Immuni? A prova di privacy, non è lo stesso per le altre app regionali

Immuni? A prova di privacy, lo stabilisce il Garante che, però, non può esprimersi allo stesso modo sulle altre app regionali di tracciamento dei contatti. La tutela dei dati personali è solo l’ennesima tappa del percorso dell’emergenza coronavirus in cui Governo e Regioni continuano a viaggiare su due binari paralleli e fanno fatica a incontrarsi su un punto comune.

E in questo caso per i cittadini c’è un rischio tangibile: la difficoltà di avere garanzie certe sul percorso dei dati messi a disposizione.

Un pericolo che, in realtà, come sottolinea il presidente dell’Autorità Garante per la protezione dei dati personali Antonello Soro va ben oltre le app regionali lanciate per per monitorare la diffusione del coronavirus.

Immuni? A prova di privacy, non è lo stesso per le altre app regionali

Prima di approdare sugli smartphone di oltre due milioni di italiani in pochi giorni, l’app Immuni è passata sotto la lente di ingrandimento del Garante per la privacy che ha proposto una serie di correttivi.

Il via libera dell’Autorità Garante per la tutela dei dati personali è arrivato con il provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 - App Immuni del 1° giugno 2020.

Nella notizia pubblicata sul portale si legge:

“Sulla base della valutazione d’impatto trasmessa dal Ministero, il trattamento di dati personali effettuato nell’ambito del Sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati, che attenuano i rischi che potrebbero derivare da trattamento”.

Ma quali sono le misure messe in atto per far sì che l’app Immuni sia a prova di privacy?

Solo per fare alcuni esempi:

• gli utenti sono informati in maniera adeguata sul funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio;
• hanno la possibilità di disattivare temporaneamente l’app attraverso una funzione facilmente accessibile nella schermata principale;
• i dati raccolti attraverso il sistema di allerta non possono essere trattati per finalità non previste dalla norma che istituisce l’app.

E aspetto fondamentale per la tutela dei dati personali:

“Dovrà anche essere garantita la trasparenza del trattamento a fini statistico-epidemiologici dei dati raccolti e individuate modalità adeguate a proteggerli, evitando ogni forma di riassociazione a soggetti identificabili e adottando idonee misure di sicurezza e tecniche di anonimizzazione.

Dovranno essere introdotte misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati”.

Immuni? A prova di privacy. Poche garanzie per le altre app regionali

Nessun esame, proposta di correttivi e successivo via libera, invece, per le app regionali di tracciamento dei contatti con l’obiettivo di monitorare il rischio di contagio da coronavirus nei territori.

Questa differenza dimostra che, anche sulla privacy, il Governo centrale e le Regioni si muovono a velocità diverse, senza una direzione univoca e senza la condivisione di un programma comune.

Nell’intervista rilasciata al quotidiano Repubblica.it il 5 giugno 2020 e pubblicata sul portale dell’Autortià, il Garante per la privacy Antonello Soro dichiara:

“Nelle prime settimane sotto la spinta emotiva, regioni, comuni e imprese hanno promesso il ricorso a un app salvifica usando come base giuridica l’ordinanza della Protezione civile recepita poi con decreto legge. Per alcuni è rimasto un progetto, altri ne hanno fatto uno strumento. Ma il ricorso a sistemi autogestiti e autoprodotti anche da società non italiane che hanno offerto tecnologie e servizi è avvenuto con poche garanzie”.

IL GDPR, il regolamento comunitario a tutela della privacy, ha introdotto il concetto
accountability, responsabilizzazione, ovvero titolari e responsabili sono chiamati a dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

“Chi mette in piedi sistemi di tracciamento deve fare una valutazione di impatto che il Garante valuterà, anche nel prossimo futuro. Se la valutazione non è stata fatta su misura dei rischi, interverremo”.

Ovviamente, il momento in cui si interviene non è un aspetto irrilevante. Un conto è farlo in fase progettuale, diverso è farlo quando l’applicazione è già popolata di dati.

Le app regionali prima di arrivare agli utenti hanno seguito strade diverse che, stando alle parole del Garante, non possono garantire lo stesso rispetto della privacy. Si crea una babele digitale in cui, come spesso accade, sono i privati a dare le loro regole, ognuno le sue.

E il paradosso, in questo caso, è che la spinta arriva proprio dalle Istituzioni.

La volontarietà, la gestione pubblica, la controllabilità e la trasparenza, la pseudonimizzazione sono alcuni dei fattori che, nel caso di Immuni, riescono a tenere in equilibrio lo scopo e lo strumento.

Nessuna certezza sul percorso dei dati condivisi per arginare il rischio di contagio a livello territoriale: nell’utilizzo di questi strumenti soltanto apparentemente la comunicazione è tra cittadino e istituzioni, in mezzo ci sono i gestori privati delle piattaforme e la mole di informazioni di cui entrano in possesso.

“Una forte regolazione del digitale sia in Italia che in Europa” è quello di cui si ha bisogno, non solo per l’emergenza coronavirus, secondo Antonello Soro.

Il caso di Immuni e delle altre app di tracciamento diffuse dalle regioni portano l’attenzione tre temi importanti e collegati: più il digitale assorbe la vita quotidiana e l’identità dei cittadini, più si fa impellente la necessità di colmare le lacune di regole a cui riferirsi, più diventa forte il rischio che ognuno colmi il vuoto a modo suo, a partire dalle stesse istituzioni.