Occorre dire subito che sulla base di una Direttiva Europea tutti i Paesi europei, in occasione della diffusione del Covid-19, hanno “elaborato” un’applicazione nazionale di tracciamento. Il Ministero della Salute italiano ha introdotto un sistema di tracciamento digitale dei contatti denominato “Sistema di allerta Covid-19” istituito all’art. 6 del decreto legge 30 aprile 2020, n 28, come sistema complementare a quello già in uso dal Sistema Sanitario Nazionale.
Così il nostro Paese in data 29 giugno 2020 ha pubblicato in Gazzetta Ufficiale n. 162 la Legge 25 giugno 2020, n. 70, di conversione del Dl. 30 aprile 2020, n. 28, recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di Giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del Sistema di allerta ‘Covid-19’ “
L’articolo 6 istituisce una Piattaforma unica nazionale per la gestione del Sistema di allerta dei soggetti che abbiano installato – in via volontaria – l’ applicazione sui propri smartphone. La finalità è quella di istituire un meccanismo che consenta di avvisare coloro che sono stati a stretto contatto con soggetti risultati positivi, così che si possano mettere in atto le opportune misure anti-contagio (es. auto-quarantena) e in maniera tale che sia agevolata l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti.
Per l’utilizzo dell’applicazione non resta che rimandare a quanto ampiamente riportato nell’articolo pubblicato da www.grey-panthers.it e rintracciabile a questo link :“La nuova App Immuni: tutto quello che bisogna sapere” , pubblicato il il 13 Agosto 2020.
Quello che qui interessa è sapere quanto sia legittimo questo tipo di applicazione e soprattutto se sia un’applicazione sicura.
Ora che l’app “Immuni” viene usata ogni giorno da un numero sempre crescente di utenti, viene naturale, infatti, chiedersi se siamo al sicuro da attacchi dannosi per la privacy e e per le informazioni elettroniche contenute nel nostro “parco tecnologico” (computer, server, dispositivi mobili, sistemi elettronici, reti e dati) Stiamo parlando della cosiddetta Cyber Security.
E’ evidente che per il funzionamento dell’App sia necessario accedere ad alcuni dati personali, motivo per il quale il Ministero della Salute, titolare dei dati raccolti, ha inviato al Garante della privacy una nota contenente la valutazione d’impatto sulla protezione dei dati in modo poi da essere autorizzato ad avviare il Sistema . A seguito della ricezione e della valutazione della nota ministeriale, il Garante con provvedimento 1 giugno 2020 ha dato parere positivo concedendo l’autorizzazione necessaria al Ministero della Salute per avviare il Sistema di allerta Covid-19, ritenendo legittimo e proporzionato il trattamento dei dati personali effettuato dal sistema di allerta dell’App Immuni. L’applicazione in altre parole è risultata secondo il Garante rispettosa, da un alto, dei diritti e delle libertà dei soggetti interessati e, dall’altro, dei criteri di trasparenza , correttezza e sicurezza nel trattamento dei dati .
Sappiamo che l’app per motivi di privacy utilizza la tecnologia Bluetooth e ha la finalità di avvertire gli utenti che hanno avuto un’esposizione al virus, anche se asintomatici.
Sostanzialmente Immuni intercetta attraverso il Bluetooth i dispositivi aperti con il medesimo protocollo e, se il tempo di prossimità e la distanza sono adeguati, traccia il contatto.
Per fare in modo che l’app funzioni è necessario quindi che il Bluetooth del cellulare sia sempre acceso, soprattutto in luoghi di potenziale assembramento (mezzi di trasporto, centri commerciali e luoghi affollati in genere). Per consentire la tracciabilità dell’APP, dispositivi sconosciuti e app casuali potranno tracciare gli smartphone e tentare di mettersi in comunicazione all’insaputa dell’utente e al di fuori del suo controllo in quanto il Bluetooth sarà sempre acceso, attivo e rintracciabile. E’ qui che sorge il potenziale pericolo collegato all’utilizzo dell’app.
Il comma 2 dell’articolo in questione dispone che il Ministero della Salute adotti misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali, assicurando che:
a) gli utenti ricevano, prima dell’attivazione della App, informazioni complete e trasparenti, così che siano loro chiari le finalità della stessa e i meccanismi che regolano le operazioni di trattamento, le tecniche di pseudonimizzazione utilizzate e i tempi di conservazione dei dati;
b) per impostazione predefinita, i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari per raggiungere le finalità sopra enunciate;
c) il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi o pseudonimizzati (è esclusa in ogni caso la geolocalizzazione dei singoli utenti);
d) siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate a evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento;
e) i dati relativi ai contatti stretti siano conservati, anche nei telefoni cellulari degli utenti stessi, soltanto per il lasso di tempo necessario al trattamento e che siano automaticamente rimossi una volta superato tale termine;
f) i diritti degli interessati di cui agli artt. da 15 a 22 del Regolamento (UE) 2016/679 possano essere esercitati anche con modalità semplificate.
Il comma 3 specifica che il mancato utilizzo della “App Immuni” non comporterà “alcuna conseguenza pregiudizievole ed è assicurato il rispetto del Principio di parità di trattamento”
Il comma 6 precisa che l’utilizzo dell’Applicazione e della Piattaforma, nonché ogni trattamento di dati personali, si interromperanno alla data di cessazione dello stato di emergenza disposto con Delibera del Consiglio dei Ministri 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020. Entro la stessa data tutti i dati personali trattati dovranno essere cancellati o resi definitivamente anonimi.
E in merito alla privacy?
“L’app non raccoglie e non è in grado di ottenere alcun dato identificativo dell’utente, quali nome, cognome, data di nascita, indirizzo, numero di telefono o indirizzo email. Immuni riesce quindi a determinare che un contatto fra due utenti è avvenuto, ma non chi siano effettivamente i due utenti o dove si siano incontrati”.
L’app non accede alla posizione gps, né alla rubrica dei contatti, né alle email, né agli sms, né al calendario, né ai settaggi del telefono, né al registro delle chiamare, né ai file salvati, né alla fotocamera, né al microfono, né ai dettagli della propria connessione internet, né a eventuali sensori integrati nel telefono, né ad alcuna informazione che possa rappresentare un rischio per la privacy.
Il codice dell’app ha un sistema di monitoraggio ? La risposta è no; gli unici dati inviati all’esterno a un server sono quelli relativi alla regione ed alla provincia di provenienza che si inseriscono per attivare l’app, il dato relativo all’attivazione o meno del Bluetooth e il dato relativo all’indirizzo IP della connessione internet . I dati sui contatti ravvicinati avuti sono in forma di codici e rimangono anonimi nel nostro smartphone.
Dove invia i dati Immuni? l’unico server al quale Immuni invia i dati sui contatti avuti (in caso di positività e se l’utente vuole) è ubicato in Italia ed è gestito dalla controllata statale Sogei Società Generale d’Informatica S.p.A., come specificato nella documentazione dell’app.
Quindi nessun dato viene inviato a server di terze parti. Tutte le comunicazioni al server esterno sono criptate, cioè rese non collegabili al relativo utente, con protocollo considerato uno tra i più sicuri per la crittografia. Immuni inoltre garantisce che nella comunicazione che si instaura tra device e server non ci può essere alcuna intromissione di finti dati da parte di hacker, in quanto il “certificate pinning” è in grado di filtrare i dati in modo che passino solo quelli autentici. impedisce poi l’inserimento da parte di hacker nelle comunicazioni c’è la garanzia
C’è la possibilità che qualcuno entri in possesso del codice identificativo del nostro telefono? La risposta anche in questo caso è NO perché i codici identificativi che uno smartphone scambia in caso di vicinanza prolungata con un altro smartphone cambiano ogni 12 minuti. Questo è un accorgimento che rende più sicura la privacy perché riduce ulteriormente la possibilità di collegare in qualche modo questi codici ai relativi utenti. Quindi, anche entrando in possesso in qualche modo dei codici che i telefoni si scambiano, non c’è modo di risalire agli utenti a cui appartengono, appunto perché questi codici cambiano continuamente. Gli identificativi, inoltre, vengono generati da Immuni tramite una relativa chiave che, a sua volta, viene cambiata giornalmente e che non viene condivisa all’esterno.
Giunti al termine, non si può che dire che di fronte dell’aumento dei contagi degli ultimi giorni, “Immuni”, se scaricata almeno dal 60% della popolazione nazionale, possa essere d’aiuto nella gestione dell’epidemia da Covid 19 e salvare vite umane. Nessun alibi per non farlo, nessuna ingiustificata resistenza!