l'appunto

L’app coronavirus italiana sarà inutile: ecco l’alternativa migliore

Non tratterà dati anonimi, anche se userà solo l’ID Bluetooh. Se sarà solo su base volontaria, sarà una soluzione inutile e quindi soldi sprecati. Se sarà invece un’app obbligatoria allora il sistema sarà efficace, anche se rischioso per i nostri diritti e le nostre libertà. Ma sarebbe la soluzione migliore

09 Apr 2020
Luca Bolognini

avvocato e Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei dati


C’è qualcosa di sinistramente magnifico e progressivo nelle dichiarazioni – anche di provenienza governativa – che si leggono sui giornali e sui social in questi giorni, a proposito della app di tracciamento digitale anti-COVID19. Su questo proprio ieri la ministra all’innovazione Paola Pisano ha conferito alla Camera dando i primi dettagli ufficiali dell’app che si vorrebbe fare: volontaria, a gestione pubblica, rispettosa della privacy.

Ci possiamo fidare dell’app di Stato coronavirus?

Sembra che i giuristi, privacyisti, costituzionalisti, ecc. possano finalmente stare tranquilli. La soluzione tecnologica che sarebbe in procinto d’essere selezionata e che verrà attivata prossimamente, pare, farà leva solo sugli ID Bluetooth degli smartphone; a base volontaria significa che non la imporrà lo Stato a tutti, ma se la installerà solo chi vorrà sul proprio telefono personale.

Meraviglie delle meraviglie, si sostiene che i dati trattati saranno anonimi, poiché l’ID Bluetooth del singolo smartphone è solo un codice, e non identifica il nome e cognome della persona che lo possiede. In sostanza, l’app avvierebbe un continuo meccanismo di scanning degli altri dispositivi nei paraggi – beninteso, sempre che anch’essi abbiano l’app e il Bluetooth attivati – e annoterebbe sui singoli smartphone, in locale e non sul server, il cosiddetto “diario dei contatti”, cioè l’elenco di tutti gli smartphone (i loro ID Bluetooth) dei quali siamo stati in prossimità nei 15 giorni precedenti.

Il server (statale? privato? chissà) conoscerà l’ID Bluetooth di tutti gli smartphone che attiveranno la app, ma raccoglierà informazioni sui “diari dei contatti” solo nel caso in cui uno degli utilizzatori risulti positivo al coronavirus: a quel punto, si scatenerebbe una raccolta del “diario” del positivo e si avviserebbero tutti i soggetti che sono stati vicino a lui/lei nei 15 giorni precedenti.

Le alternative

Bene. Io credo che serva mettere alcuni “puntini sulle i”, per far capire come i timori e i dubbi dei giuristi non vengano affatto meno, pur in caso di sistema volontario e minimizzante come quello ultra-sinteticamente riportato sopra. Insomma, non raccontateci – come si suol dire – la “favola dell’orso” perché non ci crediamo.

Prima, però, una premessa: pur da “giurista dei dati”, io non sono affatto contrario all’utilizzo di tracciamenti digitali per il contrasto al COVID19, nell’emergenza. Anzi, appartengo alla schiera dei sostenitori di questa strada in salita. Dico solo, da settimane, che se le cose si fanno, le si deve fare bene; “farle bene” per me significa garantire il massimo dell’efficacia e dell’utilità, nel rispetto del principio di necessità, e insieme il massimo della tutela bilanciata tra diritti fondamentali ed interessi pubblici essenziali (es. vita, salute pubblica, privacy, protezione dei dati, democrazia, libertà).

Quindi fra le seguenti tre opzioni possibili (anche se potrebbero essere molte di più, viva la fantasia):

  1. un sistema “all’acqua di rose” che si rivela inefficace o inutile per eccessivo timore di ledere privacy e altri diritti e libertà delle persone;
  2. un sistema super-invasivo ed efficiente/efficace, ma che schiaccia sproporzionatamente diritti e libertà personali;
  3. un sistema super-invasivo ed efficiente/efficace, ma controbilanciato da un parallelo e forte innalzamento delle garanzie costituzionali a protezione delle persone (ad esempio, con una normativa di copertura che preveda salvaguardie, possibilità di ricorso diretto alla Corte Costituzionale da parte del Garante Privacy e altri accorgimenti di monitoraggio e cessazione progressiva del suo utilizzo allo sfumare della necessità emergenziale)

io preferisco, paradossalmente, la numero 3. Meglio provarci seriamente, a sconfiggere questa maledetta pandemia, e farlo in fretta, ma con visione e responsabilità degne di un’alta e nobile classe politica. Peraltro, l’opzione numero 1 – “all’acqua di rose” – potrebbe violare a monte il principio di ragionevolezza e di necessità, per la sua stessa inutilità (come se una norma indicasse ai cittadini di girare per strada col ventaglio settecentesco per farsi aria), e si potrebbe facilmente trasformare in un monstrum come la numero 2, con l’aggravante di essersi mascherata da innocua misura volontaria e anonimizzata. Un comportamento simile a quello del coronavirus quando si introduce nella cellula, ingannandone le difese.

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

Perché l’app italiana convince poco

Ed eccoci ai “puntini sulle i”, relativamente alla soluzione che parrebbe in pole position sul tavolo del Governo, selezionata dal Ministro dell’Innovazione con il suo “parlamentino” di 74 esperti:

  • questa app non tratterebbe affatto “dati anonimi”. Il codice ID Bluetooth consente infatti di eseguire il “singling out” (l’individuazione univoca) del dispositivo tra tutti gli altri sulla faccia dell’Italia e dell’Europa. Basta la ragionevole capacità di individuare il soggetto, mettendo insieme elementi sufficienti ad isolarlo dalla massa degli altri, per ottenerne l’identificabilità. L’identificazione che rende un dato “personale” e “privato”, e quindi protetto dagli articoli 7 e 8 della Carta dei Diritti Fondamentali della UE, non corrisponde alla possibilità formalistica di sapere il nome e cognome anagrafico del soggetto, ma anche solo alla possibilità di individuarlo nel pagliaio del resto del mondo. Insomma, i dati utilizzati da questa app e dai server ad essa legati sarebbero solo “pseudonimizzati” ma ancora, a pieno titolo, “personali”; se a) è vero, e lo è, chi parla di un’app che assicurerà anonimato e tratterà solo dati anonimi o è incompetente (e non conosce abbastanza la materia) o è in malafede (e vuole passarci oro per ottone);
  • l’ID Bluetooth è un dato contenuto negli/captato dagli smartphone, e come tale ricade – oltre che nella disciplina europea in materia di protezione dei dati personali – anche nel cosiddetto ambito “e-Privacy”, che protegge la vita privata e i dati di utenti e contraenti nell’utilizzo di servizi di comunicazione elettronica. Un po’ come i cookie o il fingerprinting. Questo vuol dire che una deroga normativa nazionale, che ammettesse l’uso di questi dati senza consenso degli interessati, dovrebbe rispettare la riserva di legge e tenere conto sia degli artt. 5, 9.2.i) e 23 del GDPR sia dell’art. 15 della Direttiva e-Privacy;
  • la mera volontarietà nell’installazione di questa app, auspicata anche dal Presidente del Garante Privacy nella sua pur ottima audizione parlamentare dell’8 aprile 2020, lascia però spiazzati: un sistema di questo tipo, per funzionare con efficacia, dovrebbe essere installato e attivato da almeno il 60% della popolazione. Come si pensa di raggiungere questo risultato, se si lascia il tutto alla libera volontà dei singoli di essere o non essere tracciati? Se ci aspettiamo che gli italiani scarichino e attivino di loro spontanea volontà questo tracciamento digitale, che potrà essere usato contro di loro in mille modi (pensate anche solo ad investigazioni per illeciti vari, figurarsi se non faranno tesoro di certe tracce), siamo ingenui;
  • in aggiunta a d): ma se l’adozione del sistema deve avvenire su base volontaria del singolo cittadino, allora “a cosa ci serve” una normativa di copertura di emergenza per sanità pubblica che lo preveda? A poco, forse ad assicurare il migliore rispetto dei principi ex art. 5 GDPR ma, per il resto, le basi giuridiche non sarebbero più quelle – alternative al consenso – dell’interesse pubblico essenziale e di sanità pubblica (art. 9.2 lettere g) e i) del GDPR) quanto, invece, i consensi espliciti delle persone ex art. 9.2.a) GDPR. O c’è chi sta elucubrando su un astruso combinato tra l’esecuzione di servizi richiesti dall’interessato ex art. 6.1.b) e rilevante interesse pubblico ex art. 9.2.g) GDPR? Sarebbe un pasticcio giuridico. Con buona pace della prontezza d’intervento che richiede l’emergenza, per di più;
  • morale della favola: o questa app la inietti imperativamente, ex lege, negli smartphone degli italiani, o li obblighi de facto ad attivarla perché altrimenti non concedi loro di uscire (addio autocertificazione) o di fruire di servizi vari in fase 2: vuoi prendere l’autobus? Scannerizza il QR code e registrati con questa app, se no non Sali a bordo. Vuoi entrare in un locale? Idem. E via così. Ma questa opzione “spintanea” si tradurrebbe nell’abbandono del concetto di volontarietà e facoltatività, ovviamente, e presupporrebbe una normativa di copertura per gestire la fase 2 dell’emergenza, come accade in altri Paesi, che imponesse la realizzazione di checkpoint per limitare le possibilità di movimento e di fruizione di servizi da parte delle persone sul territorio italiano. Ci stanno pensando, al Governo? O stanno facendo la app, a monte, senza pensare ai percorsi controllati, a valle?
  • se l’app sarà obbligatoria o comunque la sua attivazione sarà obbligata dal fatto che altrimenti non esci, non fai, non usi servizi pubblici, non accedi ai locali, allora perché definirla volontaria? Un po’ come con i dati anonimi che anonimi non possono essere, perché il tracciamento esclude in re ipsa l’anonimizzazione. Che rabbia quando si dice che una bomba è una palla, se è una bomba. Se, invece, l’app sarà davvero solo volontaria e facoltativa, beh, allora avremo scherzato. Problemi privacy quasi irrilevanti, efficacia circa zero, sistema superfluo e tanto rumore per nulla;
  • ipotizziamo, comunque, che l’app si diffonda velocemente –più del virus, si spera – e sia adottata da almeno il 60% della popolazione (per obbligo diretto, indiretto o per miracolo, fate voi): ecco, in quel caso il sistema potrebbe funzionare ed essere molto efficace. Ma, allora, esso diverrebbe estremamente invasivo della nostra privacy. L’accumulo di dati privatissimi e personalissimi sarebbe enorme, e questi dati confluirebbero nelle mani del potere pubblico e dei soggetti privati che ci collaborano allo scopo. Perché dico questo? Dopotutto sarebbero solo gli ID Bluetooth mentre i “diari dei contatti” resterebbero in locale sui rispettivi smartphone (fatta salva l’eccezionalità del riscontro di un contagio), grande conquista by design della Task Force – se non per l’anonimizzazione – almeno per la minimizzazione dei dati… peccato che non sia così. Riflettiamo: se per ogni contagiato scatterà la memorizzazione su server dell’informazione (COVID19-POSITIVO) e del suo “diario dei contatti”, cosa sarà necessario fare? Avvisare tutti coloro i quali risultano essere stati – negli ultimi 15 giorni – a contatto con il contagiato. A che distanza? Per quanto tempo? Facendo cosa? Che criteri algoritmici si useranno e con quali dati aggiuntivi? Saranno in ogni caso potenzialmente moltissimi soggetti, i cui diari saranno a loro volta oggetto di elaborazione, a maggior ragione per il fatto che – avvenendo il contagio anche tra asintomatici – tutti i contatti dei contatti negli ultimi 15 giorni dovranno essere avvisati e “gestiti”. E così via, con un effetto domino di “contagio app” nell’upload massivo dei “diari dei contatti” da far impallidire e umiliare il pur efficientissimo sistema di propagazione biologica del COVID19;
  • oltre all’avviso ai soggetti a rischio, essere registrati come tali dal server cosa comporterà? Oggi, se dichiari all’autorità di salute pubblica di avere avuto contatti sospetti con un contagiato, ti mettono obbligatoriamente in quarantena per 14 giorni. Domani saranno messi in quarantena per 15 giorni tutti i contatti e i contatti dei contatti e i contatti dei contatti dei contatti (e così via fino al quindicesimo giorno precedente e all’“ennesimo grado di separazione/prossimità”)? Qual è la strategia di contenimento epidemiologico, a valle? Sarà una strategia “all’acqua di rose” anch’essa, e vanificherà l’utilità della pur estremamente invasiva soluzione tecnologica adottata a monte?

In conclusione

Potrei continuare parlando di cybersecurity e del rischio di cracking di questi sistemi, ma c’è già molta materia da cuocere, non mi dilungo oltre. Avrete capito che non mi sembra serio accettare il racconto di “favole dell’orso istituzionali”, quando si tratta di questioni così delicate come la salvezza dall’epidemia, da un lato, e la tutela dei nostri diritti e delle nostre libertà fondamentali e inviolabili, dall’altro. Non saranno dati anonimi, anche se useranno solo l’ID Bluetooth (ma l’algoritmo, vedrete, avrà fame di altri dati per funzionare bene). Se sarà solo su base volontaria, sarà una soluzione inutile (e come tale, anche i soldi pubblici spesi saranno uno spreco).  Se sarà invece un’app obbligatoria ex lege o imposta indirettamente con limitazioni alle uscite e alle fruizioni di servizi essenziali utilizzabili solo con essa, allora il sistema diverrà estremamente efficace, utile, ma invasivo e rischioso per i nostri diritti e le nostre libertà. E torneranno tutte valide e attuali le paure e le ammonizioni dei giuristi delle scorse settimane. Gli ID Bluetooth e gli altri dati tecnici combinati insieme con i “diari dei contatti”, massivamente estesi a numerosi gradi di separazione/prossimità, saranno delicatissimi e suscettibili di elaborazione per discriminazioni (tu sì/tu no) civili, sociali, economiche, politiche impressionanti, se mal gestiti.

Meglio una soluzione invasiva ma efficace

Se tutto quanto sopra è vero, ecco perché sostengo l’opzione numero 3. Prendiamo il toro per le corna, dunque, ma facciamolo davvero, e non chiediamo ai tecnici, agli esperti, nemmeno alle autorità indipendenti, di fare il mestiere della più alta e nobile politica, ossia del Governo e del legislatore. Queste misure, se potranno servire, saranno così pericolose da richiedere un importante e rapidissimo intervento normativo, forse anche di rango costituzionale. Sono capaci, il nostro Governo e il nostro Parlamento, di fare le cose bene, sul serio, in fretta ma con tutte le salvaguardie di legge che impediscano all’eccezione emergenziale di diventare una regola antidemocratica? O serve un’altra Task Force?

@RIPRODUZIONE RISERVATA

Articolo 1 di 4