Un’app da installare su base volontaria e con spirito di solidarietà dei cittadini, che attraverso la tecnologia Bluetooth, sia in grado di tenere traccia degli spostamenti con la pseudonimizzazione dei dati, conservati solo nello smartphone di chi l’ha attivata, e solo in caso di positività al virus allora consentire l’identificazione per inviare alla persona contagiata e a tutte quelle con cui è stato maggiormente a contatto nel periodo d’incubazione un alert (un SMS) per comunicare quando è possibile fare il tampone.
Sono queste, in sintesi, le condizioni indicate dal Garante Privacy Antonello Soro durante l’audizione (in videoconferenza) alla Commissione Tlc della Camera in merito alla tecnologia di data tracking, che la task force sta selezionando per proporla poi al Governo con l’obiettivo di contrastare il Covid-19. (Qui il testo integrale dell’audizione di Antonello Soro).
“È preferibile il ricorso a sistemi fondati sulla volontaria adesione dei singoli che consentano il tracciamento della propria posizione. Tuttavia, per garantire la reale libertà (e quindi la validità) del consenso al trattamento dei dati, esso non dovrebbe risultare in alcun modo condizionato”, ha detto il Garante per la privacy, auspicando “la volontaria attivazione di una app funzionale alla raccolta dei dati sull’interazione dei dispositivi”.
Necessaria una norma ad hoc
“Il trattamento di dati personali comunque realizzato richiederebbe”, ha evidenziato Soro, “auspicabilmente, una norma di rango primario, anche un decreto-legge. Ove non si procedesse a un intervento legislativo ad hoc, sarebbe opportuno quantomeno integrare l’art. 14 dl 14/20, anche con misure di garanzia da prevedersi eventualmente con fonte subordinata”.
Ruolo del referente del Garante privacy nella task force
Fa parte del gruppo di lavoro, che sta selezionando la “migliore tecnologia” contro il Coronavirus anche un rappresentante dell’Autorità Garante per la protezione dei dati personali, oltre a quelli indicati da Agcom ed Antitrust.
A Giorgio Mulè (Forza Italia), che ha chiesto di capire nel dettaglio il ruolo del referente del Garante privacy, Antonello Soro ha risposto:
“Ho precisato al Governo che il rappresentante designato dell’Autorità ha un ruolo differente rispetto ai 74 componenti della task force, per ovvie ragioni giuridiche in quanto Authority indipendente”.
“Il gruppo ha iniziato il suo lavoro”, ha aggiunto Soro, precisando: “noi daremo il parere in modo collaborativo indicando le condizioni generale a cui deve attenersi la tecnologia che sarà scelta. Poi successivamente daremo il nostro contributo in modo indipendente”.
Come e da chi verranno trattati e gestiti i dati di chi userà l’app
Sia Vincenza Bruno Bossio (PD) sia Massimiliano Capitanio (Lega) hanno chiesto rassicurazioni al Garante privacy, nelle domande durante l’audizione, sulla conservazione dei dati raccolti dall’eventuale app.
“No alla conservazione dei dati in database – si eviterebbe così la conservazione di dati personali in banche dati dei gestori, che riproporrebbe le criticità rilevate dalla giurisprudenza della Corte di giustizia dell’Unione europea sulla data retention – ma direttamente sugli smartphone dei cittadini che vorranno scaricare e usare l’app”, ha indicato Antonello Soro, aggiungendo che la “l’identificazione dei soggetti potrà avvenire solo in caso di positività al virus, mentre negli altri casi i dati vanno subito cancellati”.
Perché la tecnologia Bluetooth
“Ai fini della raccolta”, ha continuato Soro, “il bluetooth, restituendo dati su interazioni più strette di quelle individuabili in celle telefoniche assai più ampie, parrebbe migliore nel selezionare i possibili contagiati all’interno di un campione più attendibile perché, appunto, limitato ai contatti significativi (così parrebbero orientati Singapore e Germania).
Tempo di conservazione dei dati sullo smartphone
In particolare, sarebbero apprezzabili, ha detto il Garante, quelle tecnologie che mantengono il diario dei contatti esclusivamente nella disponibilità dell’utente, sul suo dispositivo, ragionevolmente per il solo periodo massimo di potenziale incubazione.
Come può funzionare l’app secondo il Garante Privacy
Soro ha anche spiegato come potrebbe avvenire la “filiera” del dato una volta accertato che un cittadino che usa l’app risulti positivo al virus.
“Il soggetto che risultasse positivo dovrebbe fornire l’identificativo Imei del proprio dispositivo all’ASL, che sarebbe poi tenuta a trasmetterlo al server centrale per consentirgli così di ricostruire, tramite un calcolo algoritmico, i contatti tenuti con altre persone le quali si siano, parimenti, avvalse dell’app bluetooth“, ha spiegato Soro. “Queste ultime riceverebbero poi una segnalazione (nella forma di un alert sul sistema) di potenziale contagio, con l’invito a sottoporsi ad accertamenti che, naturalmente, sarà efficace nella misura in cui sia responsabilmente seguito”.
“In tal modo”, secondo la strada indicata dal Garante, “il tracciamento sarebbe affidato a un flusso di dati pseudonimizzati, suscettibili di reidentificazione solo in caso di rilevata positività”.
Anche in tali circostanze, comunque, la stessa comunicazione tra server centrale ed app dei potenziali contagiati avverrebbe senza consentirne la reidentificazione, così minimizzando l’impatto della misura sulla privacy individuale.
In alternativa all’alert intra-app, si potrebbe ipotizzare, ha detto Soro “che sia direttamente l’ASL ad avvisare e, quindi, sottoporre ad accertamento le persone le quali, dalle rilevazioni bluetooth, risultino essere entrate in contatto significativo con il soggetto positivo. La conservazione dei dati di contatto, da parte del server, dovrebbe comunque limitarsi al tempo strettamente indispensabile alla rilevazione dei potenziali contagiati”.
“La diagnosi spetta al medico e non algoritmo”, ha spiegato il Garante, il quale più volte ha detto, durante l’audizione, che se la soluzione tecnologica di data tracking non è complementare alle cure sanitarie allora non servirà a nulla. In sostanza, se mancano i tamponi è inutile sviluppare un’app per il tracciamento. E poi non tutte le persone saranno disposte ad installare l’app. “La percentuale minima per l’efficacia è stimata nell’ordine del 60%“, ha detto il Garante.
Inoltre, Soro sulla regia che dovrà gestire l’app ha risposto che “spetta al Governo la scelta”, ma si auspica che “la complessa filiera del contact tracing possa realizzarsi interamente in ambito pubblico. Ove, tuttavia, ciò non fosse possibile e anche solo un segmento del trattamento dovesse essere affidato a soggetti privati, essi dovrebbero possedere idonei requisiti di affidabilità, trasparenza e controllabilità, rigorosamente asseverati”.
Infine, il Garante ha annunciato anche “specifici reati propri, suscettibili di realizzazione da parte di coloro che, potendo avere accesso ai dati per qualunque ragione anche operativa, li utilizzino per altre finalità”.
Lega: “Siamo soddisfatti dell’audizione di Soro. No a dati su piattaforme o server privati”
“Siamo soddisfatti della relazione del Garante per la Privacy, Antonello Soro, ma vogliamo essere chiari da subito sulla necessità di interpellare il Parlamento sul tema privacy. La posizione dell’Autorità è in linea con quella della Lega, che è disposta a misure eccezionali per il contenimento della pandemia anche con la realizzazione di una app, ma con regole chiare: le nuove leggi dovranno passare dal Parlamento, le misure dovranno essere temporanee e in grado di garantireanonimato e distruzione dei dati, serviranno campagne di informazione per i cittadini per stimolare l’adesione volontaria.Vogliamo garanzie sul fatto che i dati degli italiani non dovranno per nessuna ragione approdare su piattaforme o serverprivati”. Così i deputati della Lega in Commissione Telecomunicazioni alla Camera Alessandro Morelli, Elena Maccanti e Massimiliano Capitanio a margine dell’audizione del Garante per la Privacy, Antonello Soro.
Alle 17 audizione di Paola Pisano
Oggi alle ore 17:15 in audizione alla Commissione Tlc sarà la volta di Paola Pisano, ministro dell’Innovazione, che riferirà sullo stesso tema: come stanno procedendo i lavori della task force per valutare ed individuare l’uso delle nuove tecnologie per contrastare l’emergenza epidemiologica da Coronavirus.
Svelerà l’app?
Quella selezionata dovrà rispettare proporzionalità, lungimiranza e ragionevolezza dell’intervento, oltre che naturalmente nella sua temporaneità.
“Il rischio che dobbiamo esorcizzare”, ha ammonito il Garante privacy nel concludere l’audizione, “è quello dello scivolamento inconsapevole dal modello coreano a quello cinese, scambiando la rinuncia a ogni libertà per l’efficienza e la delega cieca all’algoritmo per la soluzione salvifica”.
