di Pier Vittorio Romano
“Immuni” è il nome dell’app scelta dal Governo italiano per tracciare i movimenti delle persone nell’emergenza Coronavirus a partire dalla “fase 2”, il cosiddetto “ contacttracing”. Il Commissario straordinario Domenico Arcuri ha firmato lo scorso 16 aprile l’ordinanza con cui dispone di procedere “ alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contacttracing e di appalto di servizio gratuito con la società Bending Spoons Spa” che è stata scelta tra le 319 proposte giunte al ministero dell’Innovazione.
La scelta da parte del Governo dell’app Immuni destinata ai sistemi iOS e Android è sviluppata dalla Bending Spoons in partnership con Jakala e Centro Medico Santagostino e poggia su tre motivazioni ufficiali, ovvero sulla capacità di “ contribuire tempestivamente all’azione di contrasto del virus”, sulla “ conformità al modello europeo delineato dal Consorzio PEPP-PT” adottato in una prima fase di sviluppo ma già in discussione con l’utilizzo di un modello più decentralizzato, secondo quanto richiesto da Apple-Google, e sulle “ garanzie per il rispetto della privacy” escludendo, a priori, un’invasiva soluzione basata su GPS non in linea con le linee guida europee.
La società Bending Spoons Spa è una PMI innovativa italiana, con sede a Milano, fondata nel 2013 a Copenaghen ed è tornata successivamente in Italia, paese d’origine di 4 dei suoi 5 fondatori. Ha manifestato la volontà di concedere “ il codice sorgente e tutte le componenti applicative” del sistema di “ contanttracing” sviluppate in licenza d’uso gratuita e perpetua, sia al Commissario per l’emergenza, sia al Consiglio deiMinistri.Attualmente è il primo sviluppatore di app in Europa e può vantare oltre 200 milioni di download. L’app potrà essere scaricata, probabilmente da fine maggio, su base volontaria e gratuitamente, dal Play storeAndroid e dall’Apple store per dispositivi iOS. In questa fase l’applicazione non sarà quindi disponibile, su Windows Phone, su featurephone e sui telefoni Android sprovvisti del play store. Verrà inizialmente sperimentata in alcune Regioni pilota ed sembra anche nelle sedi di Maranello e Modena della Ferrari, nell’ambito del progetto Back on Track, per poi essere adottata a livello nazionale. Immuni avrà due importanti funzionalità. La prima sarà destinata al vero e proprio “contacttracing” attraverso la tecnologia BLE ( Bluetooth Low Energy) ed una seconda dedicata alla creazione di un “ diario clinico” in cui l’utente potrà annotare in tempo reale i dati relativi alle proprie condizioni di salute, come la presenza di sintomi compatibili con il Covid 19 quali febbre, perdita dell’olfatto, il loro aggravamento ed altro.
I dati dell’utente verranno mantenuti sul proprio dispositivo che gli assegnerà un ID temporaneo, che varierà spesso e verrà scambiato tramite Bluetooth con i dispositivi vicini. Pertanto i cellulari conserveranno in memoria i dati, in forma di codici anonimi crittografati, degli altri cellulari con cui sono entrati in contatto. Associati a questi codici ci saranno dei metadati, quali la durata dell’”incontro” tra i dispositivi, la forza del segnale percepito, eccetera, che entreranno in gioco nella valutazione, fatta direttamente in locale dal singolo cellulare, del “ rischio contagio”. Quando uno dei soggetti che ha scaricato l’app risulterà positivo al virus, gli operatori sanitari gli forniranno un “codice di autorizzazione” generato da una diversa app con il quale il paziente aggiornerà un server centrale ministeriale con il proprio codice anonimo. I cellulari che avranno installato Immuni prenderanno dal server i codici dei contagiati e se l’app riconoscerà tra i codici nella propria memoria un codice di un contagiato, visualizzerà la notifica. La trasmissione dei dati, secondo lo standard del progetto PEPP-PT, è cifrata e firmata digitalmente per garantire la massima sicurezza e riservatezza in questa fase di “uscita” del dato dal cellulare del singolo utente. Ad oggi il Governo non ha ancora fatto sapere, probabilmente verrà deciso a breve, quale sarà questo server; sostiene però che dovrà essere un’infrastruttura pubblica italiana.
Il ministero della Salute ha escluso che ci possano essere forme di imposizione di fatto sull’installazione dell’app, obbligandone l’uso, ad esempio, per poter superare le limitazioni di mobilità della fase 2, ma risulta ovvio che l’efficacia si baserà sul numero di persone che la installeranno ed utilizzeranno, si stima almeno il 60%, ed è probabile l’utilizzo verrà incentivato, ad esempio con la partecipazione a delle lotterie.
Sulla carta sembrerebbe che tutto possa funzionare ma occorre superare alcune difficoltà. La prima è sicuramente l’approccio della nuova app agli utenti anziani, che si sono rivelati a maggior rischio, poco avvezzi alle moderne tecnologie. Per questi, quindi, occorrerà ipotizzare la realizzazione di un dispositivo ad hoc, ad esempio un braccialetto. Appena 8 giorni prima della firma dell’ordinanza da parte del Commissario straordinario Domenico Arcuri, che disponeva la stipula del contratto con la Bending Spoons Spaper sullo sviluppo dell’app di tracciamento, l’8 aprile 2020 la Commissione Europea aveva sostenuto la necessità di seguire un approccio comune e coordinato tra gli Stati membri sullo sviluppo di tali applicazioni, onde garantire il rispetto dei diritti fondamentali dei cittadini europei.
Secondo la Commissione Europea, le app sviluppate a sostegno del contrasto della diffusione del virus, devono avere le seguenti caratteristiche: capacità di dare informazioni precise e aggiornate sulla diffusione del virus; avere delle funzioni di controllo dei sintomi; dare la possibilità di avvisare tempestivamente le persone che si sono trovate in prossimità di un contagiato al fine di adottare le misure precauzionali in tempi rapidi; offrire un canale di comunicazione tra pazienti e medici nelle situazioni di autoisolamento.
L’app Immuni, scelta dal Governo italiano, sembra presentare queste funzionalità poiché si caratterizza per la funzionalità di tracciamento dei contatti con tecnologia Bluetooth e per la presenza di un “diario clinico” dell’utente, idoneo a rendere più immediato e accessibile agli operatori sanitari, attraverso la consultazione dei dati contenuti nell’appinstallata sul cellulare dell’utente, al momento non si conoscono le modalità, del quadro clinico di un soggetto, nel caso in cui si rendesse necessario esaminarlo. In questa sezionesarà cura dell’utente inserire e tenere aggiornate tutte le informazioni personali più rilevanti sul proprio stato di salute, riportando anche eventuali sintomi di contagio. Riguardo il bilanciamento tra il fondamentale diritto alla privacy e l’interesse collettivo alla salute pubblica, sorgono fondate questioni e preoccupazionida parte dei cittadini che impongono la predisposizione, fin da subito, delle necessarie precauzioni soprattutto in ordine a coloro che tratteranno i dati raccolti dalle app installate sui cellulari degli utenti. È sicuro che tali dati siano anonimi e che non verranno utilizzati dai privati per scopi estranei a quelli per cui sono raccolti? Il sistema è dotato di meccanismi di sicurezza adeguati tali da evitare la diffusione o l’accesso non autorizzato? È garantito che siano raccolti solo i dati necessari per conseguire la finalità di prevenire la diffusione del virus secondo il principio di necessità e proporzionalità?
Si ritiene che lo stato di emergenza provocato dalla pandemia da Covid-19 sia tale da far ritenere applicabili quelle deroghe che permettono di limitare alcuni diritti individuali in nome dell’interesse collettivo alla salute pubblica. In tale ottica è stato ristretto il diritto alla libera circolazione previsto dall’art. 16 Costituzione e quello alla libertà di riunione previsto dal successivo articolo 17. E’ stato possibile derogare anche al divieto di trattamento dei dati sanitari previsto dall’art. 9 GDPR ( Reg. UE 679/2016), che al paragrafo 2, lett. i, prevede il caso in cui il trattamento è necessario “ per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria”. L’articolo 23 GDPR, però, richiede che la limitazione dei diritti previsti dal Regolamento, anche se per motivi di interesse pubblico, possa avvenire soltanto nel rispetto dei principi generali stabiliti a tutela dei diritti stessi, in modo da evitare che l’essenza del diritto sia completamente annullata.
Pertanto è fondamentale che venga emanata una Legge nazionale che definisca chiaramente e specificatamente gli obiettivi e le finalità perseguite in tal senso e, nello stesso tempo, garantisca il rispetto delle disposizioni normative vigenti in materia di protezione dei dati personali, nonché i principi della protezione dei dati. Tale disposto normativo, in particolare, dovrà garantire l’esercizio dei diritti previsti dal GDPR agli artt. 15 ss. quali il diritto di accesso, diritto di cancellazione, diritto alla portabilità dei dati etc. e l’adozione di adeguate misure di sicurezza dei dati (art. 32 GDPR), onde evitare la divulgazione e l’accesso non autorizzato, la fissazione dei limiti per la conservazione dei dati che potranno essere conservati solo per il tempo necessario per il contrasto del virus e per le finalità ad esso connesse e, infine, l’importante rispetto dei principi di cui all’art. 5 GDPR, quali liceità, correttezza, trasparenza, minimizzazione, esattezza, integrità e riservatezza. In sostanza, quindi, occorre ancora attendere l’emanazione di una legge nazionale che disciplini l’utilizzo di un’applicazione mobile di questo genere e stabilisca in modo specifico, determinato ed incontrovertibile gli obiettivi e le modalità per il suo funzionamento, prevedendo specifiche ed adeguate misure rivolte a tutelare i diritti e le libertà di tutti i cittadini.
