicurante? È vero che il tempo di esposizione deve essere apprezzabile, ma così non è tanto?
- Che cosa vuol dire in concreto che “il mancato utilizzo dell’app (…) non comporta alcuna conseguenza pregiudizievole”? Mi spiego. Il sistema di identificazione ai fini dell’accesso a servizi di amministrazioni centrali e territoriali – il c.d. SPID – non è obbligatorio. Però se io non ne dispongo sono fortemente pregiudicato: non riesco a pagare on line neanche una contravvenzione: non è il caso di essere meno generici nelle assicurazioni? Di più. Nel momento in cui l’app diventi operativa mi si dice che sono libero di non scaricarla: se però non la scarico e domani il sig. Rossi viene contagiato il mio comportamento omissivo potrebbe essere qualificato negligente, e quindi colposo, e sarei chiamato a risponderne in giudizio in sede civile e/o penale; la vaghezza della formulazione normativa non esclude questa ipotesi. Provo a ribaltare il discorso: sul presupposto che la prevenzione funzioni al meglio, e quindi che l’app venga utilizzata dal maggior numero possibile di italiani, si identifichino incentivi al suo uso, si confermino effettive garanzie, si escludano le fasce di popolazione che – per età o per disabilità – non la adopereranno mai, ma la si renda efficace. In una parola, si adoperi un linguaggio di verità, all’insegna del “cari italiani, alcuni vostri diritti potrebbero essere compressi ma sull’altro piatto della bilancia la salute pubblica ne beneficerà”. In quest’ottica, l’esclusione della geolocalizzazione (co. 2, lett. c) è un limite alle sue potenzialità.
- L’obiettivo di “una piattaforma unica nazionale per la gestione del sistema di allerta” è ambizioso e auspicabile. Peccato che i protocolli sanitari delle Regioni italiane – e i correlativi sistemi informatici – siano l’uno diverso dall’altro: siamo sicuri che il dialogo informatico fra i differenti sistemi si raggiunga prima della fine dell’emergenza, e quindi del termine di vita dell’app? Questo per non toccare il tasto della pur necessaria interazione dell’app con sistemi analoghi di altri Stati europei: o immaginiamo che l’autista di tir, inconsapevole portatore del virus, lasci quest’ultimo al Brennero prima di entrare in Italia?
L’art. 6, come l’intero D.L. n. 28, sarà sottoposto all’esame del Parlamento per la conversione in legge. È illusorio attendersi che Camera e Senato pretendano dal Governo e forniscano alla Nazione risposte plausibili ai quesiti appena sintetizzati?
Alfredo Mantovano
D.L. n. 28/2020 / Capo II Misure urgenti per l’introduzione del sistema di allerta Covid-19 / Art. 6 – Sistema di allerta Covid-19
1. Al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19, è istituita una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile. Il Ministero della salute, in qualità di titolare del trattamento, si coordina, sentito il Ministro per gli affari regionali e le autonomie, anche ai sensi dell’articolo 28 del Regolamento (UE) 2016/679, con i soggetti operanti nel Servizio nazionale della protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e con i soggetti attuatori
di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3 febbraio 2020, nonché con l’Istituto superiore di sanità e, anche per il tramite del Sistema Tessera Sanitaria, con le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale, nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all’emergenza epidemiologica da COVID 19, per gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l’adozione di correlate misure di sanità pubblica e di cura. Le modalità operative del sistema di allerta tramite la piattaforma informatica di cui al presente comma sono complementari alle ordinarie modalità in uso nell’ambito del Servizio sanitario nazionale. Il Ministro della salute e il Ministro per gli affari regionali e le autonomie informano periodicamente la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano sullo stato di avanzamento del progetto.
2. Il Ministero della salute, all’esito di una valutazione di impatto, costantemente aggiornata, effettuata ai sensi dell’articolo 35 del Regolamento (UE) 2016/679, adotta misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali ai sensi dell’articolo 36, paragrafo 5, del medesimo Regolamento (UE) 2016/679 e dell’articolo 2-quinquiesdecies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, assicurando, in particolare, che:
a) gli utenti ricevano, prima dell’attivazione dell’applicazione, ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati;
b) per impostazione predefinita, in conformità all’articolo 25 del Regolamento (UE) 2016/679, i dati personali raccolti dall’applicazione di cui al comma 1 siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, individuati secondo criteri stabiliti dal Ministero della salute e specificati nell’ambito delle misure di cui al presente comma, nonché ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti;
c) il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati; é esclusa in ogni caso la geolocalizzazione dei singoli utenti;
d) siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento;
e) i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della salute e specificata nell’ambito delle misure di cui al
presente comma; i dati sono cancellati in modo automatico alla scadenza del termine;
f) i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento (UE) 2016/679 possano essere esercitati anche con modalità semplificate.
3. I dati raccolti attraverso l’applicazione di cui al comma 1 non possono essere trattati per finalità diverse da quella di cui al medesimo comma 1, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica, ai sensi degli articoli 5, paragrafo 1, lettera a) e 9, paragrafo 2, lettere i) e j), del Regolamento (UE) 2016/679.
4. Il mancato utilizzo dell’applicazione di cui al comma 1 non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento.
5. La piattaforma di cui al comma 1 è di titolarità pubblica ed è realizzata dal Commissario di cui all’articolo 122 del decreto-legge 17 marzo 2020, n. 18, convertito, con modificazioni, dalla legge 24 aprile 2020, n. 27, esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla società di cui all’articolo 83, comma 15, del decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133. I programmi informatici di titolarità pubblica sviluppati per la realizzazione della piattaforma e l’utilizzo dell’applicazione di cui al medesimo comma 1 sono resi disponibili e rilasciati sotto licenza aperta ai sensi dell’articolo 69 del decreto legislativo 7 marzo 2005, n. 82.
6. L’utilizzo dell’applicazione e della piattaforma, nonché ogni trattamento di dati personali effettuato ai sensi al presente articolo sono interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi.
7. Agli oneri derivanti dall’implementazione della piattaforma di cui al presente articolo, nel limite massimo di 1.500.000 euro per l’anno 2020, si provvede mediante utilizzo delle risorse assegnate per il medesimo anno al Commissario straordinario di cui all’articolo 122 del decreto-legge 17 marzo 2020, n. 18 con delibera del Consiglio dei Ministri a valere sul Fondo emergenze nazionali di cui all’articolo 44 del decreto legislativo 2 gennaio 2018, n. 1.
