La lettura delle prime specifiche tecniche pubblicate dal ministero per l’innovazione attinenti al sistema di tracciamento del Covid-19 Immuni, ma senza che sia stato contestualmente rilasciato il codice sorgente dell’app, conferma le intuizioni che in queste settimane hanno tenuto banco in diversi ambiti, e rende giustizia del “furibondo” storytelling sull’anonimato dei dati e sulla completa decentralizzazione dell’app.
Vediamo perché.
La procedura di caricamento chiavi sul server
Le specifiche tecniche, rilasciate in inglese, chiariscono una volta per tutte che, pur nell’apprezzabile sforzo di rendere il sistema il più asettico possibile, al fine di convincere gli utenti che “nessuno” all’infuori di loro stessi potesse conoscere i propri dati, all’interno del sistema, in realtà i soggetti siano identificabili, anche se i dati potrebbero essere pseudononimizzati.
Il sistema infatti di shaking hands basato sul bluetooth, è fine a sé solo in caso non vi sia una positività al Covid-19 perché in caso contrario, l’intero meccanismo si dirige verso una identificazione del positivo, al fine di metterlo nelle condizioni di contattare l’operatore sanitario e di evitare che soggetti non malati abusino dell’app inserendo dati falsi.
In proposito affermano le specifiche “Per essere sicuri che solo gli utenti che sono effettivamente risultati positivi per SARS-CoV-2 carichino le proprie chiavi sul server, la procedura di caricamento può essere eseguita solo con la collaborazione di un operatore sanitario autenticato. L’operatore chiede all’utente di fornire un codice generato dall’app e lo inserisce in uno strumento di back-office. Il caricamento può avere esito positivo solo se il codice utilizzato dall’app per autenticare i dati corrisponde a quello inserito nel sistema dall’operatore sanitario.”
Quindi il soggetto dovrà interagire con un operatore sanitario e dovrà per forza dirgli che ha il SARS-CoV-2, identificandosi come soggetto malato, per evitare che un qualsiasi mitomane possa eseguire questa operazione e inserire falsi positivi.
Questa procedura ci dice due cose: la prima è che avviene un trattamento di dati personali attinenti alla salute tra un operatore sanitario e un soggetto positivo al COVID attraverso l’App, tra soggetti quindi che dovranno autenticarsi e quindi “conoscersi”.
I limiti della decentralizzazione
La seconda che il sistema non è decentralizzato se non nella fase dello shaking hands, e non potrebbe esserlo perché altrimenti il matching tra malattia e genuinità dei dati (oltreché alla presa in carico del malato) non potrebbe essere realizzato.
Il sistema poi tratterà espressamente big data (ad esempio per quanto riguarda i dati della provincia di chi scarica l’app) che secondo gli sviluppatori però dovrebbero essere anonimi.
Da questo punto di vista però deve essere posta particolare attenzione ai dati aggregati, espressamente previsti e attraverso la quale potrebbe avvenire anche una profilazione. Questi dati si riferirebbero solo ai dati delle province, che sono inseriti all’atto dello scaricamento dell’app ai fini epidemiologici.
Dati davvero anonimi?
Gli sviluppatori assicurano che i dati saranno anonimi, ma questo appare difficile da realizzare per vari motivi: sia perché la profilazione dei rischi epidemiologici appare necessaria allo studio della malattia, sia perché in realtà il livello di aggregazione è variabile, e quindi potrebbe accadere che i dati utilizzati, anche se in forma aggregata, consentano comunque, a seguito dell’incrocio con altri dati (per esempio la chiamata all’operatore sanitario in quell’ora specifica in una data provincia), l’identificazione dei soggetti interessati.
Inoltre, i casi finora adottati di utilizzo di dati aggregati si basavano sull’uso del GPS (la Spagna, ad esempio ma anche la Lombardia), che qui si assicura non essere utilizzato, ma, come già da altri rilevato per quanto riguarda la piattaforma di casa Google, Immuni potrà funzionare solamente con la geolocalizzazione attiva a livello di sistema operativo.
La certezza dello sviluppatore non appare supportata da dati verificabili in quanto a stabilire la sorte dei dati aggregati e il loro grado di identificazione (e quindi di inclusione nelle tutele previste dal GDPR) può essere solo il titolare del trattamento dei dati, ovvero il Ministero della Salute, e solo dopo la valutazione d’impatto o DPIA che ancora non è stata fatta, a quanto se ne sa.
E, il Ministero della salute, potrebbe prendere decisioni diverse per quanto riguarda i dati aggregati.
Gli sviluppatori assicurano anche qui che nessun dato sarà condiviso con terze parti (se non in forma aggregata, anonima e per scopi di ricerca), ma la scelta, anche del tipo di aggregazione, e quindi del tipo di riconducibilità ad una o più persone, dovrà essere effettuata dal Ministero della salute.
Un’ulteriore testimonianza del fatto che il sistema tratta dati personali è contenuta negli “open points” che chiudono il documento README.
Tra i problemi aperti gli sviluppatori menzionano la conservazione, cancellazione (da fare entro 14 giorni) e recupero dei dati.
Dal punto di vista giuridico queste affermazioni collocano decisamente i dati trattati nell’orbita del trattamento dei dati personali, perché se i dati fossero anonimi questi non costituirebbero un problema.
