Enzo Varricchio
E’ necessario verificare la compatibilità tra la “App immuni”, in via di adozione, e le garanzia di tutela del diritto alla riservatezza dei cittadini alla luce della normativa vigente in materia di privacy.
A livello globale cresce l’istanza di soluzioni tecnologiche per monitorare in modo efficiente i contagi del SARS-COV-2. L’attenzione si è rivolta verso l’uso degli smartphone per determinare facilmente ogni contatto avvenuto con persone infette, al fine di individuare e circoscrivere rapidamente il focolaio.
Diversi Paesi orientali hanno già adottato tecniche di questo genere, ritenute molto invasive per gli standard occidentali.
Riservatezza equivale a libertà, libertà di pensare e vivere all’interno delle nostre case e nei rapporti sociali senza tema di essere spiati.
Sicché, doverosamente, ci si interroga sulla compatibilità tra la app “Immuni” in via di adozione e le garanzie di tutela del diritto alla riservatezza dei cittadini.
Il 31 marzo 2020, il Ministero italiano per l’innovazione Tecnologica e la Digitalizzazione, in collaborazione con il Ministero della Salute, ha avviato la ricerca di soluzioni creando un gruppo multidisciplinare di 74 esperti. Tra il 24 e il 26 marzo era partita una “fast call for contribution” sotto il nome “Innova per l’Italia: la tecnologia e la ricerca in campo contro l’emergenza Covid-19”, al fine di raccogliere apporti da enti quali università, componenti della società civile, centri di ricerca e aziende. Sono pervenute 319 proposte sul monitoraggio e 504 per la telemedicina che sono state analizzate sia sul piano giuridico che tecnico.
In particolare, il sottogruppo di valutazione “Profili giuridici della gestione dei dati connessa all’emergenza” ha affermato che:
“Le soluzioni tecnologiche esaminate più in linea con il quadro giuridico, in generale, funzionano come segue: il segnale Bluetooth LE (Low Energy) degli utenti che hanno scelto di installare una specifica applicazione viene registrato dalle analoghe applicazioni con le quali “entrano in contatto”; quando un utente viene diagnosticato contagiato dal Covid-19 il suo dispositivo trasmette i dati al server del soggetto pubblico che gestisce il sistema [alcune delle soluzioni valutate prevedono tale trasferimento su base sistematica e non condizionata], che provvede quindi a informare gli altri utenti – che abbiano egualmente volontariamente installato la medesima app – di essere a rischio contagio perché sono entrati in contatto con una persona risultata contagiata.” https://innovazione.gov.it/un-aggiornamento-sull-applicazione-di-contact-tracing-digitale-per-l-emergenza-coronavirus/
Il 15 aprile 2020, la Commissione europea ha pubblicato le linee guida per la realizzazione di applicazioni finalizzate al tracciamento dei contagi (Mobile applications to support contact tracing in the EU’s fight against COVID-19 – Common EU Toolbox for Member States). In tale documento la Commissione afferma che “le app mobili hanno il potenziale per rafforzare le strategie di tracciamento dei contatti personali, che sono necessarie a contenere e invertire il corso della diffusione del Covid-19” … “Gli Stati membri dell’Ue stanno convergendo su soluzioni efficaci, basate su app che minimizzano il trattamento dei dati personali; riconoscono inoltre che l’interoperabilità tra queste app può non solo aiutare i servizi sanitari nazionali ma anche facilitare la riapertura delle frontiere interne dell’Ue”.
I predetti presupposti e indicazioni sembrerebbero soddisfatti dalla “App IMMUNI” che utilizzerebbe lo standard DP-3T.
Lo standard DP-3T protocol works off the basis of Ephemeral IDs (EphID) è stato pubblicato su github, già agli inizi di aprile, come frutto della cooperazione di vari enti (EPFL, ETHZ, University of Oxford, Università di Torino, etc.). Tale tecnologia è improntata sia a garantire il più possibile l’anonimato degli utenti, sia a raccogliere il minor numero possibile di dati, al fine di non invadere la privacy degli stessi. Il suo funzionamento prevede l’utilizzo del “Bluetooth LE”, tramite una app da installare su proprio telefono. Essa genererà un codice pseudocasuale (SK), da cui sarà generato un identificativo “Ephemeral Bluetooth ID” (EphID) non correlato direttamente all’identità del proprietario del telefono (il possesso di un EphID non consentirebbe di risalire in modo univoco alla persona in questione).
L’app invierà il proprio EphID a tutti i device vicini dotati della stessa app, salvando sul cellulare di ognuno tali informazioni. Questa procedura permette che ogni dispositivo memorizzi quelli a lui vicini; tale “decentralizzazione del contact tracing” è la chiave della sua sicurezza perché garantisce il massimo controllo dei pochi dati generati. Questo sistema non utilizza il GPS, in quanto non memorizza la posizione di ogni singolo telefono ma solo una lista di EphID, cioè di sigle associate a persone con le quali si è venuti a contatto. Una volta che l’autorità medica avrà diagnostico un caso di COVID-19, sarà caricato su dei server l’EphID del paziente infetto; in questo modo, tutti coloro che sono stati a contatto con lui saranno notiziati senza che sia resa nota l’identità del soggetto malato.
In sintesi, la decentralizzazione dei dati, unitamente all’utilizzo di identificativi pseudocasuali, rende difficile compiere furti di identità.
Sembra, quindi, che il procedimento adottato nella selezione dell’applicazione in esame sia stato coerente con gli scopi di prevenzione sanitaria da coniugarsi con la salvaguardia della riservatezza, nonché in linea con le indicazioni espresse sia dagli esperti del Ministero italiano per l’innovazione Tecnologica e la Digitalizzazione (in collaborazione con il Ministero della Salute), sia dalla Commissione Europea, in quanto:
- E’ l’utente a decidere liberamente di installare l’App ed è colui che acconsente al trattamento dei propri dati;
- I dati trattati sono ridotti al minimo per cui difficilmente utilizzabili per scopi fraudolenti;
- Il trattamento dei dati avviene con procedure ritenute sicure dagli esperti ministeriali, atteso che è svolto da un soggetto pubblico, che invia l’informativa solo a coloro che vi hanno acconsentito, senza comunicare alcun dato personale relativo al soggetto infettato che lo renda in qualche modo rintracciabile.
Ringrazio Cosimo Francesco Andriulo per il prezioso contributo che la sua giovane mente di nativo digitale mi ha offerto sugli aspetti più pratici del presente articolo.
Riferimenti sitografici
- Governo italiano: https://innovazione.gov.it/un-aggiornamento-sull-applicazione-di-contact-tracing-digitale-per-l-emergenza-coronavirus/
- DP-3T- Github: https://github.com/DP-3T/documents
- Fonti DP-3T: https://github.com/DP-3T/documents/blob/master/DP3T%20-%20Simplified%20Three%20Page%20Brief.pdf
- Implementazioni Apple e Google: https://www.apple.com/it/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/
