il commento

Immuni, l’analisi del decreto. La differenza tra codice non identificabile o pseudo casuale da consentire ricostruzioni dell’identità

di Prof. Michelangelo Di Stefano, Istituto Italiano di Criminologia degli Studi di Vibo Valentia |

Gli utenti saranno identificati da un stringa di codice anonimo che non consentirà vicendevolmente ad ogni utente di conoscere le generalità dell’altro. Un codice, quindi, casuale (non identificabile) o, in alternativa, pseudo casuale (c.d. “a possibilità ragionata”), così da consentire, a posteriori, possibili ricostruzioni di identità, eccezionali, attraverso specifiche chiavi di decrittatura, per esigenze correlate alla ratio sanitaria del tracing.

All’indomani dell’ordinanza del Commissario straordinario Domenico Arcuri sulla App IMMUNI [qui il testo], si è approdati alla scelta governativa di adottare un sistema di contact tracing con l’utilizzo di una applicazione open source, fruibile attraverso gli stores per la telefonia cellulare, basata su tecnologia BLE (Bluetooth Low Energy).

Sin dalle prime battute era sorta la questione riguardante il sistema PEPP-PT, acronimo di Pan-European Privacy-Preserving Proximity Tracing, che rimanda a una organizzazione no profit di scienziati ed esperti interessati a fornire indicazioni per la realizzazione di applicativi di tracciamento inter-funzionanti a livello europeo.

In questo scenario il problema di base era risultato l’allocazione dei dati sensibili che, nel progetto IMMUNI, avrebbe inizialmente rimandato ad una scelta centralizzata, con la canalizzazione di un flusso di dati su un server centrale, ciò a differenza dei due colossi Apple e Google propensi ad una soluzione decentralizzata, mantenendo l’allocazione dei dati sul device del singolo che ha aderito al sistema di tracing.

Una scelta, quest’ultima, nota con l’acronimo DP-3T, cioè Decentralised Privacy-Preserving Proximity Tracing, a cui in questi giorni ha aderito anche la Germania e, de plano, anche l’Italia.

Nell’insieme, l’architettura del sistema di tracciamento istituzionale italiano dovrebbe trovare orientamento, anche, attraverso le linee guida che, il giorno prima della scelta del partner di governo, erano state diramate da Bruxelles con l’adozione del “Mobile applications to support contact tracing in the EU’s fight against COVID-19. Common EU Toolbox for Member States”,  [leggi qui].

Il codice sorgente di IMMUNI può essere riutilizzato, a posteriori, per esigenze diverse di altre pubbliche amministrazioni o soggetti giuridici?

Accanto a queste premesse tecniche, una considerazione, forse, poco esplorata questa volta da una focale giuridica, riguarda l’eventualità che il codice sorgente di IMMUNI possa essere riutilizzato, a posteriori, per esigenze diverse di altre pubbliche amministrazioni o soggetti giuridici; ciò in quanto – secondo il lessico riportato dal Commissario nel provvedimento di scelta del partner –  si è in presenza di  una “licenza d’uso aperta, gratuita e perpetua” che rimanderebbe agli artt. 68 e 69 del Codice dell’Amministrazione Digitale (C.A.D.), sull’acquisizione di un software e sul suo riuso.

Questo è il contenuto della norma: 

Le pubbliche amministrazioni –recita l’art. 69 – che siano titolari di soluzioni e programmi informatici realizzati su specifiche indicazioni del committente pubblico, hanno l’obbligo di rendere disponibile il relativo codice sorgente, completo della documentazione e rilasciato in repertorio pubblico sotto licenza aperta, in uso gratuito ad altre pubbliche amministrazioni o ai soggetti giuridici che intendano adattarli alle proprie esigenze, salvo motivate ragioni di ordine e sicurezza pubblica, difesa nazionale e consultazioni elettorali.”.

Cosa prevede il decreto-legge sull’app Immuni

Fatta questa breve precisazione, la ratio del legislatore, nell’adozione del decreto appena approvato, prende spunto dai principi generali su cui si ispira. Il diritto alla protezione dei dati di carattere personale, non quale prerogativa assoluta, bensì considerata la sua funzione sociale,  contemperata con altri diritti fondamentali, in ossequio al principio di proporzionalità, rispettando tutti gli altri diritti fondamentali compendiati dai vari trattati e riassunti dall’art. 4 del Regolamento UE 679/2016.

Un provvedimento, quindi, rivolto a disciplinare il contact tracing “al solo fine di rintracciare le persone che siano entrate in contatto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di profilassi nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19”,  con l’istituzione, presso il Ministero della Salute, di  “una piattaforma per il tracciamento dei contatti stretti tra i soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile”.

“Infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o società a totale partecipazione pubblica

Si tratta di una architettura di gestione e trattamento del dato che sarà “realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o società a totale partecipazione pubblica”.

Un lessico che chiarisce la collocazione delle infrastrutture di appoggio del sistema, che saranno localizzate sul territorio italiano (quindi non, come originariamente paventato dalla critica, con sistemi di cloud o serverstranieri), con la precisazione che le stesse infrastrutture potrebbero essere, anche, gestite da società a totale partecipazione statale; un chiaro inciso nell’ottica dell’affidamento della gestione del progetto infrastrutturale attraverso i server della società SOGEI, come già emerso nelle prime anticipazioni di stampa (nella prima stesura di bozza era stato, invece, fatto cenno a società “in controllo pubblico[1]).

Come avviene tecnicamente il contact tracing?

Dalla lettura del testo, con la precisazione che non vi saranno geolocalizzazioni di sorta,  si rileva un incerto distinguo riguardante l’anonimità dei contenuti sensibili processati dall’ App, indicando che i dati di prossimità dei dispositivi saranno trattati in modo che la loro provenienza sia resa anonima oppure, ove ciò non sia possibile, pseudonimizzata; si palesa, cioè, il dubbio se sia possibile de-identificare in modo irreversibile il soggetto o se questi possa essere, invece, pseudonimizzato con un codice che potrebbe, successivamente, portare alla sue re-identificazione (artt. 4 e ss. Regolamento UE 679/2016).

In buona sostanza da un punto di vista della privacy cambierà poco: gli utenti che si sono incrociati con un device di prossimità, “lanciando” con la connessione bluetooth il proprio alert di positività al virus, saranno identificati da un stringa di codice anonimo che non consentirà vicendevolmente ad ogni  utente di conoscere le generalità dell’altro.

Un codice, quindi, casuale (non identificabile) o, in alternativa, pseudo casuale (c.d. “a possibilità ragionata”), così da consentire, a posteriori, possibili ricostruzioni di identità, eccezionali, attraverso specifiche chiavi di decrittatura, per esigenze correlate alla ratio sanitaria del tracing.

Una precisazione riguarda la fruibilità successiva dei contenuti di analisi e raccolta dell’applicazione che, in altra fase, potranno essere elaborati – seppure in forma anonima o diffusi in modo tale che non sia possibile risalire alla singola persona che ha fornito le informazioni (forma aggregata) – per altre finalità non strettamente correlate alla presente esigenza, quali i fini statistici o di ricerca scientifica.

Del resto, il dispositivo approvato recita che: “i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento”, così lasciando chiaramente intendere che i contenuti di raccolta siano, anche, presenti in altri contenitori di allocazione per eventuali, future, finalità.

La tematica affrontata dal decreto-legge nella parte dedicata al “Tracciamento dei contatti” (art. 6) indica, poi, i vari soggetti che, con il Ministero della Salute, si coordineranno per le relative attività connesse al tracciamento e, in particolare:

  • i soggetti operanti nel Servizio nazionale della protezione civile (ex artt. 4 e 13 del Dlgs 2 gennaio 2018, n. 1);
  • i soggetti attuatori dei provvedimenti emessi dal Capo del Dipartimento della protezione civile (Ordinanza n. 630 del 3 febbraio 2020, art. 1);
  • l’Istituto superiore di sanità e le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale.

Rimane, sotto l’egida dello stesso Ministero della Salute l’adozione di ogni misura atta a presidiare  diritti e libertà degli utenti che aderiranno al progetto di tracing, di concerto con l’Ufficio del Garante per la protezione dei dati personali (art. 36, par. 5, Regolamento UE 2016/679).

Il parere del Garante privacy

Sul tema il Garante privacy Antonello Soro, con provvedimento del 29 aprile [qui il testo], ha ritenuto che il sistema di contact tracing adottato dalle autorità italiane non appaia in contrasto con i principi di protezione dei dati personali in quanto:

a) è previsto da una norma di legge sufficientemente dettagliata quanto ad articolazione del trattamento, tipologia di dati raccolti, garanzie accordate agli interessati, temporaneità della misura;

b) si fonda sull’adesione volontaria dell’interessato, escludendo ogni forma di condizionamento della determinazione individuale e, quindi, di disparità di trattamento basate sulla scelta di consentire o meno il tracciamento;

c) è preordinato al perseguimento di fini di interesse pubblico indicati con sufficiente determinatezza ed escludendo il trattamento secondario dei dati così raccolti per fini diversi, salva la possibilità (nei termini generali previsti dal Regolamento) di utilizzo, in forma anonima o aggregata, a fini statistici o di ricerca scientifica;

d) appare conforme ai principi di minimizzazione e ai criteri di privacy by design e by default, nella misura in cui prevede la raccolta dei soli dati di prossimità dei dispositivi, il  loro trattamento in forma pseudonima, sempre che non sia possibile in forma del tutto anonima, escludendo il ricorso  a dati di geolocalizzazione e limitandone la conservazione al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine;

e) si conforma al principio di trasparenza nei confronti dell’interessato, garantendone la dovuta informazione;

f) ammette l’ulteriore precisazione delle caratteristiche di dettaglio del trattamento e delle misure di sicurezza adeguate da parte del Ministero della salute ai sensi del comma 2 e, per quanto concerne il vaglio di questa Autorità, mediante l’atto di cui all’art. 2-quinquiesdecies del Codice. In tali sedi potranno, inoltre, essere previste le modalità di intervento umano sulla decisione algoritmica, così da soddisfare anche i requisiti di cui all’articolo 22, par. 2, lett. b) – del Regolamento.

La seconda parte del decreto-legge

La seconda parte del dispositivo di decreto-legge appena emanato disciplina ancora, accanto a quanto anticipato, le procedure di consenso informato, di resilienza dei relativi sistemi e servizi di trattamento del dato, di conservazione, di allocazione, di fruibilità successiva e distruzione dei dati al termine dell’esigenza, rimandando a quelle cautele fissate dall’Ufficio del Garante, e che dovranno essere curate dal Ministero della salute assicurando che: 

  1. gli utenti ricevano, prima dell’attivazione dell’applicazione, ai sensi degli articoli 13 e 14 del Regolamento, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati;
  • per impostazione predefinita, in conformità all’articolo 25 del Regolamento, i dati personali raccolti dall’applicazione di cui al comma 1 siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, individuati secondo criteri stabiliti dal Ministero della salute e specificati nell’ambito delle misure di cui al presente comma del presente comma, nonché ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti;
  • il trattamento effettuato per il tracciamento dei contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati; è esclusa in ogni caso la geolocalizzazione dei singoli utenti;
  • siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazionedegli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento;
  • i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della salute e specificato nell’ambito delle misure di cui al presente comma; i dati sono cancellati in modo automatico alla scadenza del termine.
  • i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento (UE) 2016/679 possano essere esercitati anche con modalità semplificate.
  • I dati raccolti attraverso l’applicazione di cui al comma 1 non possono essere utilizzati per finalità diverse da quella di cui al medesimo comma 1, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini statistici o di ricerca scientifica.
  • Il mancato utilizzo dell’applicazione di cui al comma 1 non comporta alcuna limitazione o conseguenza in ordine all’esercizio dei diritti fondamentali dei soggetti interessati ed è assicurato il rispetto del principio di parità di trattamento.
  • La piattaforma di cui al comma 1 è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o in controllo pubblico
  • L’utilizzo dell’applicazione e della piattaforma, nonché ogni trattamento di dati personali effettuato ai sensi al presente articolo sono interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi.

Apple e Google non hanno rilasciato il codice sorgente dell’iniziativa anti Covid-19

Nel concludere, si rimanda a un precedente approfondimento [leggi qui] sulle criticità di IMMUNI,  collegate all’utilizzo di interfacce di programmazione delle applicazioni (API) per l’interoperabilità dell’app tra dispositivi Android e iOSove era stato fatto cenno alla necessità di ulteriori analisi e discussioni, sulla c.d. Rolling Proximity, segnalate dalle linee guida comunitarie sui tools per le esigenze COVID 19 diramate il 15 aprile scorso e ove era stato, tra l’altro,  precisato che:

“[…] Il 10 aprile 2020, Google e Apple hanno annunciato congiuntamente un’iniziativa relativa all’uso del protocollo Bluetooth per supportare le app di tracciamento dei contatti.  Il protocollo supporterebbe l’uso di Bluetooth LE (Low Energy) per il rilevamento di prossimità di telefoni cellulari nelle vicinanze e per il meccanismo di scambio di dati che avvisa i partecipanti di una possibile esposizione a qualcuno con chi sono stati recentemente in contatto e chi è stato successivamente positivamente diagnosticato il virus.

 (Per implementare il protocollo, a maggio, intendono lanciare interfacce di programmazione delle applicazioni (API) e tecnologia a livello di sistema operativo che consente l’interoperabilità tra dispositivi Android e iOS per tale app che supportano le app di tracciamento dei contatti e che sono ufficialmente approvate dalle autorità sanitarie pubbliche. Come un secondo passo, nei prossimi mesi, intendono integrare questa funzionalità nelle piattaforme sottostanti dei loro sistemi operativi, a cui gli utenti del dispositivo potrebbero optare. Le società hanno promesso di fornire ulteriori informazioni ma non si sono impegnata a rilasciare il codice sorgente. Il protocollo esclude l’elaborazione di tutti i dati relativi alla posizione, a meno che l’utente non acceda, applica la “Rolling Proximity”, identificativi “che impediscono l’identificazione dell’utente, elabora identificatori di prossimità ottenuti da altri dispositivi esclusivamente sul dispositivo, consente solo agli utenti di decidere se contribuire alla traccia dei contatti condivisione delle chiavi di diagnosi con il “Server di diagnosi” se diagnosticato con COVID-19, con conseguente avviso a altri utenti. Le corrispondenze locali per il dispositivo non vengono rivelate al server. I dettagli e le implicazioni di questo annuncio dal punto di vista medico e della privacy richiede ulteriori analisi e discussioni) […]”.


[1] Le Sezioni riunite in sede di controllo della Corte dei Conti, con deliberazione n. 11 del 20/06/2019 sulla definizione di “società a controllo pubblico”, hanno chiarito che rientrano in tale categoria anche le società partecipate da più Amministrazioni pubbliche, ciascuna delle quali titolare di diritti di voto inferiori al 50% di quelli complessivi, le quali siano complessivamente in grado di disporre nell’assemblea ordinaria dei voti previsti dall’art. 2359 del Codice civile.

Leggi le altre notizie sull’home page di Key4biz