analisi

Le 10 cose che farà IMMUNI. A chi affidiamo i dati personali degli italiani?

di Andrea Lisi (Avvocato, Coordinatore Studio Legale Lisi e Presidente ANORC Professioni) e Fulvio Sarzana di Sant’Ippolito (Avvocato, professore Straordinario nella Facoltà di Giurisprudenza dell'Università Telematica Internazionale Uninettuno) |

Mentre ci si affanna - non si comprende bene il perché - a riferire ciò che Immuni non sarà, noi vorremmo capire invece i dettagli di ciò che sarà e alcune, prime rivelazioni ci appaiono inquietanti.

Intendiamoci subito, nel resto d’Europa e quindi in Italia, questa è la settimana del GDPR, non di Immuni, come qualcuno ha “pomposamente” affermato. Avremmo preferito festeggiare in tutta tranquillità i 2 anni della piena esecutività del Regolamento europeo 679/2016, piuttosto che parlare del “pasticcio” governativo legato all’app Immuni.

La novità è che tra qualche giorno potremo andare negli store di Apple e Google e scaricare l’app.  Tralasciando il fatto che i tentativi di contenimento digitale dell’epidemia tramite contact tracing sono già miseramente naufragati un po’ ovunque (dall’Australia a Singapore, in Islanda, in India, per non parlare della Malesia, della Norvegia e così via), stiamo in realtà per assistere al lancio di un progetto che nelle sue pieghe nasconde un trattamento dei dati sopranazionale, destinato a uno scopo che potrebbe andare ben oltre il presunto contenimento del coronavirus. Questo è ciò che si eclissa dietro alle innumerevoli, a volte contraddittorie, dichiarazioni istituzionali e ai veri e propri storytelling diretti a un unico risultato, quello di far scaricare l’altrimenti inutile app, solo in apparenza di titolarità governativa.

Mentre ci si affanna  ̶  non si comprende bene il perché  ̶  a riferire ciò che Immuni non sarà, noi vorremmo capire invece i dettagli di ciò che sarà e alcune, prime rivelazioni ci appaiono inquietanti:

Su Android richiede l’attivazione della geolocalizzazione

  1. Immuni richiederà l’attivazione della geolocalizzazione a livello di sistema operativo. È un fatto, questo, che ci ha svelato – prima che venisse diffuso il codice sorgente della soluzione – direttamente Google, attore scomodo e ingombrante dell’intero progetto.

Ovvio che ci venga data rassicurazione che “per le notifiche di esposizione al COVID-19 non viene usata la posizione del dispositivo”. Però l’app (che verrà affiancata dalla nuova versione) adottata in Nord e Sud Dakota, dove il governatore ha aderito con entusiasmo al nuovo sistema di exposure notification di Google-Apple, è stata “pizzicata” a inviare i dati alle applicazioni foursquare e agli stessi server di Google. Se il buongiorno si vede dal mattino…

Inoltre, sappiamo che la tecnologia bluetooth su cui si fonda l’app a detta dei tecnici  non si è dimostrata affidabile in termini di sicurezza informatica in molte occasioni. Sembrerebbe che con uno “sniffer” – teoricamente – potrebbe essere tracciato chiunque sia infetto, posizionando dei sensori sul territorio (non solo da parte dello Stato quindi).

Peraltro anche il Ministero della difesa consiglia attenzione nell’utilizzo di questa tecnologia.

  1. Immuni archivierà i dati pseudonimizzati dei contatti positivi su un server centrale. Stando alle poche informazioni a disposizione (considerato che i dettagli tecnici documentali non sono stati in trasparenza resi disponibili sui siti istituzionali del governo e dei ministeri coinvolti) è stato scelto un modello “misto” che indirizzerà verso il server i dati di coloro positivi ai test.  Inoltre, già in fase di attivazione l’app richiederà un insieme di dati che potrebbero, almeno potenzialmente, ritenersi indirettamente identificativi del titolare dello smartphone. 
  2. Immuni opererà tecniche di pseudonimizzazione e cifratura sui dati personali trattati. Quindi si tratta di tecniche non irreversibili di anonimizzazione. 
  3. Immuni si poggia sulle API di Google e Apple. Di fatto l’app Immuni si è rivelata come una piccola appendice di un’operazione di portata sopranazionale messa in atto da due grandi player che vivono di big data. Le politiche di realizzazione e di trattamento purtroppo sono solo in parte verificabili direttamente dallo Stato italiano. Il resto, tutto il resto viene deciso da loro. 

I due Big hanno anche chiarito nelle loro faq che l’evoluzione auspicabile è quella dell’interazione diretta tra i loro sistemi e quelli statali, adombrando un futuro senza l’intermediazione delle app. Inoltre, appare chiaro dalla documentazione rilasciata dagli stessi Big, che gli Stati dovranno sottoporre le soluzioni alla loro approvazione.  Pensate un po’: sono gli Stati che devono sottoporre i loro sistemi ai “fornitori” e non viceversa. Si comprende forse il perché ci sia stato tra Gran Bretagna, Francia e i due giganti un dibattito molto serrato e che i due Paesi, in omaggio al principio della sovranità dei dati dei cittadini, abbiano deciso di andare per conto loro.

  1. Immuni si inserisce in uno scenario internazionale che viene condiviso in modo ambiguo dal governo italiano, con un’operazione che si basa su una presunta volontarietà, senza che ci siano basi solide che permettano di prendere decisioni consapevoli circa la sua effettiva utilità. Anzi, riferire ossessivamente che non è obbligatoria, ma volontaria e poi specificare che chi la utilizza potrà contribuire positivamente alla lotta al virus, crea indubbie pressioni psicologiche comprensibili solo se la sua efficacia fosse verificabile e inserita in una strategia governativa chiara e trasparente e non in uno scenario sovranazionale così ambiguo.
  2. Immuni, secondo un approfondito studio dei ricercatori di Oxford, è efficace solo se usata in modo consapevole da almeno il 60-65% della popolazione italiana. Perché sia efficace poi dovrà combinarsi con un’azione a tappeto di verifica dello stato di salute dei suoi utilizzatori in modo affidabile e verificabile. Altrimenti l’app è ulteriormente inutile, come ha recentemente dichiarato la Direttrice generale dell’Istituto Spallanzani di Roma, Marta Branca, (che qualcosa di contenimento di epidemia dovrebbe sapere). Questi dati, poi, devono essere protetti e integri in modo che non siano manipolabili considerata la loro delicatezza. 
    Chi dovesse sostenere il contrario dovrebbe come regola indicare le sue fonti scientifiche. Giova ricordare in proposito che l’app non deve essere solo scaricata per essere efficace, ma deve essere anche utilizzata e l’esperienza di Singapore ci insegna che solo il 50% degli utenti che avevano scaricato l’app ha poi effettivamente provveduto ad attivarla…, per non parlare dell’Australia che, a fronte del download di circa il 20% della popolazione, ha visto in circa un mese una sola notifica di esposizione. Dati che dovrebbero far riflettere, anche alla luce dell’utilizzo di soldi pubblici che riguarderà la piattaforma, a termini del DL 28 del 2020.
  3. Il codice di Immuni è stato finalmente rilasciato (solo in parte) in questi ultimi giorni. In realtà mancano i sorgenti del server (cd. sorgente del backend), quindi abbiamo ancora – a due mesi dalla selezione – dei dati incompleti sulla soluzione adottata. Infine, come sappiamo, l’app si poggia interamente su un’infrastruttura altrui, di provider privati, che mettono a disposizione le loro API per l’utilizzo della tecnologia bluetooth low energy…
  4. Immuni, quindi, potenzialmente è in grado di generare un database molto ampio di dati di carattere sanitario che possono avere un valore economico elevatissimo.
  5. Immuni ci mette nelle mani di player privati che ormai hanno il potere di determinare decisioni anche di carattere politico di Stati nazionali. Di fatto è in atto un gioco più grande di noi dove il bottino è la possibile costruzione di un sovrastato tecnocratico in una presunta “evoluzione” della nostra democrazia.
  6. Infine, Immuni arriva oggi in una fase in cui il virus per altri motivi si sta indebolendo, quale urgenza c’è e perché in modo ostinato il governo italiano ci chiede di attivare quest’app?

Per approfondire:

Leggi le altre notizie sull’home page di Key4biz