Contact tracing: I gestori dell’app SocialPass applicano le raccomandazioni dell’IFPDT.
Berna, 20.08.2021 – Nell’ambito di un accertamento dei fatti eccezionalmente lungo e complesso, l’IFPDT ha raccomandato ai gestori privati di «SocialPass» di migliorare, tra l’altro, la sicurezza tecnica dell’applicazione e di limitare in misura proporzionata le possibilità concesse alle autorità sanitarie cantonali di consultare i dati raccolti in modo centralizzato. Come emerge dal rapporto finale pubblicato in data odierna, dopo un’iniziale contestazione i gestori hanno adottato e applicato le raccomandazioni principali dell’IFPDT.
Nel dicembre 2020 l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha disposto, in applicazione dell’articolo 29 della legge federale sulla protezione dei dati (LPD), un accertamento dei fatti concernente l’applicazione SocialPass (cfr. riquadro) utilizzata in tutta la Svizzera nell’ambito della lotta contro la pandemia. Con il rapporto finale pubblicato in data odierna l’Incaricato chiude la procedura rivelatasi eccezionalmente lunga e complessa. Come emerge dal rapporto, l’IFPDT ha constatato numerose carenze che hanno condotto alla formulazione di un totale di dieci raccomandazioni che i gestori dell’applicazione hanno in maggioranza adottato dopo numerose videoconferenze cui hanno partecipato, tra l’altro, le autorità sanitarie dei Cantoni di Vaud e del Vallese.
Raccomandazioni principali dell’IFPDT e loro applicazione
Oltre ad avere constatato carenze di natura tecnico-organizzativa, l’accertamento dei fatti ha soprattutto permesso di appurare che i gestori privati dell’applicazione accordavano alle autorità sanitarie vodesi e vallesane un accesso diretto alla banca dati centralizzata rendendola disponibile per ricerche personali mirate di vario genere, nonostante l’assenza di motivi che giustificassero tale atto, violando così anche il principio di proporzionalità. Secondo le notizie diffuse dai media, nel Cantone del Vallese le possibilità di consultazione accordate avrebbero condotto a trattamenti impropri di dati personali. Su raccomandazione dell’IFPDT, i gestori hanno riconosciuto le carenze che contestavano ancora nell’aprile 2021 e, stando alle loro dichiarazioni, le avrebbero eliminate. L’IFPDT si riserva di verificare, nell’ambito di controlli a posteriori, se le raccomandazioni accolte sono state effettivamente applicate.
Ulteriori raccomandazioni riguardavano la completezza delle informazioni nei confronti degli utenti, l’esportazione di numeri telefonici negli USA nell’ambito della verifica dei numeri nonché la configurazione della piattaforma Microsoft Azure, sulla quale si trova la banca dati centralizzata. Queste raccomandazioni sono state accolte soltanto in parte e applicate solo parzialmente. L’IFPDT si riserva di ritornare anche su queste raccomandazioni, in parte contestate, nell’ambito di controlli a posteriori e, se del caso, di promuovere un’azione dinanzi al Tribunale amministrativo federale.
Una procedura eccezionalmente lunga e complessa
L’applicazione privata SocialPass, utilizzata in tutta la Svizzera, elabora dati personali per lottare contro la pandemia. In tale contesto l’IFPDT ha sempre dovuto tenere presente l’evoluzione epidemiologica per portare a termine tempestivamente l’accertamento dei fatti. Tuttavia, la procedura si è rivelata essere eccezionalmente lunga e complessa. Quando si è trattato di fissare i termini entro cui inviare le risposte, di evadere le numerose richieste di proroga e persino di ricusare i collaboratori dell’IFPDT incaricati dei dossier, l’Incaricato ha dovuto tenere conto del fatto che verso l’inizio dell’estate 2021 la seconda ondata della pandemia si era calmata. A quel punto la riapertura dei ristoranti era imminente e, di conseguenza, anche il riutilizzo dell’app SocialPass.
Per i motivi suesposti, nella presente procedura l’IFPDT doveva assicurarsi di essere in grado di informare in tempo utile la popolazione sulle possibilità tecniche di SocialPass e sui rischi per la protezione dei dati collegati alla loro utilizzazione. Il 31 maggio 2021– giorno di riapertura dei locali interni dei ristoranti – l’Incaricato ha perciò informato sugli aspetti più importanti concernenti l’accertamento dei fatti e sui fatti constatati fino a quel momento, comprese le raccomandazioni principali (cfr. il nostro comunicato stampa del 31 maggio).
In seguito i gestori hanno avuto la possibilità di pronunciarsi sull’adozione delle raccomandazioni dell’IFPDT e sulla loro applicazione nonché sulla pubblicazione del rapporto finale, che l’Incaricato pubblica ora.
L’accertamento dei fatti concernente SocialPass si è dimostrato necessario e utile, avendo offerto all’IFPDT l’opportunità di pronunciarsi sulle questioni di delimitazione delle competenze in materia di vigilanza tra Confederazione e Cantoni nonché su altre questioni inerenti al diritto di protezione dei dati che, per la loro importanza fondamentale, possono essere trasferiti parzialmente anche ad altre applicazioni utilizzate da privati e autorità ai fini del tracciamento dei contatti.
SocialPass: l’app di contact tracing
L’applicazione SocialPass viene utilizzata in tutta la Svizzera nel settore della ristorazione per il tracciamento dei contatti (contact tracing), una misura resa obbligatoria nell’ambito della lotta contro la pandemia da COVID-19. L’applicazione consta di tre componenti: il «SocialPass», il «SocialScan» e una banca dati centralizzata. Attraverso l’applicazione «SocialPass» (disponibile su Android e iOS) i clienti inseriscono i dati di contatto sul loro smartphone. Quando vanno al ristorante sono tenuti a scansionare il codice QR dell’esercizio.
I dati forniti dai clienti, unitamente a quelli dell’esercizio pubblico, vengono in seguito trasmessi automaticamente a una banca dati centralizzata, dove vengono memorizzati. L’applicazione «SocialScan» permette ai ristoratori di elaborare i dati che riguardano il loro esercizio. Questi hanno anche la possibilità di scansionare e di trasmettere i dati dei loro ospiti direttamente dall’applicazione «SocialPass».
La banca dati centralizzata si trova su un server di Microsoft Azure situato in Svizzera.
Nell’ambito della prima notifica il numero di cellulare degli utenti viene verificato da Twilio, un servizio situato negli USA, mediante l’invio di un codice SMS. Ha luogo così un trasferimento di dati in uno Stato terzo in cui non esiste un livello di protezione dei dati adeguato.
Gestiscono l’app la SwissHelios GmbH a Oberlunkhofen e la NewCom4U GmbH a Sierre.
