Nella prima fase dell'emergenza era sufficiente inserire il codice fiscale di un qualsiasi cittadino milanese per sapere se aveva o aveva avuto il Covid: per questo motivo il Garante ha multato l'ex Asl del capoluogo lombardo
Per giorni era stato sufficiente inserire il codice fiscale di un cittadino milanese per sapere se aveva o aveva avuto il Covid. Questo il primo flop informatico della gestione made in Lombardia della pandemia. Ancora prima che arrivasse la piattaforma di Aria per la prenotazione dei vaccini a creare disagi a centinaia di ultraottantenni. Ora, per quel primo flop, è arrivata una sanzione da 80mila euro del Garante della Privacy all’Ats di Milano, l’ex Asl, che a fine ottobre 2020 aveva attivato il portale Milano Cor su cui potevano registrarsi i positivi al tampone. Lo scopo era consentire ai contagiati di trovare informazioni utili, comunicare i sintomi e segnale famigliari e contatti stretti senza intasare il call center. Mentre l’Ats cercava di tenere traccia dei contagi, in un momento in cui il contact tracing era saltato e c’era da smaltire un arretrato nel tracciamento di qualche migliaio di positivi.
In sostanza, doveva essere la via Lombarda alternativa a Immuni, l’app voluta dal governo ma boicottata o quasi da diverse Regioni guidate dal centrodestra. E in quel periodo criticata anche dal direttore sanitario dell’Ats di Milano Vittorio De Micheli “per i passaggi farraginosi richiesti agli operatori che sono una perdita di tempo, un po’ una rottura di scatole”. Così l’Ats aveva deciso di puntare su un proprio portale, su cui già da marzo venivano gestite le operazioni di tracciamento e che ora veniva aperto ai cittadini in modo che potessero in prima persona inserire informazioni e riceverle. “La grande maggioranza delle persone che risultano positive al Covid è asintomatica o presenta pochissimi sintomi – aveva detto l’allora assessore al Welfare Giulio Gallera -. Il supporto a domicilio è fondamentale e permette di gestire le fasi della malattia con informazioni adeguate, per proteggere se stessi e i contatti più stretti”. Solo che quasi subito diversi cittadini si erano resi conto che quando si inseriva un codice fiscale e un numero di cellulare, anche uno a caso, il sistema chiedeva di registrarsi oppure restituiva il messaggio “utente già registrato”. Rivelando dunque se la persona con quel codice fiscale aveva avuto esito positivo da un tampone. Un dato molto sensibile, messo a disposizione di chiunque.
In seguito ad alcune segnalazioni, il Garante della Privacy aveva avviato un’istruttoria, che ora ha portato alla sanzione: 80mila euro che, come fa notare il consigliere regionale del M5S Massimo De Rosa, “peseranno sulle tasche dei lombardi”. A nulla sono valse le giustificazioni dell’Ats, che ha fatto presente all’authority il periodo di emergenza sanitaria e le misure prese dopo le segnalazioni sul malfunzionamento: prima la sospensione della possibilità per i cittadini di accesso al portale, poi la predisposizione di una “terza chiave” di autenticazione inviata via sms al numero fornito al momento del tampone. Il Garante ha infatti rilevato che nessuna normativa d’urgenza approvata in periodo di pandemia abbia mai derogato le disposizioni in materia di protezione dei dati personali e ha ritenuto che il problema è stato causato da “una (colposa) mancata valutazione dei rischi del trattamento con la conseguente mancata adozione di misure atte a ridurre i predetti rischi”. In sostanza l’Ats di Milano è stata ritenuta responsabile di non aver eseguito quella che viene chiamata “valutazione di impatto” e che avrebbe dovuto essere fatta prima della messa in funzione della piattaforma. Secondo il Garante, prova che quanto accaduto avrebbe potuto essere evitato sono “la rapidità e la semplicità con cui l’Ats ha risolto il problema” una volta partite le segnalazioni dei cittadini.
Il trattamento di dati di cui era responsabili l’Ats, scrive l’authority, riguardava “informazioni sulla salute di un numero significativo di interessati”. Anche per questo le violazioni normative sono state giudicate di “gravità elevata”, con un danno per i cittadini di “livello medio”. Tra chi aveva inviato una segnalazione al Garante, ci sono Diego Dimalta, avvocato cofondatore dell’associazione Privacy Network, e il consigliere regionale del M5S Massimo De Rosa, che parla di “una falla profonda, a causa della quale i dati sensibili dei cittadini erano disponibili a chiunque. Ora tutti i lombardi dovranno pagare due volte: una per il grave disservizio, l’altra per la sanzione. È l’ennesimo flop del modello di organizzazione che il centrodestra perpetua in Regione Lombardia”. La notizia della sanzione è stata accolta con sorpresa negli uffici dell’Ats, dove ricordano quei giorni come quelli in cui la seconda ondata faceva salire i nuovi contagi a Milano e provincia fino ad avvicinarsi ai 5mila al giorno. Di qui la necessità di realizzare, in fretta e utilizzando programmatori interni, un sistema che garantisse il tracciamento e l’isolamento dei positivi al Covid e dei loro contatti stretti e che – secondo i dati dell’Ats – è stato utilizzato a cavallo tra ottobre e novembre da 14mila utenti. Un contesto alla luce del quale Walter Bergamaschi, direttore generale di Ats Milano, ritiene la sanzione ingiusta: “Intendiamo presentare ricorso al giudice ordinario, contestando il provvedimento del Garante”.