Covid19 e tracciamento dei contatti

Il monitoraggio sistematico degli interessati è uno dei trattamenti considerati maggiormente a rischio, per i diritti e le libertà degli interessati [i], dal nuovo Regolamento Europeo per la tutela dei dati personali n. 679 del 24 maggio 2016, divenuto pienamente efficace e vincolante il 24 maggio 2018, dopo due anni di “sospensione” delle sanzioni, per consentire ai soggetti pubblici e privati di adeguarsi alle nuove prescrizioni.

Non a caso sono previsti due adempimenti che rendono evidente l’attenzione del legislatore europeo per tale attività: l’esecuzione di una valutazione d’impatto del trattamento sui diritti e le libertà degli interessati e la nomina di un Responsabile per la Protezione dei Dati che sovrintenda e controlli l’attività del Titolare del trattamento, rapportandosi, in caso di necessità, con l’Autorità di controllo, anche per una eventuale valutazione preliminare.

Dopo l’inizio della pandemia da Covid19 si è ritenuto necessario ed imprescindibile, per molte nazioni, procedere al tracciamento dei contatti tra cittadini, allo scopo di individuare i soggetti che hanno una maggiore probabilità di contrarre il virus a causa dell’esposizione al principale fattore di rischio, individuato nella prolungata permanenza accanto ad un soggetto di cui è stata accertata la positività al virus.

La circostanza che le prime nazioni a procedere al tracciamento siano state quelle in cui è presente un sistema di governo dittatoriale è emblematica di quanto il monitoraggio sistematico del comportamento dei cittadini sia lesivo dei loro diritti e delle loro libertà. La nostra Costituzione, infatti, considerata una delle più liberali al mondo, classifica la libertà personale degli individui e la proprietà privata tra i valori fondamentali, che possono essere limitati o compressi solo in casi eccezionali e solo con provvedimenti aventi forza di legge (cioè adottati dal Parlamento o dal Consiglio Regionale, in quanto espressioni della democrazia e della volontà popolare). Una delle ragioni per le quali i diritti fondamentali dell’individuo possono essere compressi è l’emergenza sanitaria, poiché si ritiene che il diritto alla salute, nell’ottica della tutela collettiva, come interesse pubblico a garantire la somma delle integrità dei singoli individui, rientri tra le giustificazioni della temporanea limitazione dei diritti e delle libertà dei cittadini.

Per questa ragione, il Governo Italiano, seppure con strumenti giuridici quantomeno discutibili (il DPCM [ii] è un atto amministrativo) ha adottato una serie di restrizioni alla libertà di spostamento dei cittadini, autorizzando anche l’uso di un’applicazione per smartphone [iii] – seppure su base volontaria – per il tracciamento dei contatti.

L’applicazione “Immuni” (semplicemente “app” quando si fa riferimento a programmi sviluppati per smartphone e tablet) consente di tenere traccia dei contatti avuti dal possessore del dispositivo sul quale è installata con altri possessori di dispositivi analoghi; quindi il primo presupposto del suo funzionamento è l’utilizzo di un apparato basato sui sistemi operativi Android (Google) o IOS (Apple).

Questo elemento introduce una prima discriminazione nei confronti dei cittadini meno abbienti, che non possono permettersi uno smartphone, e di quelli che hanno uno smartphone non basato sui due sistemi operativi più diffusi (uno dei casi più eclatanti è quello di Huawei, che ha adottato, a seguito dei provvedimenti anticoncorrenziali degli Stati Uniti, un proprio sistema operativo).

Sebbene la Bending Spoons [iv] abbia a più riprese chiarito che il funzionamento dell’applicazione è basato su un metodo c.d. “decentrato”, per cui non vengono rilevati i dati personali degli utenti e le segnalazioni sono rappresentate da codici alfanumerici generati casualmente e memorizzati sui dispositivi, che scaricano da un server centrale della Pubblica Amministrazione i codici segnalati come appartenenti a soggetti risultati positivi al Covid19, generando il relativo avviso all’interessato dal possibile contagio, sono molteplici le perplessità sollevate dagli esperti di sicurezza informatica e tutela dei dati personali, inclusa l’Autorità Garante italiana, che ha infatti imposto diverse prescrizioni rispetto alla prima versione.

Innanzitutto, è abbastanza singolare che tra i soggetti che partecipano allo sviluppo dell’applicazione, sul versante della Pubblica Amministrazione, vi siano le due società che garantiscono iscrizione a ruolo, esazione e riscossione all’Agenzia delle Entrate, elemento che certo non depone a favore della fiducia da parte dei cittadini, dopo che sono state già autorizzate ad accedere ai conti correnti e ai dati della fatturazione elettronica, con possibilità di profilazione praticamente illimitate, nonostante le prescrizioni della già citata Autorità Garante per la protezione dei dati personali. Altro elemento che non depone a favore della trasparenza è la necessità di comunicare la propria positività anche al Centro di Controllo istituito presso ogni Autorità Sanitaria regionale, al fine di procedere all’inserimento del codice sull’applicazione Immuni e generare l’alert nei confronti dei soggetti venuti a contatto con l’interessato, sia per la possibilità di associare l’utenza telefonica del chiamante alla positività (ma non sarebbe un problema, dato che l’Autorità Sanitaria è già in possesso di quei dati), sia per la possibilità di tracciare la ricezione del codice da parte dei dispositivi destinatari della comunicazione, che inevitabilmente lasciano in rete informazioni di natura tecnica indispensabili per il collegamento alla rete (radio o cablata).

Inoltre, una delle perplessità sollevate sul metodo di tracciamento è quella che gli smartphone dotati di sistema operativo realizzato dai produttori (Google e Apple) e, nel caso di Google, personalizzato dagli operatori telefonici, trattandosi di codice opensource, potrebbero autonomamente rilevare l’inserimento dei dati nell’applicazione ed utilizzarli, associandoli agli utenti, attraverso l’interazione con altre applicazioni presenti sul dispositivo.

Da ultimo, infine, l’uso dell’applicazione costringe l’utente a tenere sempre attivo il Bluetooth, per consentire il rilevamento dei dispositivi vicini, e, per quanto riguarda il sistema operativo Android, la localizzazione tramite GPS, sebbene gli sviluppatori di Immuni garantiscano di non utilizzarla.

Ebbene, come giustamente rilevato da uno dei maggiori esperti del settore, l’Avv. Andrea Lisi [v], in diversi interventi sull’argomento, le questioni appena accennate pongono rilevanti problemi di sicurezza delle informazioni e, in particolare, dei dati personali dei soggetti interessati.

Perplessità che iniziano con la selezione delle società cui affidare lo sviluppo dell’applicazione, che ha visto prevalere su centri di ricerca accreditati un’azienda che si occupa di applicazioni ludiche e gestione di big data, con un bando di partecipazione quantomeno generico ed impreciso, senza decidere sin dall’inizio su obbligatorietà o volontarietà nell’utilizzo dell’app e senza una rigorosa scelta tra centralizzazione o decentralizzazione nella gestione dei dati trattati.

Una seconda criticità, secondo l’Avv. Lisi, è quella di aver ribaltato il rapporto che normalmente dovrebbe instaurarsi tra un Governo e le aziende produttrici di tecnologia, con Apple e Google che hanno imposto le loro condizioni di sviluppo dell’applicazione per autorizzare l’inserimento nei rispettivi Store ai fini del download da parte dei cittadini [vi]. Inghilterra e Francia sono andate nella direzione opposta, esautorando completamente le grandi multinazionali dalla gestione delle applicazioni di tracciamento.

Dal punto di vista della sicurezza, la scelta di tenere sempre attivo il segnale Bluetooth espone i dispositivi (e quindi la sicurezza dei dati degli utenti) ad attacchi di vario genere basati su tale tecnologia di comunicazione (che gli esperti consigliano invece di attivare solo quando necessaria) e tale circostanza, in un periodo in cui sugli smartphone girano anche applicazioni in grado di gestire transazioni bancarie, non consente sicuramente di dormire sonni tranquilli.

L’uso della localizzazione GPS, inoltre, espone l’utilizzatore dello smartphone al tracciamento da parte di altre applicazioni presenti sul dispositivo, che in assenza di tale attivazione (o di attivazione solo durante il funzionamento, ad esempio, di un sistema di navigazione) non potrebbero operare.

A ciò si aggiunga il pericolo di generazione di falsi positivi ad opera della stessa tecnologia utilizzata dall’applicazione Immuni [vii], che non è mai stata precedentemente testata per un simile utilizzo e che si basa, su dichiarazione degli stessi sviluppatori, sulla misurazione dell’intensità del segnale scambiato tra i dispositivi per effettuare una stima della distanza tra gli individui. Quindi, ragionando per paradossi, potremmo trovarci nella situazione in cui due individui che sono seduti di spalle, con il telefono in mano, all’interno di un locale, risulterebbero ad una distanza superiore ai due metri, mentre le loro teste (e quindi i veicoli principali di infezione, costituiti da naso e bocca) sarebbero in realtà a qualche decina di centimetri l’una dall’altra, mentre le stesse persone, sedute di spalle e con i telefoni nella tasca posteriore dei pantaloni ma all’interno ed all’esterno del locale, con una vetrina a dividerli, risulterebbero per l’applicazione molto più vicini (e quindi molto più a rischio) dei primi due.

Non a caso, l’Autorità Garante per la protezione dei dati personali, con provvedimento del 1° giugno 2020 –  nel ribadire la necessità di un utilizzo volontario dell’applicazione e dell’assenza di qualsiasi pregiudizio per chi non intende utilizzarla – ha dato al Governo e ai responsabili dello sviluppo della stessa precise raccomandazioni che, più che consigliare il download, sembrano giustificare il suo mancato utilizzo, almeno fino a quando le perplessità sollevate dagli esperti e fatte proprie dall’Autorità non saranno state fugate.

Posto che non si tratta di “piccole” osservazioni ma di seri problemi legati alla sicurezza dei dati e degli stessi dispositivi, alla trasparenza del funzionamento dell’applicazione e della raccolta ed utilizzo dei dati, alla possibilità che anche soggetti terzi, estranei alla raccolta, possano approfittare delle debolezze del sistema di tracciamento, è opportuno che tali perplessità vengano eliminate rapidamente, nell’interesse di tutti e nell’ottica di poter utilizzare l’applicazione effettivamente ed esclusivamente per combattere il Covid19, escludendo alla radice le inquietudini legate alle false positività, al trattamento illecito di dati personali, al monitoraggio sistematico degli interessati, ad eventuali azioni criminali.

Gianluca Pomante


[i] – Si considera “interessato” dal trattamento la persona fisica alla quale si riferiscono i dati che vengono gestiti da un soggetto pubblico o privato, individuato dal Regolamento UE 679/2016 come Titolare (data controller) o Responsabile (data processor)

[ii] – Decreto della Presidenza del Consiglio dei Ministri. Lo strumento che consente al Governo di affrontare le emergenze è il Decreto Legge che viene successivamente ratificato dal Parlamento; neppure è giustificabile l’uso del DPCM dopo un intervento del Parlamento con delega al Governo per la gestione delle emergenze, poiché in tal caso è previsto l’uso del Decreto Legislativo, che deve contenere i provvedimenti nell’ambito della delega conferita dal Parlamento, proprio per evitare un conflitto tra i poteri dello Stato)

[iii] – Dispositivi telefonici che comunicano mediante onde radio (chiamati anche radiomobili), dotati di funzioni avanzate analoghe a quelle dei personal computer (sistema operativo, applicazioni, elevate capacità computazionali, collegamento alla rete Internet, capacità di comunicazione diretta tra dispositivi, ecc.)

[iv] – Azienda italiana risultata aggiudicataria della gara pubblica per lo sviluppo dell’applicazione Immuni, in collaborazione con Presidenza del Consiglio dei Ministri, Ministro della Salute, Ministro per l’Innovazione Tecnologica e la Digitalizzazione, Regioni, Commissario straordinario per l’emergenza Covid-19 e le società pubbliche Sogei e PagoPa

[v] – Avvocato, Coordinatore Studio Legale Lisi e Presidente ANORC Professioni

[vi] – Inghilterra e Francia sono andate nella direzione opposta, escludendo completamente le grandi multinazionali dalla gestione delle applicazioni di tracciamento.

[vii] – Il sistema di contact tracing sfrutta la tecnologia Bluetooth Low Energy 

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

SUBSCRIBE
MY WEB
NEWSLETTERS
Lorem ipsum dolor sit amet, consectetur adipiscing