Massimo Proto, Ordinario di Diritto privato, è di ruolo presso l’Università degli Studi Link…
Immuni, tutte le incognite sulla app
Quale sistema di controllo sarà adottato per la cosiddetta fase 2?
Il riferimento è alla tracciatura con app, di cui si dibatte specie a fini di protezione dei dati personali, «diritto fondamentale dell’individuo ai sensi della Carta dei diritti fondamentali dell’Unione europea». Per evitare d’irritare vari ed eventuali, non si parlerà di privacy, quindi dell’osannato modello sudcoreano, dell’improprio parallelismo tra dati ceduti allo Stato come a un social network, del data breach olandese o dell’Inps italiano, di cellulari spenti o lasciati a casa per evitare il tracing.
Innanzitutto, un’avvertenza: la app prescelta – Immuni – è in divenire. Per ora pare si appoggerà su un protocollo elaborato da Apple e Google: i cellulari genereranno al proprio interno un codice identificativo anonimo, se lo scambieranno via bluetooth ogni volta che si agganceranno e questo “dialogo” consentirà di “allertare” i cellulari entrati in stretto contatto per un certo lasso di tempo con quello di un soggetto infetto. Il tutto nel più blindato anonimato. Qui finisce il modello A&G.
Ma è presumibile che la app andrà oltre: ai fini di un coordinamento centralizzato del controllo sanitario su potenziali infetti, dell’allerta dovrà presumibilmente essere avvisato pure qualche ente statale, con informazioni inviate a un server centrale. Anche perché, se la app allertasse una persona che irresponsabilmente non si sottoponesse a controlli, magari in quanto sta bene, il contagio (trasmissibile da asintomatici, dicono gli studiosi) continuerebbe a propagarsi.
Ma su modi, metodi e misura dell’intervento dello Stato c’è ancora opacità. Pertanto, serve porsi qualche domanda non foss’altro perché, una volta presa la decisione finale, è difficile tornare indietro e c’è sempre il rischio che misure emergenziali diventino definitive (vedi Patriot Act statunitense).
Quali sono i requisiti che un’app di tracing deve avere?
Li hanno indicati Commissione Parlamento e Consiglio Ue, Garante privacy europeo, Garante privacy italiano, EDPB ed esperti, e il ministero dell’Innovazione pare allineato. In particolare, le Linee Guida dell’EDPB del 21 aprile scorso, tra le altre cose, affermano che il titolare del trattamento dovrebbe essere l’autorità sanitaria nazionale e, se vengono coinvolti altri soggetti, i loro ruoli vanno «definiti con chiarezza», informandone gli utenti; le finalità dell’uso di dati personali devono essere specifiche ed «escludere trattamenti ulteriori per scopi non correlati alla gestione della crisi sanitaria (…) ad esempio, per fini commerciali o (…) di matrice giudiziaria o di polizia»; l’uso dei dati personali dev’essere adeguato, necessario e proporzionato (nel rispetto del GDPR); vanno utilizzati i dati di prossimità (bluetooh), non la posizione dei singoli utenti (GPS); a un sistema di raccolta dati centralizzato, presso un server unico, è preferibile uno decentralizzato, con dati memorizzati nei dispositivi degli utenti; andrebbe fornito con trasparenza il codice sorgente, così da poter verificare il funzionamento dell’applicazione ed eventualmente rilevare errori di programmazione o progettazione.