App Immuni: tecnologia vs. privacy?

App Immuni: tecnologia vs. privacy?

di Francesco Laviola*

 

 

Non per forza è vero che la tecnologia riduce la privacy. Anzi, a volte può aumentarla, rendendo i processi più sicuri ed efficienti[1]. E questo vale anche per l’app Immuni della Bending Spoons spa[2].

Come altri Paesi, l’Italia ha deciso di sviluppare una tecnologia contact tracing, che potrebbe rilevarsi cruciale nella strategia post-emergenza. Infatti, allorché operativo, tale sistema permetterebbe di identificare individui potenzialmente infetti prima che emergano sintomi, impedendo la trasmissione successiva del virus.

 

Pertanto, il Governo, con l’art. 6 del d.l. n. 28/2020 ha istituito un’apposita piattaforma per gestire un sistema di allerta, basato sull’app Immuni. L’installazione di quest’app sarà esclusivamente su base volontaria. Se prevarrà il senso di corresponsabilità dei cittadini e vi sarà un’adeguata diffusione nella società, sarà possibile condurre un’azione di contrasto del virus molto efficace.

Al momento, infatti, gli standard di tracciamento manuale dei contatti forniti dall’ECDC[3] indicano per ogni operazione un tempo medio di 12 ore e tre unità di personale specializzato, con un tasso di successo insufficiente a identificare tutti i contatti del soggetto che ha contratto il virus. Per giunta, tali contatti vengono rintracciati tramite telefono, sulla base delle indicazioni del soggetto, con scarse garanzie per la privacy.

 

L’uso di una tecnologia di contact tracing potrebbe, invece, garantire un tracciamento più efficiente e rispettoso delle libertà fondamentali dei cittadini, in primis della privacy. Tra l’altro, il Governo ha ricevuto parere favorevole del Garante Privacy, che si è espresso con il provvedimento n. 79/2020, ritenendo Immuni compatibile con le norme del GDPR[4] e del Codice privacy.

L’app, infatti, non utilizzerà il GPS, ma il segnale bluetooth low energy registrato dalle app degli altri utenti con le quali i soggetti entreranno in contatto. Quando un utente verrà diagnosticato contagiato dal Covid-19 il suo dispositivo trasmetterà i dati al server, che provvederà a informare gli altri utenti di essere a rischio contagio.

 

Il sistema sarà gestito dal Ministero della Salute e il codice sorgente dell’app sarà open source: chiunque potrà studiarlo. Inoltre, i dati trattati saranno “pseudonimizzati”, conformemente al GDPR, e l’app non accederà ai contatti del telefono, non chiederà il numero e non manderà SMS.

Si deve sottolineare, in particolar modo, che l’installazione da parte degli utenti sarà volontaria e il suo funzionamento cesserà appena terminata la fase di emergenza (e comunque non oltre il 31 dicembre 2021), con cancellazione dei dati generati durante il funzionamento.

 

Del resto, la garanzia di sicurezza e di rispetto dei diritti fondamentali è assicurata anche dal fatto che il processo di selezione dell’app è stato svolto dal Gruppo di lavoro data-driven per l’emergenza Covid-19 del Ministero per l’Innovazione e la Digitalizzazione, composto da 74 esperti, scelti in collaborazione con il Ministero della Salute, l’ISS[5] e l’OMS[6], sulla base dei pareri di AGCM, AGCOM e Garante privacy, rispettando le prescrizioni della Commissione Europea e dell’EDPB[7] in materia di lotta alla pandemia e privacy.

 

Teniamo presente che la nostra società ormai dipende dalle ICT[8]: siamo ormai degli esseri che, integrati con i dispositivi, vivono una vita mista di reale e digitale[9]. Non si può, quindi, pensare di impedire la circolazione dei dati.

 

Per questo, già il compianto Prof. Rodotà evidenziava che privacy non significa più soltanto esclusione degli altri dalla propria sfera privata, ma soprattutto controllo dei dati che circolano, con funzioni antidiscriminatorie e protettive della dignità umana[10]. La tecnologia, infatti, è una cosa buona: l’importante è mantenere un approccio human-centered[11], coerente con il principio personalistico di cui all’art. 2 Cost.[12], che rappresenta l’architrave del sistema costituzionale italiano[13], per cui la persona con i suoi valori e bisogni viene prima dello Stato, che esiste per servirla[14].

 

 

*dottorando di ricerca in Diritto pubblico, Università degli Studi Roma Tre

franz.laviola@gmail.com

 

 

 

[1] Tratta il tema delle PETs (Privacy Enhancing Technologies) U. Gasser, Recoding privacy law: reflections on the future relationship among law, technology, and privacy, in Harvard Law Review, volume 130, 2016, p. 65; di tecnologie in grado di aumentare la frizione informazionale ragiona anche L. Floridi, La quarta rivoluzione. Come l’infosfera sta trasformando il mondo, Milano, 2017.

[2] Contratto stipulato previa ordinanza n. 10/2020 del Commissario straordinario del Governo per l’attuazione ed il coordinamento delle misure per il contenimento ed il contrasto dell’emergenza epidemiologica Covid-19, d’intesa con il Segretario Generale della Presidenza del Consiglio dei Ministri. Si tenga presente che la società Bending Spoons ha concesso la licenza d’uso aperta, gratuita, perpetua e irrevocabile del codice sorgente e di tutte le componenti dell’applicazione.

[3] European Center for Disease Prevention and Control

[4] General Data Protection Regulation, cioè Regolamento UE n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

[5] Istituto Superiore di Sanità

[6] Organizzazione Mondiale della Sanità

[7] European Data Protection Board, organismo europeo formato dai rappresentanti delle Autorità Garanti della privacy nazionali e dell’European Data Protection Supervisor. Cfr. a riguardo le Guidelines adottate in materia dall’EDPB.

[8] Information and Communication Technologies

[9] L. Floridi, op. cit., il quale introduce i concetti di onlife, e di inforg.

[10] S. Rodotà, Repertorio di fine secolo, Bari, 1999, pp. 207-210, il quale già all’epoca descriveva un’evoluzione secondo quattro tendenze: “1) dal diritto d’esser lasciato solo al diritto di mantenere il controllo sulle informazioni che mi riguardano; 2) dalla privacy al diritto all’autodeterminazione informativa; 3) dalla privacy alla non discriminazione; 4) dalla segretezza al controllo

[11] Per un approccio human centrered alla tecnologia vedi P. Benanti, Algor-Ethics: Developing a Language for a Human-Centered AI | TEDxRoma in https://www.paolobenanti.com/post/2018/07/17/algor-ethics-tedxroma.

[12] Sul rapportro tra privacy e principio personalistico vedi C. Colapietro, Il diritto alla protezione dei dati personali in un sistema delle fonti multilivello. Il Regolamento UE 2016/679 parametro di legittimità della complessiva normativa sulla privacy, Napoli, 2018

[13] Si ricordi Giorgio La Pira. Cfr. Atti dell’Assemblea Costituente, Assemblea generale, 5 marzo 1947, pp. 313 ss.

[14] Così Giuseppe Dossetti. Cfr. Cfr. Atti dell’Assemblea Costituente, I Sottocommissione, 10 settembre 1946, pp. 323 ss.