App Immuni. Tra diritto alla privacy e necessità di una soluzione europea

App Immuni. Tra diritto alla privacy e necessità di una soluzione europea

A ormai due mesi dall’inizio dell’emergenza sanitaria, il Governo ha finalmente definito il quadro giuridico dell’applicazione “Immuni” all’interno del varato dal Consiglio dei Ministri il 29 aprile. In un contesto in cui atti a individuare possibili focolai e interrompere le cosiddette catene di contagio – crittografati e pseudonimizzati – dei dispositivi dotati della stessa app, con la quale è venuta in contatto. Le funzioni di allerta scattano quando una persona risulta positiva al test: a questo punto l’operatore sanitario genera un codice con cui il cittadino carica (volontariamente o meno rimane da chiarire) su un server i dati raccolti dalla sua app nel periodo precedente di 15 giorni, ossia i codici Bluetooth con cui è entrato “in contatto”. Il server calcola per ognuno di questi codici il rischio che ci sia stato un contagio (con i criteri di vicinanza e tempo di contatto fra i dispositivi) e quindi invia una notifica ai dispositivi di persone potenzialmente a rischio. L’applicazione manda la notifica all’utente se riconosce il proprio codice tra quelli della lista di contatti arrivata dal server. La notifica dovrà contenere un messaggio che verrà deciso dalle autorità sanitarie in cui si chiederà di seguire un protocollo per l’isolamento e verranno fornite eventuali informazioni utili allo scopo. ) poiché sul server vengono caricati solo i codici identificativi delle persone eventualmente positive. Tali codici vengono generati dallo smartphone e non sono riconducibili al proprietario . Inoltre, tutti i dati sono conservati sul dispositivo dell’utente stesso. Questo modello ha il pregio di evitare la concentrazione di dati in unico server e quindi di abbassare il rischio rispetto ad attacchi informatici e contemporaneamente impedisce l’eventualità di risalire ai contatti di tutti gli utenti. Questo è il modello che potrebbe essere preferito dal Governo nella fase di implementazione, ma usiamo il condizionale perché Accanto all’utilità di questi strumenti si è però da subito innescato il dibattito sulla loro adeguatezza ed efficacia e soprattutto se rispettino i diritti fondamentali dei cittadini, uno su tutti e dalla Carta dei diritti fondamentali dell’Unione europea, parte del corpus normativo dell’Unione Europea. A dare sostanza a questo diritto si è aggiunto, da ultimo, il (GDPR nel suo acronimo inglese) in vigore da maggio 2018 a cui ogni Stato membro ha dato attuazione nell’ordinamento nazionale (in Italia attraverso le modifiche al Diritto alla protezione dei dati personali che il legislatore deve bilanciare con altri costituzionalmente rilevanti fra i quali, in questa fase storica in particolare, e al quale gli Stati possono imporre limitazioni specifiche, a patto che tale limitazione sia necessaria e proporzionata per la salvaguardia di altri diritti o interessi nazionali (tra i quali è menzionato proprio la salute). Anche il GDPR, all’articolo 23, prevede una limitazione ai diritti e agli obblighi che esso stesso sancisce, a patto che tali limitazioni siano conformi alla Carta Ue e alla CEDU. In particolare, fra gli obiettivi meritevoli di tutela, vi è citata la “ tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana” Quindi l’idea di utilizzare un sistema di tracciamento nella lotta alla pandemia non dovrebbe spaventare a priori, se non altro perché la vita di tutti i giorni è già immersa in un ambiente in cui le applicazioni degli smartphone ci consentono di espletare una serie di attività, dall’home banking alle con le quali consentiamo il trattamento dei nostri dati personali da parte di aziende private e spesso anche di enti pubblici (si pensi, ad esempio, alle applicazioni del trasporto pubblico urbano o quelle per accedere a servizi del comune di residenza). Ma a , quanto piuttosto il fatto che una tale soluzione potrebbe dar luogo a per coloro che decidessero di non scaricare l’applicazione. O ancora dare vita a sulla vita dei cittadini una volta che l’emergenza sanitaria sia finita. Ora che il decreto legge è stato adottato (che, ricordiamo, dovrà poi essere convertito in legge dal parlamento entro 60 giorni) è possibile, almeno negli aspetti fondamentali, valutare l’aderenza dell’uso dell’app Immuni ai principi fondamentali del diritto alla protezione dati e se sono state evitate le ed ad un uso sproporzionato dei dati dei cittadini, così come era stato evidenziato, ad esempio, dal firmata da alcuni esperti fra accademici, avvocati, consulenti privacy e informatici. A livello europeo le istituzioni hanno cercato di guidare gli Stati membri, al fine di arrivare a soluzioni il più armonizzate possibile. Dapprima il (che ha il potere di interpretare le disposizioni del GDPR attraverso linee-guida), su richiesta della Commissione europea, ha emanato un necessità di un coordinamento fra gli Stati membri al fine di adottare una soluzione coerente e unica e ribadisce una serie di requisiti tecnici e legali che una tecnologia di deve avere. Ad esempio, l’adozione volontaria della stessa app, la preferenza per la memorizzazione dei dati in forma decentrata (ossia sui terminali degli utenti), l’adozione di una legge quadro al fine di individuare la base legale e la necessità di evitare di tracciare gli spostamenti degli individui. Sulla stessa linea d’onda, si è mosso anche il Parlamento europeo in una risoluzione con la quale suggerisce a Commissione e Stati membri di positivo sul testo del decreto. Secondo il parere, la norma proposta rispetterebbe i criteri delineati dal Garante stesso in fase di audizione parlamentare, nonché quelli del Comitato europeo nel documento sopra citato: (ossia corretta informazione agli utenti  nonché  licenza libera e aperta del software), determinatezza ed esclusività dello scopo (ossia finalizzato esclusivamente al contenimento dei contagi), selettività e minimizzazione dei dati, nonché il proporzionato tempo di conservazione (stabilita la data massima del 31 dicembre 2020). Secondo il parere, sono stati rispettati anche il criterio dell’interoperabilità con altri sistemi di (che però dovrà essere realizzato in fase operativa) e, infine, la reciprocità di anonimato tra gli utenti dell’app. Importante sottolineare che si stabilisce espressamente che nel caso di mancato utilizzo dell’applicazione non si avrà alcuna limitazione o conseguenza in ordine all’esercizio dei diritti fondamentali dei soggetti interessati. Superati questi dubbi, si può affermare che il sistema di allerta delineato rispetti i principi base della protezione dati e abbia un adeguato contorno giuridico al quale si aggiunge il già esistente corpus dei diritti collegati al trattamento dei dati (diritto di accesso e rettifica ai propri dati e diritto di cancellazione degli stessi, solo per citarne alcuni) previsti dal vigente codice privacy al quale l’utente potrebbe ricorrere. Si garantisce perciò un corretto uso dei dati da parte del sistema e un rischio minimizzato per i cittadini. Tuttavia, sui dispositivi stessi degli utenti. Come anticipato, il testo del Decreto giustizia lascia spazio ad entrambe le soluzioni. di questi giorni sembrano propendere per la seconda soluzione, da preferire in quanto meno soggetta a fughe di dati o ad uso improprio di quest’ultimi, ma ancora non vi è certezza. scelto un modello decentralizzato simile al DP-3T per la loro applicazione di tracciamento, scegliere il modello decentralizzato avrebbe l’importantissimo pregio di eliminare una serie di problemi relativi alla (come noto, i principali fornitori dei sistemi operativi dei nostri telefoni) così che i diversi dispositivi degli utenti possano scambiarsi i codici senza intoppi. era certamente da auspicarsi (vedi ad esempio le soluzioni proposte dal consorzio di enti privati paneuropeo ), rimane fondamentale attuare l’interoperabilità fra le diverse applicazioni dei paesi membri. I Ministeri della salute e gli sviluppatori dovranno dialogare a questo fine e ciò è necessario in un’ottica di Il rispetto della privacy e le soluzioni orientate alla sicurezza della gestione dati non tolgono il fatto che l’app debba funzionare efficacemente e ciò è direttamente proporzionale al numero di cittadini che la utilizzeranno: per questa ragione sarà necessario per aumentarne la fiducia al fine di ampliare il più possibile la platea degli utilizzatori. Necessario anche e predisporre in tempi brevi la sperimentazione dato che, come noto, la cosiddetta Fase 2 è iniziata e le persone hanno cominciato a spostarsi più frequentemente e a tornare nei luoghi di lavoro. Infine, appare forse superfluo rilevare che la tecnologia è sì un tassello importante nella lotta ai contagi, ma rimane imprescindibile un sistema sanitario in grado di eseguire test per il Covid in maniera rapida ed efficiente nonché di comunicarne gli esiti agli interessati in tempi certi, altrimenti l’applicazione sarà un predicatore nel deserto.