App Immuni, protezione e riservatezza dei dati personali: quali sono le criticità?

Correndo a forte velocità, sulla corsia d’emergenza della “via orientale”, la macchina del contact tracing è arrivata anche in Italia, in quella che viene definita la “fase 2” dell’emergenza da Coronavirus.

Il timore di tanti – compreso chi scrive – è che durante il percorso, quella macchina abbia potuto, o potrà, incontrare e superare la macchina targata GDPR, ovvero quella su cui viaggia la protezione dei dati personali di tutti noi.

Dopo appena venti giorni dal grave data breach subito dall’Inps[1], il Governo ha dichiarato di aver scelto l’App “Immuni”[2] quale sistema di “socio-localizzazione” degli utenti per il tracciamento delle possibili situazioni di contagio e per il contenimento della diffusione del Covid-19[3].

La app Immuni, che si potrà scaricare gratuitamente dall’App Store di Apple e da Google Play per Android, consentirà di monitorare gli spostamenti di ogni singolo utente e, una volta individuato un soggetto contagiato, potrà ricostruire, a ritroso, l’elenco delle persone che sono entrate in contatto con il singolo contagiato, segnalando a ognuno di quelli che potrebbero essere rimasto infettato, il tutto – così assicura il Governo – salvaguardando l’anonimato dell’interessato.

Il messaggio che viene trasmesso in questi giorni sembra volerci convincere che l’utilizzo diffuso di questa app velocizzerà e renderà più certa la ricostruzione dei contatti, ricostruzione che, sinora, viene effettuata “a voce” e “a mano”.

Il Ministero dell’Innovazione ha spiegato, infatti, che l’utente dell’app Immuni dovrà limitarsi a portare con sé il proprio smartphone in tutti gli spostamenti quotidiani e che un intervento “attivo” gli verrà richiesto soltanto nel caso in cui dovesse risultare positivo al virus. Tale segnalazione consentirà all’app di generare una chiave che sbloccherà la lista dei codici della cerchia di utenti interessati dal rischio di contagio e che verranno avvisati con una notifica[4]. Ma le potenzialità di Immuni non finiscono qui: l’utente potrà scegliere di compilare un diario clinico in cui prendere nota dei sintomi da Covid-19 e del grado di sviluppo degli stessi.

Senza voler entrare su argomenti che non appassionano lo scrivente e che afferiscono alla circostanza che il sistema sin qui, sinteticamente, descritto ha bisogno, per un corretto funzionamento di una percentuale di adozione – che ribadiamo essere su base volontaria[5] – elevata e non inferiore al 60% della popolazione nazionale[6] e, inoltre, che la tecnologia Bluetooth – su cui si fonda Immuni – è capace di captare soggetti a distanza ridotta (in linea di massima, fino a 100 metri) ma rispetto ai quali non è detto che si configurino i presupposti – nemmeno – per un probabile contagio (si pensi a due vetture che viaggiano affiancate o in fila, i cui i rispettivi passeggeri, tuttavia, non vengono in alcun modo a contatto tra loro ). Nemmeno, ci si vuole qui appassionare a mettere in dubbio le azioni di prevenzione e contenimento degli effetti del Coronavirus che le autorità sanitarie potranno mettere in campo a fronte della quantità di dati “sensibili” raccolti e per effetto della segnalazione e dei conseguenti messaggi notificati agli interessati, come – per esempio – prendere contatti diretti con tutti quei soggetti che avranno ricevuto l’inquietante messaggio di allert e, poi, sottoporre a tampone ciascuno di loro e, a questo punto – perché no? – tutti quelli che, a loro volta sono entrati in contatto con ognuno di quei primi soggetti appartenenti alla prima cerchia, nell’arco delle ultime due settimane, chiedendo a tutti di seguire un protocollo di isolamento[7].

Consentiamoci, pure, di trascurare un’analisi di compatibilità del modello nazionale a quello estero, europeo e globale, i cui risultati – evidentemente – assumerebbero valore determinante rispetto al risultato auspicato[8].

Ciò su cui, invece, si vuole porre l’attenzione riguarda il difficile e delicato contemperamento di diritti e libertà di rango costituzionale cui siamo costretti già da circa sessanta giorni.

A causa della pandemia Covid-19 e in nome del sacrosanto diritto alla salute pubblica, che – giustamente – la Costituzione italiana individua come bene appartenente, oltre che al singolo individuo, anche, all’intera collettività, abbiamo assistito alla “compressione e retrocessione” di diritti e libertà costituzionali e altrettanto sacrosanti: la libertà di spostarsi liberamente, la libertà di riunirsi, la libertà di fare impresa, il pieno diritto allo studio e, in alcuni casi, quello alla salute stesso, se si analizzano con attenzione certe dinamiche contingenti.

Si tratta di rinunce approvate e accettate dalla – quasi totale – generalità, nella convinzione che lo stato di emergenza e di urgente necessità richiedesse un sacrificio di siffatte proporzioni e, comunque, per un periodo di tempo limitato.

Non v’è dubbio che, terminata questa emergenza, seppur con le gradualità del caso, questi stessi diritti e libertà, sinora compressi e fatti retrocedere per dare la giusta precedenza al diritto alla vita e alla salute pubblica, beneficeranno della “decompressione” che consentirà di avanzare sino al rango costituzionalmente statuito.

Vi è, però, un altro diritto fondamentale dell’individuo che in questi tempi di Coronavirus ha subìto una considerevole compressione e retrocessione: il diritto alla protezione e riservatezza dei dati personali[9].

Siamo davvero sicuri che anche il diritto alla protezione e alla riservatezza dei nostri dati personali (molti dei quali particolari e sensibili) che oggi stiamo “comprimendo” per effetto della cessione di quei dati stessi, potrà beneficiare, a cessata emergenza, di quella “decompressione” e del giusto riconoscimento di diritto fondamentale?

Una domanda che potrà sembrare banale ad alcuni, magari agli stessi che da due anni esatti parlano dei dati personali, paragonandoli al “petrolio del terzo millennio”.

La domanda, invece, non sembrerà banale ai tanti ai quali non sfugge quell’inappropriata ed errata analogia e, anzi, condivideranno la preoccupazione or ora manifestata.

Il petrolio, infatti, è un “bene di consumo immediato”, visto che si esaurisce in un unico atto di consumo (invito quei pochi a riflettere sul destino del litro di benzina che versano nel serbatoio dell’auto, prima di recarsi da casa in ufficio, a bordo dell’auto stessa a motore in marcia). I dati personali, invece, sono “beni di consumo durevoli” in quanto suscettibili di un utilizzo ripetuto, cioè possono essere utilizzati più volte (restando all’esempio precedente, l’autovettura è il bene durevole, al contrario della benzina che si consuma in una sola volta).

Ecco quindi che il passaggio propedeutico all’adozione di un’app di contact tracing, come appunto Immuni, non può che essere quello di stilare un protocollo di azione che regoli in maniera puntuale e sicura i processi di conservazione dei dati personali. Un protocollo che possa garantire che l’utilizzo di quei dati personali sia limitato esclusivamente alla gestione della situazione di emergenza in corso e che, invece, la disponibilità di quei dati personali non induca qualcuno a farne un utilizzo ripetuto e improprio, perché non coerente con l’attuale finalità di trattamento.

In pratica, è di importanza cruciale individuare, senza ulteriore indugio, i soggetti responsabili della conservazione dei dati personali di decine di milioni di persone e i luoghi in cui custodirli. A tal proposito, sarebbe quanto mai opportuno riprendere in esame le proposte avanzate da alcuni veri esperti del settore che, da anni, sostengono il progetto di “sovranità digitale”[10], ovvero di affidare il trattamento dei dati personali, conservazione compresa, a Istituzioni statali, come pure la custodia dei server in ambiente istituzionale[11].

Personalmente, proporrei di collocare quei server nelle più immediate vicinanze del “supremo garante” e “custode delle regole costituzionali e politiche”[12] e, quindi, di ricavare uno spazio al Quirinale, sotto la garanzia massima che può esprimere solo il nostro Presidente della Repubblica, titolare del cosiddetto “quarto potere” o “potere neutro”.

Una volta risolta tale questione propedeutica – auspicabilmente, lo ribadiamo, in chiave istituzionale –, si aprirà lo spazio per considerare che se la scelta di ricorrere fino all’adozione di tale sistema di contact tracing trova, evidentemente, base giuridica, nella necessità di tutelare la salute pubblica, il rischio che merita altrettanta attenzione è quello che si configuri la violazione della privacy degli utenti dell’app; ciò sia in relazione al periodo di emergenza ancora in corso e in considerazione dei princìpi di proporzionalità e necessità statuiti dall’art. 8 della Convenzione Europea sui Diritti dell’Uomo (CEDU) e dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Ue (Carta di Nizza); sia – se non, soprattutto – in relazione al periodo post-emergenza.

 

[1] Il grave data breach si è presentato in più occasioni fra il 31 marzo e il primo aprile 2020 sul sito Inps; è stato possibile accedere a pagine e informazioni riguardanti altre persone, con nome cognome e documenti personali.

[2] Il Governo, con Ordinanza n. 10 del 16 aprile 2020, ha scelto l’App di contact tracingImmuni”.

[3]  L’app Immuni è quella selezionata dal gruppo di esperti che si è insediato presso il Ministero dell’innovazione e proposta dal Ministro Paola Pisano, si tratta di un progetto della software house milanese Bending Spoons.

[4] Per “Un aggiornamento sull’applicazione di contact tracing digitale per l’emergenza coronavirus”  https://innovazione.gov.it/un-aggiornamento-sull-applicazione-di-contact-tracing-digitale-per-l-emergenza-coronavirus/

[5] Tra le ipotesi più peregrine di cui si ha notizia si elenca, da una parte, quella dell’obbligatorietà della registrazione all’app Immuni, considerandola condizione necessaria per poter fruire dei vantaggi di mobilità previsti dalla “fase 2” in abbinamento alla dichiarazione di autocertificazione; dall’altra quella di adottare significativi “incentivi” per chi sceglierà di scaricare l’applicazione (con il rischio però di inquinare così il libero consenso dei soggetti monitorati). Due ipotesi abnormi finalizzate a raggiungere il break-even del 60% della popolazione nazionale.

[6] È lecito chiedersi come faranno i molti anziani, sopravvissuti, a scaricare l’app, registrarsi e utilizzarla correttamente o se tali soggetti deboli, anche in termini di digital divide, non rischieranno di costituire un “porto franco” per il Coronavirus e per un potenziale di contagio non censito.

[7] Si innescherebbe la necessità di attivare un’azione preventiva che dovrebbe coinvolgere un crescente numero di persone sulla base di cerchi concentrici a espansione continua. Per intenderci, se state pensando che l’immagine più rappresentativa possa essere quella che scaturisce dal lancio di un sasso in uno stagno, ovvero del moltiplicarsi di cerchi concentrici, sempre più ampi, vi sbagliate: in questo caso, i sassi lanciati nello stagno sono più di uno (uno per ogni contagiato) e il fenomeno dei cerchi concentrici in espansione si moltiplica, all’aumentare dei sassi lanciati, ovvero dei contagi.

[8] L’European Centre for Disease Prevention and Control (ECDPC) lo scorso 9 aprile, ha diffuso un report tecnico, proponendo un progetto comune europeo basato, anche, sull’adozione di un algoritmo “condiviso” per la gestione delle segnalazioni di soggetti positivi o potenzialmente tali.

[9] Per dovere di cronaca, va detto che il GDPR consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica. Si tratta, tuttavia, di legislazione eccezionale che consente l’applicazione di misure necessarie, adeguate e proporzionate alla situazione di emergenza, quindi, purché risultino conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Tali misure restano soggette al controllo giurisdizionale della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo. Infine, in presenza di situazioni di emergenza, le misure in questione devono essere rigorosamente limitate alla durata dell’emergenza.

[10] La proposta di dare attuazione ad un sistema di “sovranità digitale” costituisce una ipotesi di risposta all’esigenza di dotarsi di server sicuri e, al tempo stesso di “proprietà italiana”, cioè istituzionali. Una soluzione idonea, quantomeno, a mitigare i rischi di sicurezza e vulnerabilità, nonché di utilizzi arbitrari dei dati personali anche, e soprattutto, nella fase post-emergenza. I rischi da fronteggiare, in effetti, sono molteplici: l’archiviazione in database non sicuri, per esempio in aree extra Ue, aumenta le probabilità di violazione e sottrazione, finalizzate alla vendita nel dark web, anche in cambio di pochi centesimi di euro; inoltre, aumenta la probabilità di uso a fini commerciali, con eventi diffusi di profilazione per scopi pubblicitari.

[11] Attualmente, è al vaglio la proposta di custodire i server all’interno di strutture militari, come le caserme che risultano già protette e schermate. In tal caso, si dovrà essere certi che il client resti separato da quelli già utilizzati dalle Forze Armate per le operazioni militari e di polizia. Una proposta coerente, in linea di massima, con l’ipotesi di sovranità digitale e di server di “proprietà Italia” ma che meriterebbe più approfondite valutazioni, in chiave storica, oltre che tecnica e giuridica. Anche se i server saranno posizionati nelle caserme o in edifici militari non saranno le Forze dell’ordine a gestire le informazioni, anche se questa questione ancora non è del tutto chiara. Si stanno valutando diverse ipotesi su chi sarà a mandare la notifica alle persone che sono potenzialmente entrate in contatto con una persona infetta. Un ruolo cruciale sarà giocato senza dubbio dalle ASL, ma anche le Regioni avranno parola in capitolo.

[12] Definizione condivisa dai più autorevoli esponenti della dottrina giuridica nazionale, basti menzionare, tra tutti: Crisafulli, Esposito, Lavagna, Galizia, Elia. Una definizione ripresa anche dal compianto Presidente emerito della Repubblica, Carlo Azeglio Ciampi che, nel porgere il benvenuto, presso il Quirinale, al Presidente della Repubblica che gli succedeva, On. Giorgio Napolitano, proferì queste parole: «Gli italiani troveranno in lei un sicuro e severo custode dei valori fondanti della nostra Repubblica: l’amor di Patria, il rispetto delle Istituzioni e dei diritti della persona umana»

Ultime notizie
informazione
Informazione

È davvero finita l’era della carta stampata? L’informazione tra Social media e IA

Un paio di decenni fa ci si chiedeva come la Rete avrebbe cambiato l’informazione; oggi, la stessa domanda si pone nei confronti dell’IA. Ma il dato più evidente, tra tutti, è il cambiamento nella fruizione di notizie: calano le vendite dei quotidiani cartacei, cresce la percentuale di chi legge notizie online, o addirittura attraverso i Social Network.
di Roberta Rega*
informazione
scuola
Intervista

″Ricostruire il ruolo sociale degli insegnanti”, intervista al Presidente Luciano Violante su scuola e istruzione

Il Presidente Luciano Violente dialoga su scuola e istruzione nel dibattito intrapreso dall’Osservatorio dell’Eurispes sulle Politiche educative. Tra le priorità individuate c’è la ricostruzione del ruolo sociale degli insegnanti, con una retribuzione più alta e valutazioni periodiche sul loro operato.
di Massimiliano Cannata
scuola
matrimoni misti
Società

Immigrazione: in crescita i matrimoni misti in Italia

I matrimoni misti testimoniano una società italiana sempre più multietnica. Nel 2022 sono il 15,6% dei matrimoni totali, 3 su 4 sono tra italiani e spose straniere, provenienti soprattutto dall’Unione europea e dall’Europa centro-orientale. Le unioni miste sono diffuse soprattutto al Nord e al Centro, meno al Sud.
di Raffaella Saso*
matrimoni misti
quoziente familiare
Fisco

Quoziente familiare e incentivi alla natalità

Il quoziente familiare potrebbe figurare nella prossima legge di Bilancio, al fine dichiarato di dare più risorse a chi ha figli. L’evoluzione della giurisprudenza e della società dimostra infatti che l’attuale modello impositivo non è in grado di tutelare una società in cui i figli sono ormai merce sempre più rara.
di Giovambattista Palumbo*
quoziente familiare
furti
Criminalità e contrasto

Furti e borseggi su autobus, treni e metro, un trend in crescita dal 2021

Furti in metropolitana, autobus e treni: il Report del Servizio Analisi Criminale documenta nel tempo e nella geografia tali reati che affliggono i mezzi pubblici. Roma è prima per furti in metropolitana, seguita da Milano, mentre i furti in treno avvengono soprattutto nelle province di Milano, Roma e Firenze.
di redazione
furti
overtourism
Turismo

Overtourism, serve un piano nazionale a lungo termine

L’overtourism è una realtà che sta modificando piccole e grandi città in Italia e nel mondo. La soluzione ai flussi eccessivi di turisti non sta nelle delibere amministrative dei singoli Enti locali, ma va cercata in un piano strutturale a lungo termine, di respiro nazionale, contro la svendita dei nostri centri storici al turismo “mordi e fuggi”.
di Osservatorio sulle Politiche fiscali dell’Eurispes
overtourism
Europa

Immaginare un’Europa a due velocità

Il 6° incontro del Laboratorio Europa dell’Eurispes, coordinato dal Prof. Umberto Triulzi, si è svolto a Roma lo scorso luglio Tra i...
di redazione
turismo
Turismo

L’industria del turismo non va combattuta ma difesa dalle degenerazioni

Il nostro Paese è tra i più visitati, con un’offerta che va dal turismo culturale, a quello balneare, montano, e finanche religioso ed eno-gastronomico. Una risorsa che va guidata e difesa dalle degenerazioni, per un settore che ha fatto registrare 851 milioni di presenze nel 2023, con un impatto economico di oltre 84 miliardi di euro.
di Osservatorio sulle Politiche fiscali dell’Eurispes
turismo
Lavoro

Verso il G7 su lavoro e occupazione: tre proposte proposte operative

Lavoro e occupazione, nuove politiche in discussione al G7 Il prossimo vertice G7 su lavoro e occupazione, in programma dal 11 al 13...
di Marco Ricceri*
povertà educativa
Istruzione

Povertà educativa, un fenomeno latente che si riproduce nei ceti svantaggiati

La povertà educativa è un fenomeno diffuso che trascende il livello di scolarizzazione delle persone, riguarda non soltanto chi non ha completato il ciclo di istruzione obbligatorio, ma anche coloro che possiedono uno scarso livello di competenze in lettura, comprensione, scrittura, calcolo e problem solving.
di Luca Salmieri*
povertà educativa