App coronavirus, 10 domande urgenti al Governo italiano

Il Governo può chiarire come intende arrivare al 60% di download con un’app volontaria? Quali tipologie di dati personali esattamente saranno trattate e per quanto tempo? E’ stata fatta la Dpia obbligatoria? Il Governo prevede di sottoporre i potenziali positivi che ricevono l’alert a un tampone immediato?

Il Governo ha deciso che sarà Immuni l’app per il contact tracing coronavirus. Ma troppi punti sono oscuri e necessitano chiarimento. Si impongono quindi adesso alcune domande allo stesso Governo, per le quali confidiamo in una pronta (quanto doverosa) risposta. Ne va sia dell’efficacia dell’operazione sia della sua legalità.

App coronavirus, 10 domande urgenti al Governo

1. I dati a disposizione sull’utilizzo delle app di tracciamento collocano queste ultime in una forbice tra l’8 % (la App di tracciamento della regione Lombardia è stata scaricata da 800 mila persone su una popolazione di 10 milioni di abitanti) al 18 % circa di Singapore ( l’app è stata scaricata da un milione di abitanti ed attivata dal 50% di coloro che l’hanno scaricata)?In che modo pensa il Governo di giungere ad una diffusione del 60 per cento dell’app, limite dichiarato da parte degli esponenti istituzionali, per considerare efficace lo strumento di tracciamento?
2. I rischi di falsi positivi e negativi hanno indotto il direttore dell’agenzia per i servizi digitali del governo di Singapore a dichiarare che tali bug possono comportare anche conseguenze sulla vita e sulla morte stessa degli utilizzatori. In che modo il Governo ha valutato preventivamente la possibilità che i falsi negativi e positivi dell’App possano portare gli utilizzatori a sottovalutare o ad essere consapevoli dei  rischi e delle conseguenze anche estreme?
3. Il Regolamento generale privacy (GDPR) prevede la necessaria DPIA o valutazione d’impatto preventiva, ai sensi dell’art. 35 GPDR. Va fatta prima di scegliere l’applicazione, perché è il momento in cui si costruisce l’architettura di trattamento dei dati e la sicurezza degli stessi. Nella specie, ricorrono addirittura cinque condizioni che rendono obbligatoria la DPIA: 1. Soluzione tecnologica innovativa; 2. trattamento su larga scala; 3. dati sensibili e altamente personali; 4. soggetti vulnerabili; 5. monitoraggio sistematico. Secondo le linee guida europee, sarebbero sufficienti anche solo due di queste condizioni per innescare l’obbligo. Il Governo ha realizzato la DPIA preventiva sull’app di tracciamento? In caso affermativo, quando è stata fatta? Ha tenuto conto della metodologia ENISA (l’Agenzia europea per la cybersecurity)? Sarà resa pubblica, e, in tal caso, quando e in che termini?
4. Dati personali: è fondamentale capire quali dati personali saranno trattati. Le notizie di stampa appaiono infatti al momento contraddittorie. Riportano anche traccia di più finalità diverse. Il Governo può chiarire quali tipologie di dati personali esattamente saranno trattate e per quanto tempo? Quali sono le finalità del trattamento? È stata applicata minimizzazione dei dati trattati rispetto alle finalità, come richiesto, a garanzia degli interessati, dall’art. 5 GDPR?
5. Circolazione dei dati personali: un aspetto delicatissimo è quello che riguarda l’ambito oggettivo (UE/Paesi terzi) e soggettivo di accesso ai dati personali. Il Governo può indicare se la circolazione dei dati sarà tutta all’interno della UE, e, in caso contrario, quali garanzie sono previste? Può inoltre chiarire l’ambito soggettivo della circolazione dei dati personali?
6. Ruolo dei soggetti privati di trattamento. L’accessibilità dei dati personali ai privati rappresenta un punto delicatissimo e assai attenzionato. Può chiarire il Governo se il soggetto privato titolare della licenza svolgerà anche attività di manutenzione che permetterà di avere accesso ai dati personali? Inoltre: è previsto un data center di archiviazione per l’upload dei dati di tracciamento dei soggetti risultati positivi? A chi fa capo questo data center?
7. Pseudonimo: il sistema dovrebbe lavorare su pseudonimi, secondo quanto è stato dichiarato. È fondamentale comprendere come sono costruiti gli pseudonimi. Può chiarire il Governo in quale modo sono creati e gestiti gli pseudonimi? L’app integrerà l’architettura bluetooth alla quale stanno lavorando Google LLC e Apple Inc.? In quest’ultimo caso, saranno chiarite la modalità di integrazione e gli eventuali flussi informativi?
8. Trasparenza: nell’audizione dell’8.4.2020, la Ministra Pisano ha assicurato che il codice dell’app sarebbe stato open source. È una garanzia che apprezziamo particolarmente. Nell’ordinanza Arcuri del 16.4.2020 si indica che il codice sorgente sarà messo a disposizione del Governo ma non si chiarisce se tale codice verrà messo a conoscenza della collettività né si comprende se verrà ceduto il diritto d’autore o se verrà concesso solo in licenza. Il Governo metterà a disposizione il codice sorgente alla collettività, al fine di permettere l’esercizio fondamentale di controllo diffuso?
9. Conseguenze del trattamento: non è chiaro che cosa accadrà a chi riceverà un alert per essere stato in contatto con soggetti poi risultati positivi. Il punto è fondamentale e da esso dipende il senso stesso dell’applicazione. Il Governo prevede di sottoporre i potenziali positivi che ricevono l’alert a un tampone immediato?
10. L’applicazione sarà fornita con interfacce aderenti allo standard europeo in materia di accessibilità dei prodotti ICT (nel caso specifico delle applicazioni mobili), al fine di garantire il diritto dell’autonomia della persona con disabilità nell’uso di una applicazione che richiede informazioni sensibili sul proprio stato di salute, il cui inserimento non deve essere delegato a terzi nel caso l’applicazione non sia conforme alla suddetta norma?

Enrico Pelino -Avvocato e PhD in diritto dell’informatica e informatica giuridica

Fulvio Sarzana -Avvocato, professore Uninettuno

da Agenda Digitale