L’App Immuni è scaricabile dagli stores di Apple e Google.
A precederla, prima ancora che le aspettative sulla sua possibile efficacia per combattere la pandemia, sono stati i dubbi sulla possibile violazione della privacy.
Dubbi che adesso dovrebbero essere risolti, almeno in teoria, dato che il Garante della Privacy, dopo avere esaminato la DPI (Data Protection Impact Analysis) dell’app, ovvero il documento per eccellenza che analizza i rischi connessi all’uso di un qualsiasi strumento, ha stabilito che Immuni è conforme al GDPR.
Sembra infatti che Immuni non chieda alcun dato personale, non conosca il nostro nome, cognome, indirizzo email, numero di telefono, posizione geografica, niente.
A chi la scarica viene assegnato un codice che tramite bluetooth, viene inviato alle altre app che incontra entro un certo raggio, memorizzando a sua volta i codici che provengono dalle stesse.
Quando una persona che ha installato Immuni contrae il Covid-19, l’app stessa invia un messaggio a tutte le app che ha incrociato negli ultimi giorni, le quali faranno apparire sul telefonino degli anonimi destinatari un messaggio che li inviterà a recarsi dal proprio medico per accertamenti.
Nessuno saprà chi sono le persone incontrate da chi ha contratto il Covid-19 e queste saranno libere di recarsi dal medico oppure no, anche se ovviamente è buona regola che lo facciano.
Ovviamente il sistema verifica la vicinanza tra i cellulari ma non può sapere molto più di questo.
Così se due telefoni si trovassero vicini, magari perché appoggiati su uno stesso mobile, senza che i due proprietari si siano mai avvicinati, in caso di contagio di uno dei due sarà inviato un messaggio di allerta all’altro ma potrebbe non esserci stato un reale pericolo. E viceversa, l’app non invierà alcun messaggio alle persone incontrate dal soggetto contagiato quando non aveva il telefono con sé.
Questo è un limite tecnico oggettivo ed il Garante si è preoccupato che gli utenti ne siano adeguatamente informati:
«l’Autorità ha chiesto che gli utenti siano informati adeguatamente in ordine al funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio. E dovranno essere portati a conoscenza del fatto che il sistema potrebbe generare notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio.»
«Dovranno essere adottate misure tecniche e organizzative per mitigare i rischi derivanti da falsi positivi. Particolare attenzione dovrà essere dedicata all’informativa e al messaggio di allerta, tenendo altresì conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultra quattordicenni».
I dati raccolti potranno poi essere trattati solo per le finalità previste dalla normativa che istituisce l’app ed il Garante precisa che:
«Dovrà anche essere garantita la trasparenza del trattamento a fini statistico-epidemiologici dei dati raccolti e individuate modalità adeguate a proteggerli, evitando ogni forma di riassociazione a soggetti identificabili e adottando idonee misure di sicurezza e tecniche di anonimizzazione. Dovranno essere introdotte misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati».
Ricordiamo che vi è trattamento di dati anche in caso di pseudonimizzazione, ovvero quando si rende anonimo un dato ma si possa in qualche modo, anche indiretto e con diversi passaggi, risalire al soggetto a cui il dato appartiene.
Nel caso di Immuni sembra invece vi sia una vera anoninimizzazione ed il Garante, non a caso, raccomanda che venga evitata la possibilità che il dato anonimo sia associato a soggetti identificabili, garantendo in tal modo l’anonimato pieno.
È vero che l’app non potrà non tenere traccia degli indirizzi IP che, come sappiamo, sono strumenti validissimi per l’identificazione delle persone fisiche, ma il Garante ha precisato che:
«La conservazione degli indirizzi Ip dei cellulari dovrà essere commisurata ai tempi strettamente necessari per il rilevamento di anomalie e di attacchi».
Con le raccomandazioni di cui sopra, il Garante approva l’app Immuni e stabilisce che:
«Sulla base della valutazione d’impatto trasmessa dal Ministero, il trattamento di dati personali effettuato nell’ambito del Sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati, che attenuano i rischi che potrebbero derivare da trattamento».
Se lo dice il Garante dobbiamo fidarci a meno che non vogliamo mettere in discussione l’autorevolezza della massima autorità in materia, temuta spesso per il suo rigore.
Certo è che l’app Immuni ha scatenato un interesse per la privacy di cui non possiamo che essere felici.
Possiamo sperare che finalmente molti più utenti inizieranno a porsi delle domande in merito al trattamento dei propri dati anche quando usano social networks, il contapassi ed i sistemi di rivelamento del proprio battito cardiaco o quelle simpatiche applicazioni che mostrano l’aspetto del proprio da anziani.
Su queste applicazioni, che tra l’altro a differenza di Immuni non si pongono certo lo scopo di salvare qualche vita umana, merita davvero riflettere ed interrogarsi.