Legislatura 18 Risposta ad interrogazione scritta n° 4-03233
Azioni disponibili
Risposta all'interrogazione n. 4-03233
Fascicolo n.65
Risposta. - Si riscontra l'atto di sindacato ispettivo con il quale si chiede di sapere quali siano stati i criteri impiegati nella selezione dell'applicazione "Immuni", dove siano localizzati i server in cui saranno custoditi i dati relativi all'applicazione e chi gestirà i medesimi server; inoltre, come e da chi verranno utilizzati i dati raccolti dall'applicazione e come sia articolata la compagine societaria di Bending Spoons SpA e, in particolare, se essa sia controllata o partecipata da società aventi sedi in Paesi stranieri. Infine, quali urgenti iniziative, anche di carattere normativo, il Governo intenda porre in essere al fine di garantire la tutela della riservatezza dei dati personali dei cittadini italiani.
Per quanto attiene alla procedura di selezione della soluzione tecnologica di contact tracing, ci si ricollega a quanto illustrato dal Ministro in più sedi parlamentari, dove si è anticipato la disamina svolta dal "gruppo di lavoro data driven per l'emergenza COVID-19", sui cui lavori si rinvia alle relative relazioni, di cui è stata promossa la pubblicazione nel sito istituzionale del Dipartimento per la trasformazione digitale. Si precisa per quanto emerge dalle relazioni, che all'attenzione di componenti del sottogruppo "tecnologie per il governo dell'emergenza" sono pervenute 319 proposte. La disamina, volta alla selezione delle proposte tecnicamente più rispondenti al bisogno di contribuire tempestivamente al governo dell'emergenza, è stata articolata in tre fasi successive. In particolare, insieme ad altri criteri, sono stati oggetto di specifica valutazione quelli, richiamati anche nell'interrogazione, relativi all'affidabilità e alla sicurezza della società. Al termine delle tre fasi del processo di selezione, caratterizzazione e valutazione delle proposte è stata realizzata una tabella sinottica delle soluzioni ritenute maggiormente affidabili, per illustrarne le principali caratteristiche tecniche, i punti di forza e le possibili criticità.
In particolare, i due gruppi della task force dati, allocati alla valutazione delle applicazioni e all'analisi di privacy nella gestione dei dati, hanno condiviso i primi risultati delle loro analisi con il Garante per la protezione dei dati personali, l'Autorità garante della concorrenza e del mercato e l'Autorità per le garanzie nelle comunicazioni. Successivamente, il gruppo di lavoro ha concluso indicando, fra tutte le soluzioni esaminate, quelle denominate "Immuni" e "CovidApp" le maggiormente idonee ad essere testate in parallelo per eventuale uso nell'emergenza coronavirus. La task force ha evidenziato di ritenere che Immuni, dal punto di vista tecnico più avanzata, si avvicinava maggiormente a una visione europea allora promossa dalla Commissione medesima.
Con ordinanza n. 10/2020, il commissario straordinario per l'emergenza COVID-19, su impulso e raccordandosi con la Presidenza del Consiglio dei ministri, ha stipulato il contratto con il quale la società sviluppatrice dell'applicazione, allo scopo esclusivo di fornire un proprio contributo, volontario e personale, utile per fronteggiare l'emergenza da COVID-19 in atto, ha concesso la licenza d'uso aperta, gratuita, perpetua e irrevocabile del codice sorgente e di tutte le componenti dell'app "Immuni", nonché si è impegnata, sempre gratuitamente e pro bono, a completare gli sviluppi software necessari per la messa in esercizio del sistema nazionale di contact tracing digitale.
La stipulazione del contratto è stata preceduta dall'analisi della compagine societaria della Bending Spoons SpA effettuata ai fini di verifica sul piano della sicurezza nazionale. L'analisi ha appurato che non sussistono ragioni ostative all'utilizzo dell'applicazione e della soluzione sviluppata dalla società. I soci fondatori di Bending Spoons, poco più che trentenni, detengono 1'80 per cento delle quote e il 90 per cento di quelle con diritto di voto, che permettono loro di eleggere il consiglio di amministrazione nella sua interezza.
Nessun soggetto privato, nazionale o straniero, ha mai avuto e mai avrà accesso ai dati.
Preme precisare, rispondendo sul punto alla specifica richiesta, che si trattava e si tratta dell'inizio di un percorso, non di un punto di arrivo ed è anche per questo motivo che il Ministro ha ritenuto il Parlamento, attraverso le Commissioni competenti di Camera e Senato, la sede principale nella quale esporre gli orientamenti e ascoltare valutazioni e raccomandazioni utili a favorire un ponderato processo decisionale da parte di Governo e Parlamento per le rispettive competenze. Si è trattato, quindi, di un primo passo funzionale a successive verifiche e adattamenti tecnici. Verifiche volte a garantire sia l'ottenimento della massima efficacia possibile del sistema individuato sia l'aderenza sua e delle sue modalità di funzionamento alle normative italiane ed europee sul rispetto della privacy in un quadro di sicurezza.
Su quest'ultimo specifico fronte, si richiama quanto già affermato nel corso delle audizioni tenute allorquando il Ministro ha precisato che l'adozione del sistema di contact tracing sarebbe dipesa dall'approvazione di una norma primaria, indispensabile per delimitarne il campo e le modalità di azione, oltre a fornire il necessario quadro di garanzie per i cittadini utilizzatori anche sotto il profilo della privacy. Tale intervento è stato varato in data 30 aprile 2020 all'art. 6 del decreto-legge 30 aprile 2020, n. 28, recante "Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l'introduzione del sistema di allerta COVID-19". La norma, rubricata "sistema di allerta COVID-19" contiene le disposizioni miranti a dare risposta agli aspetti che più hanno ingenerato legittime domande e anche timori. In particolare, viene individuato il titolare del trattamento dei dati nel Ministero della salute, che si coordina, nel rispetto del regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (art. 28), con i soggetti competenti in relazione alla tipologia di dati trattati.
Sono poi previste misure tecniche e organizzative idonee a garantire la sicurezza dei diritti e le libertà degli interessati; tali misure sono adottate dal Ministero della salute, sentito il Garante per la protezione dei dati personali, e garantiranno che: a) gli utenti riceveranno, prima dell'attivazione dell'applicazione, informazioni chiare e trasparenti sulle finalità e sulle operazioni di trattamento; b) i dati personali raccolti dall'applicazione saranno esclusivamente quelli necessari ad avvisare gli utenti dell'applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19; c) il tracciamento dei contatti sarà basato sul trattamento di dati di sola prossimità dei dispositivi, resi anonimi, oppure, ove ciò non sia possibile, pseudonimizzati. A tale proposito specifico espressamente che è esclusa in ogni caso la geolocalizzazione dei singoli utenti; d) per evitare il rischio di reidentificazione degli interessati saranno garantite tutte le adeguate misure di sicurezza dei sistemi e dei servizi di trattamento; e) i dati relativi ai contatti stretti saranno conservati, anche nei dispositivi mobili degli utenti, per il periodo, stabilito dal Ministero della salute, strettamente necessario al tracciamento. È previsto che alla scadenza del termine siano cancellati in modo automatico.
Circa gli scopi di utilizzo, la norma precisa che i dati raccolti attraverso l'applicazione non possano essere utilizzati per finalità diverse da quella dell'app, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica, nel rispetto del diritto europeo.
Con riguardo agli aspetti di sicurezza, è chiaramente affermato che la titolarità della piattaforma così come la sua gestione saranno pubbliche, con infrastrutture localizzate esclusivamente sul territorio nazionale, ed affidate ad amministrazioni o enti pubblici o società interamente in mano pubblica. I programmi sviluppati saranno open source, aperti e verificabili, secondo le previsioni di legge.
Infine, viene stabilita una durata temporalmente limitata del trattamento e dell'utilizzo dell'applicazione, fino al termine dello stato di emergenza e comunque non oltre il 31 dicembre 2020, data entro la quale tutti i dati personali trattati sono definitivamente cancellati o resi anonimi. Giova evidenziare che su tale disposizione il Garante per la protezione dei dati personali ha espresso parere favorevole, ritenendo il sistema di contact tracing prefigurato coerente con i principi e le disposizioni in materia di protezione dei dati personali.
In conclusione, si ritiene opportuna una precisazione sollecitata da un'affermazione in cui assume che la seconda funzione dell'applicazione consista in un diario clinico contenente tutte le informazioni più rilevanti del singolo utente (sesso, età, malattie pregresse, assunzione di farmaci). Al riguardo, si riferisce che la funzione del "diario dei sintomi” non è attualmente prevista. Eventuali ulteriori funzionalità (tra le quali quelle del diario clinico, della sorveglianza sanitaria sindromica eccetera) potranno essere oggetto di futuri sviluppi secondo le esigenze che si manifesteranno e le decisioni che saranno prese dal Ministero della salute. Tali sviluppi, peraltro, potranno essere fatti anche su piattaforme e app diverse da Immuni, che attualmente, come ricordato, non prevede funzionalità ulteriori e diverse a quella di mero contact tracing.
Il Ministro per l'innovazione tecnologica e la digitalizzazione
PISANO