Articolo pubblicato su diritto.it.
È notizia di qualche giorno fa la scelta compiuta dal Commissario per l’emergenza Domenico Arcuri della prima app italiana “di stato” per il tracciamento del contagio da coronavirus. Si chiamerà Immuni, verrà sviluppata dalla società Bending Spoons Spa e avrà alcune caratteristiche peculiari.
Caratteristiche
Anonimato. Dovrà cioè essere in grado di garantire che i dati trattati non potranno in alcun modo portare all’identificazione l’interessato. Sarebbe più corretto, piuttosto, parlare di pseudonimizzazione dei dati (art. 4, comma 5 Regolamento europeo 2016/679 “gdpr”) poiché l’applicazione sarebbe comunque in grado di risalire all’identità dell’utente in caso di rilevata positività. Dopo un periodo di tempo limitato tutti i dati, con l’eccezione di quelli aggregati a fini di ricerca o statistici, dovranno essere cancellati L’applicazione non dovrà accedere alla rubrica dei contatti del telefono, non chiederà il numero né la posizione dell’apparecchio e il suo funzionamento dovrà cessare non appena terminerà la fase di emergenza.
Sfrutterà per il suo funzionamento la tecnologia bluetooth low energy che potrà rilevare la vicinanza tra due smartphone nell’ordine di un metro. Ciascun utente sarà individuato mediante un codice e sarà tenuto ad aggiornare quotidianamente i dati sulla sua salute . Qualora dovesse risultare positivo al test per il Covid 19, l’utente registrerà sull’app la propria positività e questa richiederà il consenso nell’utilizzare i dati raccolti e provvederà a recuperare automaticamente gli altri codici con cui il soggetto è entrato in contatto nell’ultimo periodo, valutando quelli potrebbero esser maggiormente a rischio ed informandoli attraverso una notifica sullo smartphone.
Sarà basata sulla volontarietà. In altre parole, saranno gli utenti, cioè i cittadini, a decidere se scaricarla o meno. Anche se non è, ad oggi, chiaro quali saranno gli svantaggi per coloro che sceglieranno di non utilizzarla. È evidente che la riuscita dell’operazione di tracciamento della popolazione sarà proporzionale al numero di app scaricate, al netto di tutta quella parte di utenti che non possiede uno smartphone (anziani e bambini). Si stima che per essere efficace dovrà essere superiore al 60 % e dovrà essere utilizzata anche dagli anziani, categoria particolarmente a rischio di contagio, che spesso non possiede uno smartphone.
È notizia recentissima quella relativa alla scelta del modello di sviluppo dell’applicazione, che sarà “decentralizzato”, perchè ritenuto più rispettoso della privacy rispetto a quello centralizzato adottato in un primo momento dal consorzio Pepp-pt (di cui Bending Spoons fa parte).
La differenza principale rispetto a quest’ultimo è che la crittografia-generazione delle chiavi avviene direttamente sui dispositivi utente (invece che su server). Così, ogni volta che due cellulari entrano nel raggio d’azione l’uno dell’altro, ad una distanza e per un tempo determinati (e non ancora definiti dalle autorità sanitarie), si scambiano il proprio identificativo anonimo crittografato, generato localmente. Ciascuno smartphone dotato di app porta quindi con sé soltanto una lista di numeri (privi di qualsiasi elemento identificativo della persona) relativi ad altri utenti con cui è venuto in contatto. Nel caso di accertata positività, dall’utente positivo verrà diramata la lista degli identificativi anonimi tracciati sul dispositivo. A questo punto tutti gli altri utenti riceveranno la lista e, nel caso in cui il proprio dispositivo si riconosca in questo identificativo, manda la notifica all’utente. In questo modo tutti gli utenti possono sapere se sono stati in contatto con la persona divenuta positiva senza conoscere l’identità di quest’ultimo.
L’elenco degli identificativi con cui siamo entrati in contatto resta sul nostro smartphone a meno che non scegliamo di condividerlo. Inoltre, il processo di corrispondenza dei contatti si svolge sui telefoni anziché a livello centrale.
L’intero sistema sarà interamente gestito da uno o più soggetti pubblici e si tratterà di una app open source e come tale suscettibile di revisione da chiunque voglia apportare modifiche per migliorarla.
Fondamentale il ruolo del Garante della privacy al quale è affidato il compito di mediare tra i due interessi fondamentali in gioco, il diritto alla salute da una parte e la tutela dei dati personali dall’altra che mai come in questo momento sono messi in pericolo dagli appetiti molto forti di coloro i quali intendono trarre profitto dalla enorme mole di dati sanitari che questo primo tracciamento di massa genererà.
Non a caso è notizia di queste ore la violazione dei dati personali (data breach) occorso in Olanda dall’app in uso per il tracciamento per il contagio da covid 19.
Al Garante il compito di esprimere il proprio parere sui requisiti che tale applicazione dovrà necessariamente avere, per fugare i sospetti che una tale iniziativa inevitabilmente porta con sé.
Sarà fondamentale, infatti, per la buona riuscita dell’operazione, che l’Autorità indipendente possa verificare se l’informativa sul trattamento dei dati personali fornita a corredo del servizio rechi tutte le informazioni richieste dall’ art. 13 gdpr; quali i tempi di conservazione dei dati acquisiti; come sarà garantita la minimizzazione dei dati trattati, quali le modalità previste per assicurare la conservazione dei dati; a chi questi dati saranno ceduti ed, infine, come sarà assicurato l’esercizio dei diritti dell’interessato (con particolare riguardo al diritto alla cancellazione ex art 17 gdpr).
Oltre a ciò, non si potrà prescindere dal sollecitare lo Stato (nella sua qualità di Titolare del trattamento) ad effettuare una valutazione d’impatto sulla protezione dei dati ex art. 35 gdpr, indispensabile per analizzare i rischi per i diritti e le libertà delle persone, individuando i profili di compatibilità con i principi costituzionali e con quelli generali in materia di protezione dei dati, e identificando le misure di mitigazione tecniche, giuridiche e organizzative da adottare.
Come anche chiarito dal Dott. Antonello Soro, fondamentale per la riuscita dell’operazione è la fiducia del cittadino nelle istituzioni. Istituzioni che non sempre hanno dato prova di tenere nella giusta considerazione l’importanza del trattamento dei dati personali dei propri cittadini.