Da ieri è in vigore il frame giuridico in cui collocare l’app di tracciamento digitale Immuni, scelta dal governo per fronteggiare l’emergenza Covid-19. Risulta dalla pubblicazione ieri in Gazzetta ufficiale del decreto Legge 30 aprile 2020, n 28. E, per quanto ci riguarda, nel Capo II, denominato Misure urgenti per l’introduzione del sistema di allerta Covid-19, l’articolo 6, rubricato sistema di allerta Covid-19.
La pubblicazione della norma offre la possibilità di testare le dichiarazioni e le informazioni rese dagli esponenti governativi in questi giorni sull’app di tracciamento Immuni.
Vediamo le principali osservazioni sull’app Immuni, e quello che risulta dalla norma.
“I dati sono anonimi”
Falso.
I dati non possono essere anonimi.
All’interno della norma si specifica che l’app tratterà dati anonimi o, se ciò non sarà possibile, pseudonimizzati, ai fini di rispettare il principio di minimizzazione del trattamento, la sicurezza dei dati e i principi di privacy by default e by design, secondo quanto previsto dal Regolamento UE 679/2016 sulla protezione dei dati personali e la loro libera circolazione (GDPR).
La Ministra Pisano, in una audizione alla Camera dello scorso 8 aprile ha riferito che i dati dovranno essere “resi sufficientemente anonimi da impedire l’identificazione dell’interessato”.
Nell’ordinamento Europeo ed italiano non esiste alcuna definizione di “sufficientemente anonimo”.
Il trattamento è anonimo, e allora non si applica il GDPR, oppure non è anonimo, e allora si applica il GDPR. Ma se il sistema gestisse dati anonimi, non sarebbe stato necessario né l’intervento della Commissione Europea, né dell’European Data Protection Board, ovvero dell’organismo che raggruppa tutte le Autorità di protezione dei dati personali europee, né si sarebbe dovuto parlare di base giuridica per il trattamento, né sarebbe stato necessario il Parere del Garante privacy, né tantomeno sarebbe stata necessaria un norma di legge primaria.
Quindi no, i dati non sono anonimi.
“Il sistema è gratuito”
Senza voto.
La Ministra Pisano ha assicurato più volte che il sistema è pensato e immaginato a titolo completamente gratuito. Ma dalla norma sembra emergere una diversa configurazione.
Il comma 7 dell’art 6 citato prevede infatti: 7. Agli oneri derivanti dall’implementazione della piattaforma di cui al presente articolo, nel limite massimo di 1.500.000 euro per l’anno 2020, si provvede mediante utilizzo delle risorse assegnate per il medesimo anno al Commissario straordinario di cui all’articolo 122 del decreto-legge 17 marzo 2020, n. 18 con delibera del Consiglio dei Ministri a valere sul Fondo emergenze nazionali di cui all’articolo 44 del decreto legislativo 2 gennaio 2018, n. 1.
Lo sviluppo e l’implementazione della piattaforma di tracciamento, quindi, sono gratuiti o a titolo oneroso? Non abbiamo risposte certe su questo e non abbiamo evidenza ad oggi dei contratti di appalto stipulati dal Governo con le società che rilasceranno l’applicativo scelto dal Governo.
L’efficacia dell’app Immuni ci sarà anche con il 25-30% delle adesioni dei cittadini
Falso
La Ministra Pisano il 29 aprile scorso in una audizione alla Commissione lavori pubblici del Senato – caratterizzata in modo imbarazzante dalle a dir poco labili connessioni internet di ogni intervento (mettendoci impietosamente di fronte al reale degrado digitale in cui versa il nostro Paese) – ha dichiarato che l’app di tracciamento potrà essere efficace anche con il download da parte del 25/ 30 per cento dei cittadini.
Non si capisce di quali studi disponga la Ministra per fare affermazioni di questo tipo, anche perché non è stata presentata, almeno dai documenti resi pubblici, documentazione a supporto di questa affermazione. Secondo un approfondito studio dei ricercatori di Oxford per essere efficace l’applicazione dovrà invece essere scaricata e utilizzata da “almeno il 60% della popolazione target”. In particolare, i ricercatori hanno calcolato che l’efficacia del sistema può essere realizzata solo con una percentuale dell’80 per cento dei possessori di smartphone, corrispondente a circa il 56 per cento della popolazione del Regno Unito.
La Ministra ha riferito invece di una percentuale del 25, 30 per cento perché l’app possa considerarsi utile allo scopo.
Il Financial Times, incrociando i dati dell’Imperial College e dell’Oxford Institute, ha elaborato il seguente grafico da cui risulta che un’adesione del 40 per cento della popolazione porta a una stima di infetti di trecentomila persone al giorno.
Quindi no, almeno secondo le stime conosciute, il 25/30 del cento della popolazione che scarica l’app non avrà alcun effetto virtuoso, anzi.
“Il Governo si è impegnato affinché l’app sia sviluppata in sinergia con una un’azione parallela di distribuzione adeguatamente articolata su scala nazionale di tamponi (o comunque di appropriati sistemi di controllo dello stato di salute)”
Senza voto
In realtà, durante gli ultimi giorni c’è stata una certa evasività nel voler confermare questo necessario impegno da parte del Governo e quindi nel fornirci evidenza delle azioni strategiche che si intendano perseguire per favorire il buon esito di questo necessario presupposto perché l’app funzioni. Ci si permette di rilevare solo che secondo l’art. 6 del citato Decreto Legge l’app Immuni verrà sviluppata “al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi”, quindi la verifica a tappeto della positività al Covid-19 è evidentemente indispensabile perché il sistema funzioni. Del resto, questa questione è di primaria rilevanza poiché proprio la Relazione finale e riassuntiva della Task Force istituita al fine di valutarne l’efficacia, ribadisce che “presupposto essenziale della valutazione è che la soluzione adottata – nelle sue componenti tecnologiche e non tecnologiche – possa essere considerata, almeno in una proiezione prognostica, effettivamente efficace sul piano epidemiologico giacché, in difetto, diverrebbe difficile giustificare qualsivoglia, pur modesta ed eventuale, compressione di diritti e libertà fondamentali”. E sempre secondo la Task Force, “il presupposto che precede sarebbe scarsamente produttivo dei risultati sperati qualora l’adozione di un’idonea soluzione tecnologica non fosse accompagnata da un’efficace organizzazione di necessari presidi sanitari e dell’attività logistica necessaria, tra l’altro, all’esecuzione e distribuzione di test ai cittadini”.
Non abbiamo ad oggi evidenza di questo impegno da parte del Governo.
“Il sistema di tracciamento sarà rilasciato nella piena disponibilità del Governo”
Falso – non si comprende come questo sarà possibile
L’art. 6 del DL precisa genericamente che “i programmi informatici di titolarità pubblica sviluppati per la realizzazione della piattaforma e l’utilizzo dell’applicazione di cui al medesimo comma 1 sono resi disponibili e rilasciati sotto licenza aperta ai sensi dell’articolo 69 del decreto legislativo 7 marzo 2005, n. 82”. Come sappiamo, l’art. 69 del CAD lascia molti spazi interpretativi in merito al riuso degli applicativi di titolarità della PA, e ciò che lascia perplessi è che ancora oggi sul sito del Ministero per l’innovazione tecnologica e la digitalizzazione si legge che “il sistema di contact tracing dovrà essere finalizzato tenendo in considerazione l’evoluzione dei sistemi di contact tracing internazionali, oggi ancora non completamente definiti (PEPP-PT, DP-3T, ROBERT), e in particolare l’evoluzione del modello annunciato da Apple e Google. Il codice sorgente del sistema di contact tracing sarà rilasciato con licenza Open Source MPL 2.0 e quindi come software libero e aperto”. Tale evidenza è stata confermata dalla ministra Pisano durante l’ultima audizione del 29 aprile, quindi non possiamo non considerare che si è optato per una licenza open source molto limitata nei suoi effetti e che non garantisce ciò che può invece assicurare una licenza open source piena, come una licenza tipo GPL.
Dunque, non siamo certi che la licenza acquisita dal governo italiano sull’app Immuni ricomprenderà tutti i codici sorgenti e le componenti del software, comprese le relative librerie, in modo da rendere il Governo italiano completamente autonomo nel suo sviluppo e manutenzione.
Perché il Governo ha dovuto scegliere di acquisire tale soluzione con una licenza software di questo tipo?
“Il sistema di tracciamento sarà un sistema decentralizzato”
Senza voto
Anche su questo aspetto, strettamente correlato al punto 5, c’è ancora oggi poca chiarezza. Non sappiamo ancora con certezza se il sistema sarà centralizzato, quindi, ispirato al protocollo PEPP-PT oppure decentralizzato e, cioè, ispirato al protocollo DP3T.
Sembrava effettivamente definitiva nelle indicazioni del Governo la scelta del sistema decentralizzato, ma poi nell’art. 6 del DL si legge che viene assicurato soltanto che “i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento”.
Oltre che sui dispositivi degli utenti dove e come verranno conservati questi dati?
“È stata realizzata una DPIA da parte del governo”
Senza voto.
Non è mai stato chiarito ufficialmente dal Governo se fosse stata fatta una DPIA sull’app IMMUNI. Con l’entrata in vigore dell’art. 6 del DL n. 28 abbiamo la certezza che non è stata ad oggi sviluppata, ma quanto meno oggi c’è un impegno ex lege a tener conto dei vari principi fondamentali del GDPR e ad adottare “misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito
il Garante per la protezione dei dati personali ai sensi dell’articolo 36, paragrafo 5, del medesimo Regolamento (UE) 2016/679 e dell’articolo 2-quinquiesdecies del Codice in materia di protezione
dei dati personali di cui al decreto legislativo 30 giugno 2003”.
La DPIA però deve logicamente precedere la scelta tecnologica in quanto serve a comprendere quali siano le soluzioni migliori al fine di evitare la compressione dei diritti fondamentali.
Perché è stata prevista per legge solo dopo aver scelto la soluzione tecnologica?
Conclusioni
Oggi, anche se fossero messe in atto tutte le “garanzie privacy”, quindi venissero posti in atto dal Governo italiano solide garanzie normative e tutele costituzionali rafforzate, e anche in presenza di una forte attenzione alla sicurezza informatica, l‘unico modo per rendere utile un’ app di tracciamento sarebbe fondarla su presupposti di obbligatorietà, oltre che associarla ovviamente a una distribuzione a tappeto di test ai cittadini. Ma non c’è abbastanza coraggio e lungimiranza strategica per farlo adesso in modo lucido e trasparente.
Con altrettanta onestà forse oggi il Governo dovrebbe abbandonare un progetto che appare oggi così maledettamente fragile.
Non sparate sulla app di tracing e fidiamoci del Gdpr: ecco perché
