La mia vicina di casa, ormai ogni giorno, mi chiede di stamparle il nuovo modello di autocertificazione per gli spostamenti, perché il modulo è cambiato per la terza volta (qui è scaricabile dal sito del Viminale). In tutta Italia quante volte al giorno si ripete questa scena? Quanta carta ed inchiostro si consumano? Questo accade perché il modello di autocertificazione, creato sulla base delle ultime misure adottate per il contenimento della diffusione del virus Covid-19, è solo cartaceo.
Su Key4biz l’avv. Alessandro Del Ninno ha spiegato in punta di diritto che, invece, il CAD (Codice dell’Amministrazione Digitale) ed altre norme non impediscono la generazione e la firma in modo digitale del modulo, il tutto in sicurezza e nel rispetto delle normative privacy. Tra le firme digitali possibili vi è anche lo SPID.
In questo contesto, è interessante conoscere l’app SOS Italia, perché consente la generazione dell’autocertificazione in modo digitale, anche con SPID, oltre al tracciamento delle persone (spiegheremo anche questa funzione).
L’applicazione, progettata dai soci di Aidr – Associazione italian digital revolution, in collaborazione, per ciò che concerne lo sviluppo software, con il partner tecnologico Sielte, uno dei gestori SPID, è stata proposta al Governo attraverso la fast-call sul sito del ministero dell’Innovazione.
Come creare l’autocertificazione con SOS Italia
Come si può vedere dal video tutorial, nell’app SOS Italia, si può accedere anche con SPID, poi si inseriscono i dati richiesti dal modello cartaceo e si genera l’autocertificazione digitale con nominativo, numero di ricevuta, data e ora, codice fiscale, numero documento, luogo di provenienza e di destinazione ed ovviamente la motivazione dello spostamento. In più vi è un QR Code che potrebbe essere letto dalle Forze dell’ordine se dotate di un dispositivo idoneo per farlo.
Attraverso la piattaforma Lirax sarà possibile registrare le singole informazioni sulla rete Blockchain, archiviare documenti importanti e soprattutto offrire la conferma sulla data di registrazione, delle diverse informazioni. Inoltre, la piattaforma, attraverso dei filtri, garantisce il diritto all’oblio.
È possibile anche generare i permessi di lavoro. E per evitare abusi di generazione di autocertificazione il Governo potrebbe impostare un numero massimo di modelli (è un’opzione), oppure impedire la creazione di autocerficazioni per una comunità o gruppo presenti in un focolaio o per chi è in quarantena.
Vedremo se quest’app verrà selezionata dal Governo per consentire ai cittadini di generare in modo digitale l’autocertificazione. Le norme lo consentono, di tecnologia ce n’è abbastanza, manca la volontà politica per evitare almeno il disagio ai cittadini di girare, nel 2020, con i fogli di carta, da stampare ogni qualvolta si esce. Come già detto, la soluzione tecnologica farebbe risparmiare risorse economiche alle famiglie e sarebbe anche una scelta green.
Dati sanitari forniti al Governo per creare la mappatura del Covid-19
SOS Italia consente anche al cittadino di gestire lo stato di salute da remoto ed inviare alle strutture Governative e alle forze dell’ordine, qualora l’app venisse adottata dal Governo, i dati sanitari (ad esempio, mostrare i sintomi del virus, se sei risultato positivo al Covid-19, sei in isolamento preventivo, con l’indirizzo del luogo, sei in isolamento obbligatorio).
Come avviene il tracciamento dei cittadini
Infine, l’applicazione permette anche il tracciamento dei cittadini per prevenire ulteriori contagi dal Covid-19.
Funziona così:
un cittadino a cui è stato imposto, obbligatoriamente, di stare a casa, perché risultato positivo al virus, se si sposta allora può arrivare una notifica alle Forze dell’ordine, che possono mettere in campo i necessari controlli.
Inoltre, sfruttando il GPS, che è sempre in funzione anche quando l’app non è attiva, è possibile creare una mappa con tutti i luoghi frequentati dal cittadino e dar vita così ad un registro di tutte le persone con cui è venuto in contatto e per quanto tempo.
A questo punto nel caso in cui un utente risulti positivi al Covid-19, è possibile in tempo reale avere la lista di tutti i luoghi da lui frequentati nei 15-20 giorni precedenti ed i nominativi delle persone con cui è stato maggiormente a contatto. Di qui lo scenario dell’alert ‘sanitario’ automatico, che indichi a tutte queste persone di mettersi in quarantena domiciliare ed attendere l’arrivo dei sanitari a casa per il tampone.
Mauro Nicastri (Aidr): “Solo soggetti autorizzati dal Governo possono accedere ai dati”
Fin qui il funzionamento, ma come gestisce i dati, sia in termini di privacy sia di sicurezza SOS Italia?
“Una delle funzionalità più importanti dell’app SOS Italia è l’integrazione totale con il sistema SPID, per la gestione delle identità digitali, che abbiamo sviluppato in collaborazione con Sielte, attuale gestore SPID. L’apertura del Garante per la Privacy in considerazione della situazione di grande emergenza ci ha spinto, limitatamente a questo periodo, ad integrare nell’applicazione la possibilità di accedere tramite l’invio di un codice di verifica OTP sul telefonino attraverso il numero di telefono o tramite i comuni social networks”, ha detto a Key4biz Mauro Nicastri, presidente di Aidr. “L’app è corredata da una piattaforma digitale in grado di raccogliere tutti i dati inseriti dai cittadini e anche le informazioni già presenti nei sistemi informativi delle diverse strutture governative, a cui potranno accedere unicamente soggetti autorizzati dal Governo”, ha concluso Nicastri.
Il giudizio sull’app dell’avv. Alessandro Del Ninno
La app, come altre proposte al Ministero dell’Innovazione Tecnologica nell’ambito del progetto “Innova per l’Italia”, svolge un corretto “lavoro” in termini di imputabilità, autenticità, sottoscrizione elettronica e contro-verifica “pubblica” del modello di autocertificazione digitale la cui gestione propone.
Se da un lato le funzionalità tecniche della app costituiscono un ampio ventaglio di utili opzioni (che vanno ben oltre la mera gestione degli obblighi di autocertificazione) d’altro lato preoccupano le implicazioni data protection.
Per lo meno: dalla intervista ai responsabili non si comprende puntualmente come siano applicati i principi dell’articolo 5 del GDPR alla raccolta e comunicazione (necessariamente massiva) dei dati personali del cittadino e dei suoi contatti rese possibili dalla app. Come è noto non ci si può basare solo sul contesto emergenziale per trattare i dati personali “in deroga”: la stessa specifica norma sul trattamento dei dati personali nel contesto che stiamo vivendo – e cioè l’articolo 14, comma 3 del decreto legge 14/2020 – prescrive che comunque i principi fondamentali sul trattamento debbano essere sempre rispettati e applicati anche nel contesto emergenziale. Con la conseguenza che in mancanza della possibilità di documentare che il trattamento svolto tramite la app è conforme in termini di corretta informativa agli interessati (solo i soggetti pubblici di cui all’articolo 14, comma 1 del d.l. 14/2020 possono omettere l’informativa, non i privati) proporzionalità, minimizzazione della raccolta, minimizzazione dei tempi di conservazione, misure di sicurezza, etc (si ricordi che è obbligo ai sensi dell’articolo 5, comma 2 del GDPR procedere alla documentazione di tali conformità), il trattamento dei dati sarebbe e rimarrebbe illecito anche se giustificato dalla necessità di provvedere alle indifferibili necessità emergenziali.
Ovviamente, queste considerazioni valgono a quadro normativo vigente: si parla molto dell’intervento – e lo fa anche l’Autorità Garante per la protezione dei dati personali – di norme specifiche ad hoc per consentire attività realmente invasive della privacy e in deroga – eccezionale e temporanea – agli ordinari principi data protection. Io credo che anche ove intervenisse una (necessaria) norma – non certo un dpcm o una ordinanza ministeriale – vi sarebbero comunque dei problemi e dei conflitti tra fonti normative: se sarebbe necessario (e abbastanza semplice) procedere alla abrogazione dell’articolo 14, comma 3 del decreto legge 14/2020 (quello che come sopra ricordavo dispone l’obbligo di applicare l’articolo 5 del GDPR anche nel contesto emergenziale), sarebbe più complicato disporre una sorta di sospensione diretta dell’articolo 5 del GDPR, che come Regolamento UE ha valenza costituzionale nel nostro ordinamento e non si può sospendere con una norma ordinaria…
319 progetti di analisi dei dati in mano al ministero dell’Innovazione
SOS Italia è uno dei 319 progetti di analisi dei dati giunti alla call del ministero dell’Innovazione. “Noi faremo una short list delle app di data analytics”, ha detto la ministra Paola Pisano al Corriere della Sera oggi in edicola.
“Sarà questione di giorni”, ha aggiunto la ministra, “la prima selezione è affidata a una squadra di 60 esperti (chi sono? n.d.r.), poi le decisioni verranno prese dal Governo”, ha spiegato Pisano, che è stata chiamata a riferire sul tema la prossima settimana in audizione presso la Commissione Tlc della Camera. Ad annunciarlo il presidente Alessandro Morelli, che ha chiesto anche l’audizione del Garante privacy. Antonello Soro ha spiegato “che le norme sulla protezione dei dati non sono un ostacolo al contact tracing, che può essere introdotto solo con un decreto-legge in grado di coniugare tempestività della misura e partecipazione parlamentare. La durata del tracciamento deve essere strettamente collegata al perdurare dell’emergenza”.
