fbpx

1. Da lunedì 8 giugno l’applicazione italiana di contact tracing denominata Immuni è diventata operativa in 4 regioni: Abruzzo, Liguria, Marche e Puglia. Il software, già scaricabile dal 1° giugno, dopo la prima settimana di sperimentazione è andato a pieno regime su scala nazionale soltanto il 15 giugno. I dati parlano ad oggi di 2,2 milioni di download: un dato incoraggiante, eppure ancora lontano dal target di funzionamento ottimale del dispositivo, che richiederebbe che almeno il 60% della popolazione nazionale venisse a disporre di tale applicazione sul proprio smartphone.

L’Italia è stato il primo, tra i grandi Paesi europei, a dotarsi di uno strumento simile. Per quanto fosse auspicabile che l’Unione Europea sviluppasse una soluzione condivisa per il contrasto tecnologico del virus, e per quanto una simile condivisione di intenti e di strumenti fosse stata sollecitata dal Garante Europeo della Protezione dei Dati, oltre che dalla Commissione Europea, nella raccomandazione dell’8 aprile 2020, a oggi non si è ancora giunti a un tale risultato. Eppure, i vantaggi di una soluzione comune europea sarebbero almeno tre: 1) la tracciabilità delle persone oltre i confini nazionali, senza cambiare applicazione (cosiddetta interoperabilità delle soluzioni nazionali); 2) la condivisibilità dei dati di funzionamento degli algoritmi, per affinarne l’efficienza; 3) la possibilità di un approccio comune per la previsione dell’evoluzione del virus sul territorio continentale. A oggi l’Unione Europea ha messo a punto soltanto delle linee-guida per lo sviluppo di tali applicazioni, per il contrasto cioè della pandemia da COVID-19, licenziandole lo scorso 15 aprile. Tali linee precisano che la scelta europea debba orientarsi per lo sviluppo di un’applicazione basata su una tecnologia Bluetooth Low Energy, interoperabile a livello comunitario, scaricabile su base volontaria, rispettosa della privacy (e quindi fondata su ID temporanei localizzati sul dispositivo dell’utente), accessibile e inclusiva.

2. In linea generale, le garanzie minime per un’applicazione in linea con gli standard di tutela delle libertà fondamentali propri delle democrazie occidentali, dovrebbero puntare a:

  1. Minimizzare i dati, ovvero, limitare il trattamento alle informazioni essenziali per la finalità di tracciamento, evitando di divulgare l’identità dei tracciati a terzi senza una giustificazione specifica. Dati quali l’identità, l’età, la residenza, non dovrebbero essere divulgati al pubblico in nessun caso.
  2. Offrire la massima sicurezza possibile nello storage dei dati, che dovrebbero essere trattati dal solo personale autorizzato e in base a procedure chiare, e a protocolli definiti e concordati.
  3. Non indulgere nell’utilizzo dei dati per finalità di trattamento diverse da quelle appena descritte, inerenti, appunto, alla prevenzione della diffusione del contagio.
  4. Definire congrui limiti soggettivi: il trattamento dovrebbe cioè riguardare solo soggetti contagiati o esposti al contagio.
  5. Definire congrui limiti temporali: è il limite più importante, nel senso che tutti i dati devono essere conservati non oltre la fine dell’emergenza, con previsione fin dall’inizio di un obbligo di cancellazione degli stessi a tale scadenza, tranne l’eventuale loro utilizzo aggregato a fini di ricerca.

3. Al momento in Europa la tecnologia Google-Apple decentralizzata[1] è adottata in Italia, Germania, Svizzera, mentre la Francia non ha ancora deciso tra modello centralizzato e quello decentralizzato. Il Regno Unito ha optato per quello centralizzato. Nessuna applicazione di contact tracing al momento è stata adottata in Spagna.

In Italia, il sistema di notifiche realizzato da Immuni mira ad avvertire gli utenti quando sono stati esposti a un utente potenzialmente contagioso. Si tratta di un sistema basato sulla tecnologia Bluetooth Low Energy, che non utilizza dati di geolocalizzazione di alcun genere, inclusi quelli del GPS. L’applicazione non raccoglie e non è in grado di ottenere alcun dato identificativo dell’utente, quali nome, cognome, data di nascita, indirizzo, numero di telefono o indirizzo email. “Immuni”, cioè, riesce a determinare che un contatto fra due utenti è avvenuto, ma non chi siano effettivamente i due utenti o dove si siano incontrati. I codici crittografati di cui il sistema si serve sono generati del tutto casualmente, senza contenere alcuna informazione sul dispositivo o l’utente. Inoltre, sono modificati diverse volte ogni ora, in modo da proteggere ulteriormente la privacy degli utenti. Solo se il “contatto” supera una certa “soglia di rischio” (cosiddetta “total risk score”) per durata e vicinanza fra i dispositivi (almeno 5 minuti, a meno di 2 metri), l’applicativo mostra all’utente un messaggio di allerta sulla possibile esposizione al contagio (c.d. notifica di esposizione) di questo tipo: “Il giorno gg/mm/aaaa sei stato vicino a un caso COVID-19 positivo”. Il messaggio invita quindi l’utente ad adottare alcune regole di comportamento, nonché a contattare il proprio medico, che a sua volta provvederà a contattare il Dipartimento di prevenzione della Azienda sanitaria locale territorialmente competente.

4. Nella sua Valutazione d’impatto sulla protezione dei dati, adottata ex art. 35 del Regolamento privacy UE/2016/679 e pubblicata il primo giugno scorso, il Garante italiano per la protezione dei dati personali ha inquadrato, ai fini della tutela e conservazione dei dati sensibili, iruoli dei vari soggetti coinvolti nel “sistema”: da un lato il Ministero della Salute, che è titolare del trattamento dei dati personali raccolti, mentre Sogei S.p.a. (che gestisce il “backend”) e il Ministero dell’Economia e delle Finanze (che gestisce il Sistema Tessera Sanitaria) opereranno quali responsabili esterni del trattamento.

L’autorizzazione del Garante non riguarda solamente il trattamento dati relativo al contact tracing, ma consente anche di raccogliere ulteriori dati dai dispositivi degli utenti (dati di “analytics”) per fini di sanità pubblica, contribuendo nel contempo a migliorare il funzionamento del sistema di allerta. Circa la volontarietà dell’utilizzo dell’applicazione il Garante non si accontenta di quanto predisposto dal Ministero, e ricorda che un’applicazione fondata sulla volontarietà degli utenti implica che la volontà si manifesti in tutte parti del suo funzionamento: il download, l’installazione, la configurazione, l’attivazione della tecnologia Bluetooth, il caricamento delle TEK sul backend di Immuni in caso di risultato positivo del tampone, la raccolta delle diverse categorie di analytics nelle fasi in cui si articola il trattamento, la consultazione del medico di fiducia dopo aver ricevuto un messaggio di allerta sul rischio di essere entrato in contatto stretto con soggetti risultati positivi, fino alla disinstallazione dell’applicazione.  (1-la seconda parte sarà pubblicata sabato)

Antonio Casciano


[1] Nel modello centralizzato, l’utente invia al server la lista di identificativi, trasmessi dai dispositivi, con cui è entrato in contatto di recente. Questo permette di inviare notifiche agli utenti a rischio di contagio. Nel modello decentralizzato, l’utente invia al server gli identificativi trasmessi di recente dal proprio dispositivo. I dispositivi di tutti gli altri utenti, dotati di app, poi scaricano dal server questi identificativi, attraverso i quali verificano se sono stati in contatto con l’utente positivo.

Share