https://images.wired.it/wp-content/uploads/2020/04/02150555/allertalom.png
(immagine: Regione Lombardia)

Le note stonate sulla privacy dell'app AllertaLom di Regione Lombardia

by

Indicazioni sull'uso dell'applicazione e trattamento dei dati personali lasciano alcuni dubbi sul funzionamento della app lombarda per monitorare il coronavirus

Agli esperti di privacy è stato richiesto nelle ultime settimane di rilasciare in diverse occasioni opinioni sull’app Immuni a cui sta lavorando il ministero dell’Innovazione. Anche la stampa ha dato ampia copertura all’argomento e ci è stato detto che il progetto per avere successo necessita che almeno il 60% degli italiani la scarichino. Questa è un’impresa alquanto sfidante se si pensa che app molto popolari come YouTube sono state scaricate solo dal 50% degli italiani e sono in commercio da diversi anni.

Ma proprio nei giorni in cui il presidente del Consiglio, Giuseppe Conte, ha annunciato nell’ultima conferenza stampa che la sperimentazione dell’app Immuni sta per iniziare, la Regione Lombardia ha emesso l’ordinanza 546 del 13 maggio 2020 in cui, tra le altre cose, “è fortemente raccomandato l’utilizzo della app “AllertaLom” da parte del datore di lavoro e di tutto il personale, compilando quotidianamente il questionario “CercaCovid””.

A parte la poca chiarezza normativa del concetto di “forte raccomandazione” che ha fatto interrogare alcune società circa la necessità di rendere l’utilizzo dell’app addirittura obbligatorio per i propri dipendenti, lascia quantomeno perplessi un comportamento alquanto contraddittorio ai sensi della normativa privacy.

La app

Sul sito della Regione Lombardia viene indicato che “gli utenti possono compilare un questionario integrato all’interno dell’app che rende possibile raccogliere dati, in forma anonimizzata, e mettere a disposizione dell’Unità di Crisi regionale e degli specialisti informazioni complete e strutturate sulla diffusione del contagio sul territorio lombardo”. Il termine anonimizzata è ambiguo perché potrebbe voler dire che i dati raccolti possano qualificarsi inizialmente come dati personali, ma poi ci sia ad esempio un processo di aggregazione dei dati che porta alla loro anonimizzazione.

Questa lettura sarebbe in linea con l’impostazione seguita dalla Regione Lombardia di fornire un’informativa sul trattamento dei dati personali e di richiedere il consenso al trattamento dei dati personali quale condizione per poter permettere agli utenti di compilare il questionario. Il Garante per il trattamento dei dati personali ha recentemente sottolineato che anche il processo di anonimizzazione è un trattamento di dati personali perché comporta l’utilizzo di dati personali al fine di privarli delle informazioni che consentono di rendere una persona “identificata o identificabile”.

Tuttavia, la lettura interpretativa sopra indicata è poi smentita dalla stessa Regione Lombardia nelle pagine di descrizione dell’app AllertaLom dove sottolinea come “il questionario è anonimo”. Quindi siano passati da una raccolta di dati in forma “anonimizzata” a una raccolta in forma “anonima”, il che comporta che sin dall’origine una persona non possa essere “identificata, direttamente o indirettamente”.

La smentita poi continua non soltanto perché viene fornita un’informativa sul trattamento dei dati personali e viene chiesto un consenso al trattamento dei dati che non sarebbe necessario in caso di trattamento di dati del tutto anonimi, ma perché l’informativa conferma che vengono trattati i seguenti dati personali “il sesso, l’età, il domicilio (città e Cap), il luogo di lavoro (città e Cap), l’eventuale necessità di spostamenti rispetto al domicilio, l’eventuale frequentazione di luoghi pubblici poi chiusi a seguito dell’emergenza Covid-19, gli eventuali contatti recenti con persone positive a Covid-19, una eventuale positività riscontrata a Covid, gli eventuali sintomi connessi alla manifestazione dell’infezione dal virus” e questi dati sono collegati a “un codice identificativo del suo dispositivo mobile”.

Cosa ci dicono le regole

Non viene raccolto il nome e cognome della persona, ma gli esperti di privacy sanno molto bene che questi sono solo una categoria di dati personali. I cookies per esempio non ci dicono il nome della persona ma, come nel caso dell’app AllertaLom, identificano il suo dispositivo e le caratteristiche del suo utente ed è pacifico che comportino il trattamento di dati personali al punto che sono stati oggetto della Direttiva ePrivacy 2002/58/Ce e proprio il limite relativo all’utilizzo dei dati che indirettamente consentono di risalire a un individuo è ancora oggetto dei lunghi dibattiti relativi alla bozza di Regolamento ePrivacy avvenuti negli ultimi anni.

L’informativa sul trattamento dei dati personali AllertaLom fa riferimento al trattamento dei dati personali per la fruizione del “Servizio” che non viene definito però nell’informativa. I termini e condizioni dell’app lo definiscono invece come “il servizio come attraverso il quale gli utenti possono prendere visione di talune informazioni relative alle allerte di protezione civile emesse dal Centro Funzionale Monitoraggio Rischi Naturali di Regione Lombardia e/o ulteriori informazioni di pubblico interesse emesse dall’Ente Regione Lombardia”, ma per accedere a informazioni non è necessario trattare i dati del questionario che possono qualificarsi anche come dati sulla salute.

Se la finalità del trattamento fosse stata unicamente la ricezione di informazioni non sarebbe stato necessario richiedere il consenso dell’utente al trattamento dei dati personali perché il trattamento sarebbe stato necessario per l’utilizzo dell’app.

A dire il vero l’informativa di AllertaLom menziona che “detti dati potranno altresì essere trattati per elaborare informazioni statistiche anonime sull’uso dell’app e del servizio, anche per verificarne il funzionamento, nonché in assolvimento di obblighi di legge”, ma poi indica come base giuridica di tutti i trattamenti sopra indicati un unico consenso e non menziona in ogni caso il processo di anonimizzazione per “raccogliere dati, in forma anonimizzata, e mettere a disposizione dell’Unità di Crisi regionale e degli specialisti informazioni complete e strutturate sulla diffusione del contagio sul territorio lombardo” citato sul sito della Regione Lombardia.

Non c’è dubbio che l’app AllertaLom sia migliorabile nelle sue funzionalità e nelle modalità in cui tratta i dati personali. Con tutte queste aree grigie, i datori di lavoro non potranno fare altro che informare i propri dipendenti della “forte raccomandazione” della Regione, senza esporsi in alcun modo e senza renderla obbligatoria.

Quale nota finale mi chiedo se sia corretto che la Regione Lombardia lanci la propria app non solo senza consultare il Garante per il trattamento dei dati personali, ma sapendo che a breve il aoverno lancerà la propria app Immuni che ha finalità simili e che per avere successo deve raggiungere la diffusione massima sul territorio nazionale e non ha bisogno di app “concorrenti”.

Mi auguro che quando l’app Immuni sarà lanciata, la Regione Lombardia dismetta la raccolta del questionario “CercaCovid” e – una volta che tutte le verifiche di compliance privacy saranno completate – raccomandi fortemente ai cittadini di scaricare l’app Immuni.