Funzionamento e privacy dell’app Immuni
L’app Immuni è il sistema tecnologico che consente il contact tracing. Come annuncia la definizione inglese, si tratta di un sistema studiato per ricostruire le attività svolte, i luoghi frequentati e le persone con cui il contagiato ha avuto a che fare prima che il contagio stesso si manifestasse o fosse accertato.
La finalità specifica è quella di individuare e allertare tutti coloro entrati in contatto con la persona risultata positiva e tutelarne la salute.
Il garante della Privacy ha ritenuto che un sistema di tracciamento dei contatti in grado di limitare fortemente i diritti individuali dovesse essere disciplinato da una norma di rango primario e non da un atto governativo. L’app Immuni, così, è stata regolamentata dal Decreto Legge 30 aprile 2020, n. 28.
Posta la finalità della tutela della salute pubblica, il Decreto ha tracciato i limiti ed il funzionamento dell’applicazione, con particolare riguardo ai profili della tutela della privacy. Se è vero che vi sono tuttora dubbi sull’effettiva tutela della privacy in ordine al contact tracing, soprattutto in merito alle specifiche tecniche, è anche vero che molte delle attività che si svolgono quotidianamente sul web e tramite le applicazioni tecnologiche comportano un’invasione della sfera individuale di cui non solo si è ignari, ma per cui si presta volontariamente il consenso.
Si pensi all’uso dei cookies ogni volta si apre una pagina internet o all’utilizzo del sistema di geolocalizzazione: quando ci si registra in ogni luogo, tramite piattaforme social, si stanno cedendo dei dati sui propri gusti o interessi; quando si seguono le indicazioni dei navigatori per raggiungere un determinato luogo, si incorre nel rischio di rivelare dati particolari, quali la patologia se si va in un determinato ospedale o l’orientamento sessuale o l’appartenenza politica.
Il sistema di tracciamento dei contatti Immuni, invece, risulta avere regolamentazione e garanzie specifiche.
In primo luogo, l’app si basa su un sistema decentralizzato ovvero sull’uso del bluetooth-low energy. Ciò vuol dire che i dati di prossimità saranno elaborati e conservati soltanto sui dispositivi telefonici degli utilizzatori e non saranno trasmessi ad un server centrale. È, poi, espressamente esclusa la geolocalizzazione dell’utente, ovvero quella tramite il GPS.
Si garantisce, così, una maggiore tutela della privacy, atteso che le informazioni relative ai contatti restano sul dispositivo dell’utente per un tempo limitato ossia finché questi non risultasse positivo al virus. Per altro questa impostazione assicura una migliore fruibilità e funzionalità dell’App, sviluppata per i sistemi operativi iOS e Android.
Immuni è imperniata sul consenso e sulla volontarietà. Non sono previste sanzioni o disparità di trattamento per chi decida di non installarla.
Sul punto, il Comitato parlamentare per la sicurezza della Repubblica, con la relazione del 13 maggio sui profili di sicurezza del sistema di allerta Covid-19, ha evidenziato la necessità di un intervento per evitare provvedimenti più restrittivi, sia da parte di soggetti pubblici che privati, volti a selezionare l’accesso alle persone a determinate zone, luoghi o locali sulla base dell’utilizzo o del mancato utilizzo dell’applicazione.
Gli utenti riceveranno un’informativa riportante informazioni chiare e trasparenti sulle finalità, le operazioni di trattamento, il tempo di conservazione dei dati non oltre il 31 dicembre, secondo quanto statuito dal Decreto stesso e sulle tecniche di pseudonimizzazione utilizzate.
I dati di prossimità dei dispositivi, infatti,dovranno essere resi anonimi o, se ciò non fosse possibile,dovranno essere pseudonimizzati. La pseudonimizzazione consiste nel trattare i dati personali in modo tale che questi non possano essere più attribuiti all’interessato specifico senza utilizzare informazioni aggiuntive; tali informazioni, però, devono essere conservate separatamente e sottoposte a specifiche misure tecniche.
Relativamente al funzionamento pratico, il modello tecnologico consente di rilevare i contatti tra i dispositivi attraverso uno scambio di codici alfanumerici criptati. Perché ciò avvenga è necessario che i soggetti interessati abbiano l’app installata, il bluetooth attivato e la distanza tra essi sia inferiore a due metri. È necessario anche che questo “contatto” permanga per un periodo di tempo prefissato.
Le informazioni scambiate tra i dispositivi degli utenti vengono memorizzate solo sui cellulari degli interessati, per essere trasmesse ad un server centrale solo in caso di contagio e dopo aver acquisito un nuovo consenso dell’interessato.
A quel punto il server, gestito pubblicamente, invierà una notifica push a tutti i soggetti la cui app Immuni ha scambiato dati con quella del contagiato.
Ciò che succede da questo momento in poi, non è dato sapere. Fatto è che il contact tracing tecnologico risulterà inutile se non vi sarà la possibilità effettiva di eseguire i tamponi diagnostici al potenziale contagiato.