Di Immuni abbiamo già parlato nel numero di Sicurezza di maggio 2020 ma oggi è doveroso un aggiornamento per riflettere sulla costituzionalità dell’attuale azione di Governo in tema di monitoraggio sistematico dei cittadini, sulle grandi multinazionali interessate alla profilazione degli utenti, sulle implicazioni in materia di tutela dei dati personali e sicurezza dei dispositivi
Il monitoraggio sistematico degli interessati (1*) è uno dei trattamenti considerati maggiormente a rischio per i diritti e le libertà degli interessati dal nuovo Regolamento Europeo per la tutela dei dati personali n. 679 del 24 maggio 2016, divenuto pienamente efficace e vincolante il 24 maggio 2018, dopo due anni di “sospensione” delle sanzioni, per consentire ai soggetti pubblici e privati di adeguarsi alle nuove prescrizioni.
Non a caso sono previsti due adempimenti che rendono evidente l’attenzione del legislatore europeo per tale attività: l’esecuzione di una valutazione d’impatto del trattamento sui diritti e le libertà degli interessati e la nomina di un Responsabile per la Protezione dei Dati che sovrintenda e controlli l’attività del Titolare del trattamento, rapportandosi, in caso di necessità, con l’Autorità di controllo, anche per una eventuale valutazione preliminare.
Dopo l’inizio della pandemia da Covid-19 si è ritenuto necessario e imprescindibile, per molte nazioni, procedere al tracciamento dei contatti tra cittadini, allo scopo di individuare i soggetti che hanno una maggiore probabilità di contrarre il virus a causa dell’esposizione al principale fattore di rischio, individuato nella prolungata permanenza accanto a un soggetto di cui è stata accertata la positività al virus.
La circostanza che le prime nazioni a procedere al tracciamento siano state quelle in cui è presente un sistema di governo dittatoriale è emblematica di quanto il monitoraggio sistematico del comportamento dei cittadini sia lesivo dei loro diritti e delle loro libertà.
Cosa dice la nostra Costituzione
Considerata una delle più liberali al mondo, la nostra Costituzione classifica la libertà personale degli individui e la proprietà privata tra i valori fondamentali, che possono essere limitati o compressi solo in casi eccezionali e solo con provvedimenti aventi forza di legge (cioè adottati dal Parlamento o dal Consiglio Regionale, in quanto espressioni della democrazia e della volontà popolare).
Una delle ragioni per le quali i diritti fondamentali dell’individuo possono essere compressi è l’emergenza sanitaria, poiché si ritiene che il diritto alla salute, nell’ottica della tutela collettiva, come interesse pubblico a garantire la somma delle integrità dei singoli individui, rientri tra le giustificazioni della temporanea limitazione dei diritti e delle libertà dei cittadini.
Per questa ragione, il Governo italiano - seppure con strumenti giuridici quantomeno discutibili (il DPCM 2* è un atto amministrativo) - ha adottato una serie di restrizioni alla libertà di spostamento dei cittadini, autorizzando anche l’uso di un’applicazione per smartphone 3* , seppure su base volontaria, per il tracciamento dei contatti.
L’applicazione “Immuni” (semplicemente “app” quando si fa riferimento a programmi sviluppati per smartphone e tablet) consente di tenere traccia dei contatti avuti dal possessore del dispositivo sul quale è installata con altri possessori di dispositivi analoghi.
Quindi, il primo presupposto del suo funzionamento è l’utilizzo di un apparato basato sui sistemi operativi Android (Google) o iOS (Apple).
Questo elemento introduce una prima discriminazione nei confronti dei cittadini meno abbienti, che non possono permettersi uno smartphone, e di quelli che hanno uno smartphone non basato sui due sistemi operativi più diffusi (uno dei casi più eclatanti è quello di Huawei, che ha adottato, a seguito dei provvedimenti anticoncorrenziali degli Stati Uniti, un proprio sistema operativo).
Le perplessità degli esperti
Sebbene la Bending Spoons (4*) abbia a più riprese chiarito che il funzionamento dell’applicazione è basato su un metodo cosiddetto “decentrato”, per cui non vengono rilevati i dati personali degli utenti e le segnalazioni sono rappresentate da codici alfanumerici generati casualmente e memorizzati sui dispositivi, che scaricano da un server centrale della Pubblica Amministrazione i codici segnalati come appartenenti a soggetti risultati positivi al Covid-19, generando il relativo avviso all’interessato dal possibile contagio, sono molteplici le perplessità sollevate dagli esperti di sicurezza informatica e tutela dei dati personali, inclusa l’Autorità Garante italiana, che ha infatti imposto diverse prescrizioni rispetto alla prima versione.
Innanzitutto, è abbastanza singolare che tra i soggetti che partecipano allo sviluppo dell’applicazione, sul versante della Pubblica Amministrazione, vi siano le due società che garantiscono iscrizione a ruolo, esazione e riscossione all’Agenzia delle Entrate, elemento che certo non depone a favore della fiducia da parte dei cittadini, dopo che sono state già autorizzate ad accedere ai conti correnti e ai dati della fatturazione elettronica, con possibilità di profilazione praticamente illimitate, nonostante le prescrizioni della già citata Autorità Garante per la protezione dei dati personali.
Altro elemento che non depone a favore della trasparenza è la necessità di comunicare la propria positività anche al Centro di Controllo istituito presso ogni Autorità Sanitaria regionale, al fine di procedere all’inserimento del codice sull’applicazione Immuni e generare l’alert nei confronti dei soggetti venuti a contatto con l’interessato, sia per la possibilità di associare l’utenza telefonica del chiamante alla positività (ma non sarebbe un problema, dato che l’Autorità Sanitaria è già in possesso di quei dati) sia per la possibilità di tracciare la ricezione del codice da parte dei dispositivi destinatari della comunicazione, che inevitabilmente lasciano in rete informazioni di natura tecnica indispensabili per il collegamento alla rete (radio o cablata).
Inoltre, una delle perplessità sollevate sul metodo di tracciamento è quella che gli smartphone dotati di sistema operativo realizzato dai produttori (Google e Apple) e, nel caso di Google, personalizzato dagli operatori telefonici, trattandosi di codice opensource, potrebbero autonomamente rilevare l’inserimento dei dati nell’applicazione e utilizzarli, associandoli agli utenti, attraverso l’interazione con altre applicazioni presenti sul dispositivo. Da ultimo, infine, l’uso dell’applicazione costringe l’utente a tenere sempre attivo il Bluetooth, per consentire il rilevamento dei dispositivi vicini, e, per quanto riguarda il sistema operativo Android, la localizzazione tramite GPS, sebbene gli sviluppatori di Immuni garantiscano di non utilizzarla.
Dubbi e criticità: i restroscena della app
Come giustamente rilevato da uno dei maggiori esperti del settore, l’avvocato Andrea Lisi5, in diversi interventi sull’argomento, le questioni appena accennate pongono rilevanti problemi di sicurezza delle informazioni e, in particolare, dei dati personali dei soggetti interessati.
Perplessità che iniziano con la selezione delle società cui affidare lo sviluppo dell’applicazione, che ha visto prevalere su centri di ricerca accreditati un’azienda che si occupa di applicazioni ludiche e gestione di big data, con un bando di partecipazione quantomeno generico e impreciso, senza decidere sin dall’inizio su obbligatorietà o volontarietà nell’utilizzo dell’app e senza una rigorosa scelta tra centralizzazione o decentralizzazione nella gestione dei dati trattati.
Accesso riservato
Questo contenuto è riservato agli abbonati alla rivista.
Se sei abbonato, altrimenti abbonati
Sei abbonato a Sicurezza ma non hai mai effettuato l’accesso al sito?
Registrandoti qui con la stessa e-mail utilizzata per la sottoscrizione del tuo abbonamento, entro 24 ore verrai abilitato automaticamente alla consultazione di tutti i contenuti riservati agli abbonati.
Per qualsiasi problema scrivi a abbonamenti@newbusinessmedia.it