analisi

Immuni, tutta la fragilità della narrazione governativa

di Andrea Lisi (Avvocato, Coordinatore Studio Legale Lisi e Presidente ANORC Professioni) |

La trasparenza si ottiene non ex post, ma ex ante. La trasparenza non va inseguita. La trasparenza si ottiene nei contesti giusti.

Mentre si continua a parlare dell’app IMMUNI finalmente resa disponibile negli store di Google e Apple, in Lombardia è avvenuto pochi giorni fa un fatto curioso. Nella serata di lunedì 25 maggio molti cittadini si sono visti recapitare dall’ATS Milano, azienda sanitaria che ha in carico la gestione dell’area della città metropolitana di Milano, un sms che li avvertiva di essere stati contagiati e quindi li invitava a chiudersi in casa per evitare di aumentare il contagio. Sms che si è rivelato essere poi un errore di sistema, tanto da generare un doveroso e successivo sms di spiegazioni e scuse da parte di ATS. 

Che attinenza ha tutto questo con l’app Immuni?

In realtà, quanto successo in Lombardia è un esempio emblematico di ciò che potrebbe succedere quando un sistema informatico non viene gestito con accuratezza sin dall’inizio e così genera messaggi di errore. Proviamo a immaginare cosa potrebbe succedere se sul server centralizzato di Immuni – a quanto sappiamo in mano a Sogei con un coordinamento di PagoPA – arrivassero dati inesatti, poi gestiti altrettanto male per avvertire i cittadini italiani. Si bloccherebbe nuovamente un Paese generando panico incontrollato, senza più abusare del lockdown.

La logica illogica nell’app Immuni

Sì, perché con l’app Immuni si è banalizzato molto l’approccio alla tecnologia digitale ribaltando logiche giuridiche e buon senso e arrivando così a un’implementazione di un progetto che definire monco e inutile, forse, oggi è fargli un complimento. E non è una questione solo di riservatezza, anzi la “privacy”, così tanto sbandierata in questi mesi, è stata interpretata male e distorta concettualmente e ha finito così per contorcere ancor di più la direzione già ondivaga di un progetto totalmente sballato da parte del governo.

Proviamo a fare ordine nel disordine

Prima di tutto, ci stiamo occupando di dati, anche personali, e andrebbero quindi gestiti in modalità digitale con massima attenzione e con rispetto della normativa europea e italiana, senza pressapochismo e voglia di stupire ad ogni costo, in modo da raccontare ciò che si vorrebbe fare ancor prima di averlo strategicamente disegnato. Se si ha voglia di porre in essere una soluzione digitale che possa apportare benefici alla popolazione, occorrerebbe prima di tutto partire da una progettualità precisa, avere le idee chiare su cosa si voglia ottenere da una tecnologia (che per sua natura è neutrale), verificare come si possa ottenere quel risultato e prevedere  così una cornice giuridica con presupposti precisi di trasparenza  sia in fase di selezione e sia in fase di implementazione del progetto

Una selezione irrituale

Tutto questo non si è verificato sin dall’inizio del progetto, dove si è lanciata una “selezione di app” confusa e irrituale (chiamata “fast call for contribution”), quando ancora non si aveva alcuna idea precisa in merito al progetto che si voleva portare avanti e ciò ha spinto il governo, con le sue inutili task force costituite all’occorrenza, a scegliere di fatto non una soluzione applicativa (che infatti si è solo sviluppata successivamente e “a bocce un minimo più ferme”), ma una società, anzi un gruppo di società. Ed è davvero difficile giustificare oggi la logica di preferire a centri di ricerca, società che sviluppano app ludiche o specializzate nel settore dei big data

Una soluzione applicativa che peraltro è stata resa pubblica a scoppio ritardato e parcellizzato solo mesi dopo la sua sbandierata scelta. In realtà, una procedura trasparente di selezione di un’applicazione software (se si fosse trattato davvero solo di questo) avrebbe dovuto garantire un processo inverso di studio trasparente, documentato e completo nella fase di scelta e non la costruzione successiva e odierna di un disegno caotico in salsa d’app su una piattaforma privata (Github), seppur aperta finalmente al confronto. A questo aggiungiamo che solo in questi giorni sono riuscito a entrare in possesso dei contratti che legano il governo italiano a Bending Spoons e, in un Paese che ci aveva invece abituato (almeno a parole) alla trasparenza come bandiera di ogni azione politica, tutto questo ha un sapore davvero amaro.

Un percorso variopinto in una strategia che non c’è

Il progetto è così andato avanti incredibilmente senza una precisa direzione, cercando di tappare i buchi e disorientato da ogni critica ricevuta, senza stabilire sin dall’inizio e in modo netto il tipo di licenza che avrebbe dovuto sostenere l’app (basta leggere i documenti contrattuali per rendersene conto) o il suo necessario riuso (eppur la normativa italiana sarebbe chiara in tal senso), senza decidere sin dall’inizio su obbligatorietà o volontarietà nell’utilizzo dell’app, senza una rigorosa scelta tra centralizzazione e o decentralizzazione nella gestione dei dati trattati e così via in una babele senza senso di dichiarazioni istituzionali confuse e contraddittorie.

“Privacy”?

Sono passati ormai 4 anni dall’entrata in vigore del #GDPR e 2 dalla sua piena esecutività e devo dire che l’esperienza tragicomica dell’app IMMUNI ci sta insegnando quanto ancora siamo lontani dal percepire i punti nodali della normativa europea che non si occupa appunto di privacy, ma regolamenta la protezione dei dati personali favorendone anche la loro libera circolazione.

Le parole d’ordine per essere compliant alla normativa europea dovrebbero essere appunto:

1) trasparenza informativa: tutti gli interessati devono essere in modo pieno ed accessibile informati sui trattamenti che altri fanno dei loro dati, in modo che possano in modo concreto esercitare i loro diritti

2) accountability: responsabilizzazione documentata di coloro che si occupano di trattare i dati

3) sicurezza informatica: la protezione del dato implica garanzie di integrità e autenticità dei dati, oltre che di corretta cancellazione e/o anonimizzazione in caso di cessazione del trattamento (quindi va fatta prima una specifica analisi dei rischi)

4) privacy by design e privacy by default: la compliance si ottiene proattivamente dalle soluzioni informatiche che devono essere progettate sin dall’inizio per garantire la protezione dei dati personali che vengono trattati attraverso le stesse.

E intanto è arrivata anche la “benedizione” parziale del Garante, che insiste sia su ulteriori misure di sicurezza da intraprendere in fase di sperimentazione e sia su una necessaria trasparenza informativa verso i cittadini in merito ai rischi insiti nell’utilizzo dell’app, che non possono non riguardare anche la scelta convinta verso la tecnologia bluetooth low energy che, a detta di tanti esperti, potrebbe rivelarsi un colabrodo in termini di sicurezza informatica.

Nelle mani di Google e Apple

L’emergenza ha fatto emergere ancora di più l’improvvisazione con cui portiamo avanti progetti complessi in materia di digitale come fossero scampagnate al mare con amici. In questo caso, peraltro, il progetto ha reso davvero evidente l’attuale stato di dipendenza assoluta di governi nazionali dalle scelte di multinazionali IT, come tante volte sottolineato dal compianto Giovanni Buttarelli, vittima anche lui proprio il giorno della sua morte delle logiche spavalde di trattamento saldamente in mano ai grandi big 

A parte i tentativi di Francia e Inghilterra di procedere con soluzioni di contact tracing interamente sotto il controllo statale, il resto del mondo, Italia compresa, sembra, in modo più o meno rassegnato, piegarsi ai voleri di multinazionali che dettano legge e orientano scelte su trattamenti di dati particolarmente delicati e che possono far gola a chi vive di profilazione e psicografica, anche in ottica di un marketing sempre più orientato verso la prossimità. Del resto, Immuni sarà solo una piccola cornice che incastonerà un quadro dipinto da altri e i cui colori e pennarelli usati restano totalmente ignoti e non contrattualizzati con lo Stato italiano.

Conclusioni: cosa è la trasparenza?

La trasparenza si ottiene non ex post, ma ex ante, facendo partecipare davvero i cittadini in modo trasparente alle scelte anche strategiche dei decisori che ormai non siedono neppure più nei banchi nel Parlamento, ma nelle stanze dei bottoni chiuse a chiave e ad accesso di solo pochi eletti. 

La trasparenza non va inseguita, richiesta con insistenza per avere svogliate risposte in ritardo e per ottenere poi continui cambiamenti di strategia finalizzati a mettere cerotti alla propria inadeguatezza, senza neppure ricevere ringraziamenti in proposito.

La trasparenza si ottiene nei contesti giusti, attraverso un pieno controllo di documenti e dettagli tecnici nelle sezioni trasparenza di siti istituzionali gestiti da processi decisionali e procedimentali controllati e resi pubblici (e verificabili nella loro autenticità) da archivi digitali in mano a soggetti responsabili.

Questa sarebbe trasparenza. Il resto sono chiacchiere portate avanti a vanvera da chi ha forse per una volta perso il filo di un vacuo racconto sotto gli attacchi incrociati dei tanti, che per una volta – di fronte a cotanto pressapochismo e mancanza di chiarezza – hanno voluto dire basta. 

Quando è troppo è troppo.