Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19”, 29 aprile 2020 e art. 6 d.l. 30 aprile 2020, n. 28.
Presentazione. Immuni viene disciplinata da un DL che e’ una legge ma che si comporta da proposta normativa e il Garante di conseguenza si riserva ogni valutazione dei profili tecnici di fronte all’Autorità Sanitaria in sede di esame ai sensi dell’articolo 2-quinquiesdecies del Codice Privacy. A questo punto, per cercare di capire, abbiamo tentato nel presente contributo di ipotizzare la scheda del Registro del trattamento della App Immuni alla luce del Parere del Garante Privacy e del DL di approvazione numero 28-30.04.2020 ma il risultato è stato decisamente poco chiaro. Sono rimaste sospese questioni incalzanti. Il contact tracing avviene grazie alla piattaforma di interoperabilità Apple-Google. Perché di questo non si fa parola? Dove sono le specifiche sulla valutazione di impatto? Il Garante approva i criteri generali DPIA indicati nel DL e auspica interventi mirati nella fase attuativa imponendo l’azione umana sull’automatismo dell’algoritmo ma qualche esempio? Il riutilizzo dei dati aggregati degli infetti a fini statistici e di ricerca crea inevitabilmente identità collettive con effetti discriminatori quali garanzie? L’art. 36 GDPR stabilisce il meccanismo del parere preventivo del Garante rivolto al legislatore durante l'elaborazione di una proposta di atto legislativo ma qui la legge è già stata fatta ??? Si capisce l’urgenza del COVID Fase 2 però il DL emanato ha i caratteri di un disegno di legge piuttosto che quelli precisi e specifici di una legge vera e propria. In definitiva, siamo davanti a una cornice normativa che pare dire intanto iniziamo a usare Immuni e poi si aggiusta il tiro cammin facendo”. E’ vero che comunque ci sarà il passaggio in Parlamento ma così mancano i presupposti per partire. L’azienda sanitaria oggi deve gestire i dati degli infetti scaricati su server ma su quale server? Deve adottare un server dedicato su Sogei però nel frattempo come opera? Fa scaricare gli identificativi in una sand box posta fuori dall’area militarizzata? In mancanza di istruzioni dal Ministero della Sanità ogni azienda sanitaria si vede costretta ad applicare la gia’ collaudata app della regione e tanti saluti ad Immuni. Registro Trattamento Immuni alla luce del DL numero 28 30.04.20 e del Parere Garante Privacy Immuni deve partire. Bene, ipotizziamo la scheda del Registro inerente al relativo trattamento per capire in cosa consiste, come si attua in concreto, quali sono le misure di sicurezza da adottare. La scheda riporta sulla colonna di sinistra il testo dell’art. 6 del DL esaminato comma per comma a cui corrisponde la colonna di destra con le relative categorie e funzioni sul trattamento dati. REGISTRO DEL TRATTAMENTO ESEGUITO DALL’APP IMMUNI Art. 6 Sistema di allerta Covid-19 Comma 1. Al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell'ambito delle misure di sanita' pubblica legate all'emergenza COVID-19, e' istituita una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un'apposita applicazione sui dispositivi di telefonia mobile. Le modalita' operative del sistema di allerta tramite la piattaforma informatica di cui al presente comma sono complementari alle ordinarie modalita' in uso nell'ambito del Servizio sanitario nazionale . Il Ministro della salute e il Ministro per gli affari regionali e le autonomie informano periodicamente la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano sullo stato di avanzamento del progetto. Il Ministero della salute , in qualita' di titolare del trattamento , si coordina, sentito il Ministro per gli affari regionali e le autonomie, anche ai sensi dell' articolo 28 del Regolamento UE 2016/679, con i soggetti operanti nel Servizio nazionale della protezione civile , di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, numero 1, e con i soggetti attuatori di cui all'articolo 1 dell'ordinanza del Capo del Dipartimento della protezione civile numero 630 del 3 febbraio 2020, nonche' con l'Istituto superiore di sanita ' e, anche per il tramite del Sistema Tessera Sanitaria, con le strutture pubbliche e private accreditate che operano nell'ambito del Servizio sanitario nazionale, nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all'emergenza epidemiologica da COVID 19, per gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l'adozione di correlate misure di sanita' pubblica e di cura. FINALITÀ Sanita' pubblica -emergenza COVID-19 BASE GIURIDICA Interesse pubblico stabilito per legge ex art. 9, co.2, lett. i , GDPR 2016/679 TIPOLOGIA DI TRATTAMENTO Gestione del sistema di allerta contagio tramite strumenti elettronici complementari al SSN software della app, piattaforma digitale italiana, server italiano . Non viene menzionato il sistema di interoperabilita’ transfrontaliera Apple-Google. Perche’??? Nulla viene detto neppure del Trattamento Automatizzato dell’algoritmo. CATEGORIA INTERESSATI Positivi al COVID-19. I rispettivi Contatti”? Tutte le volte che i loro cellulari interrogano il server degli infetti subiscono un trattamento sul registro dei log di accesso oppure no? TIPO DI DATI Dati relativi alla salute e dati biometrici temperatura RUOLI PRIVACY Titolare Trattamento Ministero Salute Responsabili del Trattamento Soggetti Protezione Civile, Istituto Superiore Sanita’, Strutture pubbliche e private accreditate del SSN. E tutti gli altri??? Apple e Google dovrebbero essere Responsabili Esterni ex art. 28 GDPR. Bending Spoons parimenti Responsabili esterni. Sogei Resp. Esterno. Art. 6 Sistema di allerta Covid-19 Comma 2. Il Ministero della salute, all'esito di una valutazione di impatto , costantemente aggiornata, effettuata ai sensi dell'articolo 35 del Regolamento UE 2016/679, adotta misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le liberta' degli interessati, sentito il Garante per la protezione dei dati personali ai sensi dell'articolo 36, paragrafo 5, del medesimo Regolamento UE 2016/679 e dell'articolo 2-quinquiesdecies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, numero 196, assicurando, in particolare, che gli utenti ricevano, prima dell'attivazione dell'applicazione, ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalita' e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati per impostazione predefinita, in conformita' all'articolo 25 del Regolamento UE 2016/679, i dati personali raccolti dall'applicazione di cui al comma 1 siano esclusivamente quelli necessari ad avvisare gli utenti dell'applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, individuati secondo criteri stabiliti dal Ministero della salute e specificati nell'ambito delle misure di cui al presente comma, nonche' ad agevolare l'eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimita' dei dispositivi , resi anonimi oppure, ove cio' non sia possibile, pseudonimizzati e' esclusa in ogni caso la geolocalizzazione dei singoli utenti siano garantite su base permanente la riservatezza, l'integrita', la disponibilita' e la resilienza dei sistemi e dei servizi di trattamento nonche' misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento i dati relativi ai contatti stretti siano conservati , anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata e' stabilita dal Ministero della salute e specificata nell'ambito delle misure di cui al presente comma i dati sono cancellati in modo automatico alla scadenza del termine i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento UE 2016/679 possano essere esercitati anche con modalita' semplificate. Art. 6 Sistema di allerta Covid-19 Comma 3. I dati raccolti attraverso l'applicazione di cui al comma 1 non possono essere trattati per finalita' diverse da quella di cui al medesimo comma 1, salva la possibilita' di utilizzo in forma aggregata o comunque anonima, per soli fini di sanita' pubblica, profilassi, statistici o di ricerca scientifica, ai sensi degli articoli 5, paragrafo 1, lettera a e 9, paragrafo 2, lettere i e j , del Regolamento UE 2016/679. Art. 6 Sistema di allerta Covid-19 Comma 4. Il mancato utilizzo dell'applicazione di cui al comma 1 non comporta alcuna conseguenza pregiudizievole ed e' assicurato il rispetto del principio di parita' di trattamento. Art. 6 Sistema di allerta Covid-19 Comma 5 La piattaforma di cui al comma 1 e' di titolarita' pubblica ed e' realizzata dal Commissario di cui all'articolo 122 del decreto-legge 17 marzo 2020, numero 18, convertito, con modificazioni, dalla legge 24 aprile 2020, numero 27, esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla societa' di cui all'articolo 83, comma 15, del decreto-legge 25 giugno 2008, numero 112, convertito, con modificazioni, dalla legge 6 agosto 2008, numero 133. I programmi informatici di titolarita' pubblica sviluppati per la realizzazione della piattaforma e l'utilizzo dell'applicazione di cui al medesimo comma 1 sono resi disponibili e rilasciati sotto licenza aperta ai sensi dell'articolo 69 del decreto legislativo 7 marzo 2005, numero 82. Art. 6 Sistema di allerta Covid-19 Comma 6. L'utilizzo dell'applicazione e della piattaforma, nonche' ogni trattamento di dati personali effettuato ai sensi al presente articolo sono interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020 , ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi . PIANO GESTIONE RISCHIO Valutazione di impatto Rischio di accesso illegittimo Rischio di modifica dati Rischio di scomparsa dati Se si verifica uno di questi eventi quale impatto avremo sui diritti degli interessati? Percentuale probabilita’? Il DL individua quali misure di gestione del rischio Tecniche di pseudonimizzazione Tecniche per contrastare la reidentificazione Cancellazione automatica nel server degli infetti e nei dispositivi di tutti gli altri ogni 14 giorni? Decisione del Ministero Salute. Data di cancellazione finale al 31.12.2020. Dov’e’ la previsione del cronoprogramma dell’implementazione delle misure di sicurezza? Il Piano di gestione del Rischio permette al Titolare del trattamento di provare la propria accountability perche’ non solo dichiara le misure applicate ma si obbliga a implementare le restanti entro un certo termine. Dov’e’ la previsione della Data Breach Policy? Dov’e’ la previsione del DPO dedicato al sistema Immuni? Diritti Interessato -esercitati in forma semplificata come? Esiste la possibilita’ di accedere al server per gestire il controllo sulla propria posizione? RIUTILIZZO Riutilizzo in forma aggregata o comunque anonima. Quali garanzie? L’infetto che ha rivelato la propria condizione condividendola nel server, ha la possibilita’ nella app di sottrarsi al trattamento secondario Ricerca o Statistica? POTENZIALI EFFETTI DISCRIMINATORI Nel momento stesso in cui si ammette lo studio in forma aggregata dei dati a livello statistico si ammette anche che potranno essere individuate delle identita’ collettive che inevitabilmente potranno determinare degli effetti discriminatori. LUOGHI DI TRATTAMENTO Infrastrutture e server italiani sulla piattaforma di interoperabilita’ Apple-Google. Perche’ non se ne parla? TEMPI DI TRATTAMENTO 31 dicembre 2020 termine ultimo di cancellazione. Purtroppo la ipotetica scheda del Registro del Trattamento Immuni lascia veramente molte questioni aperte come abbiamo visto dagli interrogativi annotati. Il Parere del Garante Privacy sembra accontentarsi sebbene evidenzi il doveroso richiamo alle specifiche in fase attuativa e raccomandi l’osservanza dell’intervento umano sugli automatismi dell’algoritmo. L’Authority conclude che il contenuto del Decreto Legge sull’app Immuni appare conforme ai criteri indicati dalle Linee guida del Comitato europeo EDPB per la protezione dei dati del 21 aprile scorso doc. web numero 9321621 riservandosi poi le specifiche tecniche una volta chiamato dall’Autorità Sanitaria-Titolare del trattamento. Secondo il Garante sarebbero stati rispettati i presupposti indicati a livello europeo a volontarietà il mancato utilizzo dell’applicazione non comporta disparità di trattamento in realtà il riutilizzo in forma aggregata dei dati degli infetti per fini statistici e di ricerca potrebbe dare adito all’elaborazione di identità collettive con eventuali effetti discriminatori b previsione normativa sono stati rispettati l’articolo 9, par. 2, lett. i GDPR e gli articoli 2-ter e 2-sexies del Codice, con garanzie ulteriori che potranno essere stabilite con il previsto provvedimento del Garante da adottare ai sensi dell’articolo 2-quinquiesdecies del medesimo Codice in realtà siamo di fronte a una legge e quindi si dovrebbe già partire con Immuni però risulta assai difficoltoso senza il conforto del provvedimento successivo” del Garante c trasparenza l’articolo 1, comma 2, lett. a , del DL assicura agli interessati un’idonea informazione sul trattamento e in particolare sulla pseudonimizzazione dei dati in realtà di trasparenza ne constatiamo ben poca perché tutte le specifiche vengono scaricate sul Titolare del Trattamento ovvero l’Autorità Sanitaria che dovrebbe fin da subito applicare Immuni come dettato dal DL ovvero senza specifiche istruzioni e mentre utilizza la app alla cieca” fare la valutazione di impatto e chiedere il parere al Garante d determinatezza ed esclusività dello scopo il DL rispetterebbe il tracing finalizzato esclusivamente al contenimento dei contagi, escludendo fini ulteriori, ferme restando le possibilità di utilizzo a fini di ricerca scientifica e statistica in realtà come abbiamo già osservato sopra l’ammissione in automatico del riutilizzo senza indicare a priori un progetto statistico o di ricerca specifico viola la libertà di scelta dell’interessato che si ritrova a fare la cavia” di una sperimentazione epidemiologica a prescindere dalla propria volontà . e selettività e minimizzazione dei dati il DL sposa la via della selettività in quanto vengono registrati solo i contatti prossimi al cellulare rifuggendo da ipotesi di localizzazione. Il DL osserva anche il principio della minimizzazione perché i dati raccolti vengono anonimizzati o pseudonimizzati peccato che non vengano indicate le tecniche specifiche da adottare per anonimizzare o pseudonimizzare la cui scelta di nuovo viene scaricata sull’Autorità Sanitaria che addirittura dovrà anche precisare la sorte dei dati raccolti sul dispositivo di chi, in un momento successivo all’installazione dell’applicazione, abbia poi deciso di disinstallarla f non esclusività del processo algoritmico il DL non ne parla e il Garante raccomanda di inserire in sede attuativa la possibilità dell’intervento umano sull’automatismo dell’algoritmo e di esercitare in ogni momento i diritti di cui agli articoli da 15 a 22 del Regolamento g interoperabilità il DL avrebbe rispettato anche il principio dell’interoperabilità in realtà anche qui scarica tutto sull’Autorità Sanitaria nonostante che sia già stato dichiarato dal Governo di voler adottare la soluzione Apple-Google. Una decisione cosi’ grave dev’essere assunta dal legislatore che invece oppone un serrato silenzio h reciprocità di anonimato il DL ammette che vi sia l’anonimato reciproco tra gli utenti dell’app, i quali devono peraltro non essere identificabili dal titolare del trattamento, dovendo la identificazione ammettersi al limitato fine dell’individuazione dei contagiati. Abbiamo già rilevato che purtroppo il DL lascia sospese tante questioni importanti che invece avrebbero dovuto trovare una via chiarificatrice proprio nel dialogo tra Garante e Governo nell’attesa delle decisioni del Parlamento. Server italiano ma su autostrada Apple-Google. Una delle questioni rimasta clamorosamente innominata attiene alla scelta della piattaforma di interoperabilità Apple-Google. Il DL giustamente stabilisce che la app Immuni dovrà fruire di infrastrutture e di server italiani ubicati sul territorio italiano ma si dimentica di contestualizzare giuridicamente la piattaforma di interoperabilità Apple-Google per garantire la compatibilità tra gli smartphone con sistema operativo Android Google con quelli appartenenti al sistema operativo iOS Apple . La App Immuni verrà scaricata da dispositivi di cittadini italiani che riusciranno a scambiarsi segnali via Bluetooth Low Energy grazie alla piattaforma americana Apple-Google utilizzata anche dal server del Servizio Sanitario Nazionale che a propria volta avrà necessità di interfacciarsi con i dispositivi mobili Android e iOS. Il server del SSN da una parte si interfaccia con lo smartphone del cittadino che si scopre positivo al COVID-19 e carica il proprio identificativo mentre dall’altra si interfaccia ogni giorno con tutti i telefoni che lo interrogano per verificare l’eventuale contatto con l’infetto. Figurativamente possiamo osservare che il server dedicato ad Immuni del Servizio Sanitario Nazionale italiano viaggerà su autostrada Apple-Google. Apprezzato il gesto umanitario dei due colossi del web, restano molti dubbi sulla trasparenza effettiva della piattaforma che ad oggi non avrebbe ancora reso nulla di pubblico. Le API americane in tema di pseudonimizzazione rispetteranno davvero gli standard di ENISA? ENISA e pseudonimizzazione nell’ecosistema mobile. Tutto dipende dalle API Apple-Google. Le Application Programming Interface API sono determinanti per la costruzione di un ambiente digitale pseudonimizzato perché condizionano la struttura e la policy delle app se la piattaforma non concede l’autorizzazione a una determinata funzione della app, quest’ultima viene esclusa. Pertanto la app Immuni potra’ subire ulteriori modifiche a seconda delle API rilasciate dalla piattaforma Apple-Google che in teoria dovrebbe sottostare anche agli standard di ENISA sulla data protectionumero ENISA, agenzia UE per la cybersecurity, ha dedicato vari rapporti alle tecniche di pseudonimizzazione come ad esempio Pseudonymisation techniques and best practices” Recommendations on shaping technology according to data protection and privacy provisions del Novembre 2019 https //www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices e Recommendations on shaping technology according to GDPR provisions” An overview on data pseudonymisation del Novembre 2018, https //www.enisa.europa.eu/publications/recommendations-on-shaping-technology-according-to-gdpr-provisions/at_download/fullReport. In particolare nel rapporto del Novembre 2018 si pone in evidenza che le tecniche di pseudonimizzazione costruiscono dei veri e propri ambienti digitali per le app si parla di Pseudonimizzazione nell’ecosistema mobile”. Un gran numero di identificatori collegati a individui specifici ad es. identificatori di dispositivi o app possono essere elaborati da diverse entità come ad esempio gli sviluppatori di app, i provider di sistemi operativi, i fornitori dei canali di trasmissione sicuri tra l’app e la piattaforma del sistema operativo. I provider di sistemi operativi nel nostro caso Apple e Google svolgono un ruolo centrale nella privacy degli utenti di app mobili, in quanto diversi aspetti per quanto riguarda il trattamento dei dati personali ad es. modello di autorizzazioni dipendono dalla piattaforma. A tal fine, il fornitore del sistema operativo, per supportare la protezione dei dati secondo il principio di progettazione, potrebbe adottare approcci specifici per facilitare le tecniche di pseudonimizzazione, ad esempio ogniqualvolta cio’ possa promuovere la minimizzazione dei dati e la combinazione con altre misure di miglioramento della privacy. Una delle principali fonti di rischio per la privacy e’ l'uso di identificatori di dispositivi permanenti. Pertanto, i fornitori del sistema operativo dovrebbero cercare di impedire ovvero non autorizzare all’uso della piattaforma di interoperabilita’ le app generatrici di identificatori permanenti. I veri registi dell’ambiente da pseudonimizzare non sono i titolari del trattamento bensì i fornitori del sistema operativo ed in particolare nel caso di Immuni Apple e Google quali costruttori e gestori della piattaforma di interoperabilità. Riutilizzo dati aggregati per fini statistici e di ricerca. Quali garanzie contro gli effetti discriminatori delle identità collettive? Il sistema in cui si contestualizza la app Immuni può essere distinto in due dimensioni quella del contact tracing allocata sulla piattaforma Apple-Google e quella del server degli infetti destinata al riutilizzo per fini di ricerca e statistici. In tema di data protection la sfera a traino americano non promette nulla di buono ma neppure la sfera del riutilizzo forzato può rassicurarci. L’art. 6 comma 3 del DL Immuni sostiene che i dati raccolti attraverso l’app anti COVID non possono essere trattati per finalità diverse da quella di cui al medesimo comma 1, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica , ai sensi degli articoli 5, paragrafo 1, lettera a e 9, paragrafo 2, lettere i e j , del Regolamento UE 2016/679”. La sfera privata – già ipotecata dalla volontaria disclosure della positività al virus – subisce un ulteriore vulnus dall’ammissione del riutilizzo. Si comprende la necessità di studiare l’andamento epidemiologico anche attraverso le informazioni aggregate sui positivi, tuttavia si tratta di informazioni ad alto impatto privacy in quanto dati sulla salute e dati che in teoria potrebbero essere ricondotti alla persona interessata. Comunque anche laddove non fosse possibile la reidentificazione, sarebbe in ogni caso potenzialmente dannoso il trattamento secondario per fini di ricerca e statistici. I risultati di una ricerca scientifica condotta su una parte della popolazione colpita dal virus possono produrre delle cosiddette identità collettive” che coinvolgono gli interessati a prescindere da una loro reidentificazione. Uno studio della Federal Trade Commission del 6.01.2016 Big Data a Tool for Inclusion or Exclusion? https //www.ftc.gov/reports/big-data-tool-inclusion-or-exclusion-understanding-issues-ftc-report ha dimostrato che possiamo essere ricondotti in una determinata categoria di soggetti a prescindere dalla nostra identità. Lo studio evidenzia ad esempio che i cittadini single fanno più fatica delle coppie a pagare le rate del finanziamento. Tale esito ha automaticamente distinto gli utenti delle banche tra l’identità collettiva dei single-utenti critici e l’identità collettiva degli accoppiati-utenti in bonis con l’effetto discriminatorio pregiudizievole che gli istituti di credito potrebbero decidere di accordare un prestito più facilmente alle coppie piuttosto che ai single. Parimenti potrebbe accadere a seguito degli esiti di uno studio sull’epidemia partendo dai dati aggregati degli infetti. In definitiva l’utente si trova ad essere una cavia” per la sperimentazione epidemiologica a prescindere dalla propria volontà ed addirittura senza conoscere il progetto di ricerca che dovrebbe essere posto a disposizione dell’eventuale interessato prima di acconsentire. DL Immuni non c’è chiarezza mancano i presupposti per partire. Il contenuto del DL non e’ sufficientemente specifico da consentire un’applicazione immediata della app Immuni nel nostro tessuto sociale quotidiano. Troppe le questioni lasciate sospese. Chi sono gli interessati? Soltanto i positivi al COVID-19 o anche i rispettivi contatti” registrati ogni giorno in entrata sul server del SSN al fine di verificare l’eventuale incontro col virus? Il Titolare del Trattamento è il Ministero della Salute mentre i Responsabili sono la Protezione Civile, l’Istituto Superiore Sanità, le strutture pubbliche e private del SSN e tutti gli altri soggetti? Apple e Google dovrebbero essere Responsabili Esterni ex art. 28 GDPR. Bending Spoons parimenti Responsabili esterni. Sogei Resp. Esterno. La valutazione di impatto non e’ stata fatta rimettendola all’Autorità Sanitaria in sede attuativa sentito il Garante Privacy ma nel frattempo come si applica il meccanismo anti COVID senza le istruzioni? Dov’è la previsione del cronoprogramma dell’implementazione delle misure di sicurezza per il Piano di Gestione del Rischio? Dov’è la previsione della Data Breach Policy? Dov’è la previsione del DPO dedicato al sistema Immuni? L’interessato esercita i propri diritti anche in forma semplificata. Come? Esiste la possibilità di accedere al server per gestire il controllo sulla propria posizione? Le misure specifiche vengono rinviate alla fase attuativa di fronte all’Autorità Sanitaria che però nel frattempo sarebbe obbligata ad adottare Immuni così com’è ovvero senza istruzioni. Non c’è chiarezza nella disposizione di Immuni. Mancano i presupposti per partire. Così via libera alle app delle regioni! Clicca qui per consultare la sezione dedicata al decreto Coronavirus