SEDE CONSULTIVA
Giovedì 18 giugno 2020. — Presidenza della vicepresidente Deborah BERGAMINI.
La seduta comincia alle 10.
DL 28/2020: Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l'introduzione del sistema di allerta COVID-19.
C. 2547 Governo, approvato dal Senato.
(Parere alla II Commissione).
(Esame e conclusione – Parere favorevole con osservazioni).
La Commissione inizia l'esame del provvedimento.
Elisabetta Maria BARBUTO (M5S), relatrice, evidenzia come il decreto-legge in esame rechi un ampio ventaglio di misure in materia di intercettazioni di conversazioni o comunicazioni, di ordinamento penitenziario, di sospensione dei termini processuali e di giustizia amministrativa e contabile.
Si sofferma quindi sulle disposizioni di diretta competenza della Commissione.
Fra di esse, segnala innanzitutto l'articolo 6, che prevede l'istituzione di una piattaforma informatica unica nazionale che consenta la gestione di un sistema di allerta, in relazione alle persone che siano entrate in contatto stretto con soggetti risultati positivi al virus COVID-19, contatto rilevato tramite l'installazione, su base volontaria, di un'apposita applicazione sui dispositivi di telefonia mobile.
Il Ministero della salute viene qualificato come il soggetto titolare del trattamento, agli effetti della disciplina sulla protezione dei dati personali. Il medesimo dicastero si coordina, sentito il Ministro per gli affari regionali e le autonomie, con gli altri soggetti individuati dal comma 1, ai fini della gestione del sistema suddetto Pag. 38e dell'adozione delle correlate misure di sanità pubblica e di cura (inerenti in particolare alle persone interessate dai contatti stretti in esame). Tali soggetti sono: quelli operanti nel Servizio nazionale della protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1 (tra i quali figurano le regioni, gli enti locali, le strutture del Servizio sanitario nazionale); i soggetti attuatori di cui all'articolo 1 dell'ordinanza n. 630 del 3 febbraio 2020 del Capo del Dipartimento della protezione civile (soggetti individuati – anche tra enti pubblici, economici e non economici, e soggetti privati – dal medesimo Capo del Dipartimento della protezione civile per fronteggiare l'emergenza da COVID-19); l'Istituto superiore di sanità; le strutture pubbliche e private accreditate che operano nell'ambito del Servizio sanitario nazionale.
Le modalità operative del sistema di allerta sono complementari alle ordinarie modalità in uso nell'ambito del Servizio sanitario nazionale.
Ricorda in proposito che, nel corso dell'audizione in Commissione trasporti della Camera dei deputati del 5 maggio 2020, il Commissario straordinario per l'emergenza ha precisato che i dati della piattaforma non saranno inseriti nei sistemi informativi del Servizio sanitario nazionale.
Il Ministro della salute e il Ministro per gli affari regionali e le autonomie informano periodicamente la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome sullo stato di avanzamento del progetto.
Segnala, altresì, che il comma 2 demanda al Ministero della salute – all'esito di una valutazione di impatto, costantemente aggiornata, effettuata ai sensi del Regolamento (UE) 2016/679 – l'adozione delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali ai sensi della normativa dell'Unione europea e nazionale sulla protezione dei dati personali.
Il sistema di tracciamento digitale deve assicurare in particolare, che:
gli utenti ricevano, prima dell'attivazione dell'applicazione, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati;
per impostazione predefinita, i dati personali raccolti dall'applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell'applicazione di essere rientrati tra i contatti stretti di altri utenti accertati positivi al COVID-19 – contatti individuati secondo criteri stabiliti dal Ministero della salute – nonché ad agevolare l'eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti;
il trattamento effettuato sia basato sui dati di prossimità dei dispositivi, resi anonimi, oppure, ove ciò non sia possibile, pseudonimizzati. È esclusa in ogni caso la geo-localizzazione dei singoli utenti;
siano garantite su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento;
i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della salute. I dati sono cancellati in modo automatico alla scadenza del termine;
i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento GDPR (diritti di accesso, di rettifica, all'oblio, di limitazione di trattamento, alla portabilità dei dati, di opposizione al trattamento dei Pag. 39dati di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato) possano essere esercitati anche con modalità semplificate.
I dati raccolti non possono essere trattati per finalità diverse da quella specificate, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica (comma 3).
Il mancato utilizzo dell'applicazione non comporta alcuna conseguenza pregiudizievole, né alcuna limitazione del principio della parità di trattamento (comma 4).
Il comma 5 prevede che sia la piattaforma che i programmi informatici per la realizzazione della stessa e per l'utilizzo dell'applicazione siano di titolarità pubblica, stabilendo che essa debba essa essere realizzata dal Commissario straordinario esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla Sogei.
Il comma 5 precisa, altresì, che i programmi informatici sviluppati per la realizzazione della piattaforma e l'utilizzo dell'applicazione debbano essere resi disponibili e rilasciati sotto licenza aperta ai sensi dell'articolo 69 del codice dell'amministrazione digitale (decreto legislativo n. 82 del 2005).
L'utilizzo dell'applicazione e della piattaforma, nonché ogni trattamento di dati personali devono essere interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati sono cancellati o resi definitivamente anonimi (comma 6).
Il comma 7 reca la copertura finanziaria degli interventi per la realizzazione della piattaforma. A tali oneri, quantificati in 1.500.000 euro, si provvede mediante utilizzo di risorse assegnate per il 2020 al Commissario straordinario, con delibera del Consiglio dei ministri, a valere sul Fondo emergenze nazionali.
L'articolo 7-bis, introdotto nel corso dell'esame presso il Senato, interviene in materia di sistemi di protezione dei minori dai rischi del cyberspazio, imponendo agli operatori di telefonia, di reti televisive e di comunicazioni elettroniche di prevedere, gratuitamente, fra i servizi preattivati e disattivabili solo su richiesta dell'utenza, l'attivazione di filtri, blocchi alla navigazione e di altri sistemi di parental control.
Più nel dettaglio, è stabilito che i contratti di fornitura nei servizi di comunicazione elettronica, disciplinati dal codice delle comunicazioni elettroniche, devono prevedere, tra i servizi preattivati, sistemi di parental control o di filtro di contenuti inappropriati per i minori e di blocco dei contenuti riservati ad un pubblico di età superiore agli anni diciotto (comma 1).
Tali sistemi devono essere gratuiti e disattivabili solo su richiesta del consumatore, titolare del contratto (comma 2).
La disposizione prevede inoltre in capo agli operatori di telefonia, di reti televisive e di comunicazioni elettroniche l'obbligo di assicurare adeguate forme di pubblicità dei sistemi di protezione, in modo da assicurare che i consumatori possano compiere scelte informate (comma 3).
In caso di violazione degli obblighi imposti dalla disposizione, l'Autorità per le garanzie nelle comunicazioni ordina all'operatore la cessazione della condotta e la restituzione delle eventuali somme ingiustificatamente addebitate agli utenti, indicando in ogni caso un termine non inferiore a sessanta giorni entro cui adempiere (comma 4).
Segnala infine che l'articolo 1-bis, introdotto nel corso dell'esame al Senato, consente alla polizia penitenziaria l'utilizzo di droni per assicurare una più efficace vigilanza sugli istituti penitenziari e garantire la sicurezza al loro interno.
Presente infine una proposta di parere favorevole sul provvedimento in esame (vedi allegato 1).
Deborah BERGAMINI, presidente, avverte che il gruppo della Lega ha presentato una proposta alternativa di parere (vedi allegato 2).
Pag. 40 Massimiliano CAPITANIO (LEGA) illustra sinteticamente, a nome del suo gruppo, la proposta alternativa, che reca un parere contrario, evidenziando i principali rilievi sollevati dal Garante per la protezione dei dati personali e dal Copasir. In particolare, rileva che non risultano ancora accolte le misure di ulteriore sicurezza sollecitate dal Garante per la protezione dei dati personali e in particolare: adeguata informazione per l'utente in merito al funzionamento dell'algoritmo di calcolo utilizzato per la valutazione dei rischi di esposizione al contagio; consapevolezza del fatto che il sistema potrebbe generare notifiche di esposizione che non sempre riflettono una effettiva condizione di rischio; possibilità di disattivare temporaneamente l'applicazione attraverso una funzione facilmente accessibile nella schermata principale; divieto di trattare i dati raccolti per finalità non previste dalla norma che istituisce l'applicazione.
Segnala, altresì, che in occasione delle audizioni con il Ministro per l'innovazione tecnologica e il Commissario straordinario per l'emergenza COVID-19, non sono state fornite sufficienti garanzie in merito al trattamento dei dati a fini statistico-epidemiologici né relativamente alle tecniche di anonimizzazione; altresì non risultano introdotte misure per garantire il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati.
Evidenzia inoltre che, come emerso nell'audizione del commissario Arcuri, non sono state fornite sufficienti garanzie circa la capacità di somministrare in tempi brevi i tamponi ai cittadini che ricevono l’alert.
Con riferimento ai rilievi del Comitato parlamentare per la sicurezza della repubblica, segnala, in particolare, quelli relativi alla previsione di un unico codice anonimo da immettere nell'applicazione, alla base numerica necessaria ad assicurare l'efficacia dell'utilizzo della medesima nonché alle caratteristiche dell'architettura decentralizzata adeguata a gestire la prevista mole di connessioni.
Auspica quindi che la proposta di parere predisposta dalla relatrice possa essere modificata prevedendo un esplicito riferimento alle criticità evidenziate
Deborah BERGAMINI, presidente, sospende la seduta.
La seduta, sospesa alle 10.15, è ripresa alle 10.35.
Elisabetta Maria BARBUTO (M5S), relatrice, illustra una nuova proposta di parere con osservazioni, che tiene conto delle sollecitazioni emerse dal dibattito con particolare riguardo alle osservazioni svolte dal Garante per la protezione dei dati personali e dal Comitato parlamentare per la sicurezza della Repubblica, nonché una richiesta di chiarire in sede attuativa alcuni profili relativi all'obbligo previsto dall'articolo 7-bis del provvedimento in capo agli operatori dei servizi di comunicazione elettronica.
La Commissione approva la proposta di parere favorevole con osservazioni della relatrice, nel testo riformulato (vedi allegato 3).
La seduta termina alle 10.40.
Pag. 41