Cosa farà la app immuni?

Si sta parlando molto della possibilità di utilizzare una app per agevolare la fase 2 dell’emergenza coronavirus.: In estrema sintesi, la app “Immuni” monitorerà gli spostamenti dei cittadini aderenti e permetterà di individuare più velocemente i soggetti a rischio a causa di contatti con positivi accertati.

Ascoltando molti politici, vertici dello Stato e media, sembrerebbe che uno degli ostacoli principali a questa app sia la privacy. Il collegamento più o meno esplicito che ne deriva è il seguente: la privacy ci impedisce di uscire più velocemente dalla crisi: “alternativa alla app Immuni è proseguire con lockdown” (Commissario Arcuri). 

È l’impostazione corretta? È il modo giusto di porre la questione?

Perché la app immuni è particolarmente delicata per la normativa privacy?

La normativa sulla privacy regola il trattamento di dati personali, ossia qualsiasi informazione collegata o collegabile a una persona fisica. La privacy quindi ci dice quando è lecito trattare le informazioni sulle persone e come è lecito farlo. 

Non tutti i dati personali e non tutti i trattamenti sono uguali. La normativa pone maggiore attenzione sui dati personali cosiddetti “particolari” (per esempio lo stato di salute di una persona trattato dalla app), e su alcuni tipi di trattamento, come il monitoraggio sistematico e regolare (effettuato dalla app), nonché quelli che implicano una grande quantità di dati (si parla di almeno il 60% della popolazione).

Chiariamo subito: la normativa non vieta in senso assoluto il trattamento di dati particolari (dati sanitari), né il trattamento di quantità enormi di dati, né il monitoraggio regolare e sistematico. Quindi qual è il problema?

Il problema è la responsabilità di questo trattamento di dati personali.

Tutti i soggetti che trattano dati personali (compreso lo Stato) devono garantire il rispetto di molte regole e in particolare devono garantire che le misure di sicurezza siano idonee a tutelare il trattamento effettuato. Misure di tipo tecnico, che garantiscano tecnologie e infrastrutture prive di vulnerabilità, e misure di tipo organizzativo, che garantiscano la limitazione del trattamento alle sole finalità di gestione dell’emergenza.

Quali sono le domande corrette?

Come detto, la privacy non è, di per sé, un ostacolo alla app. La privacy non impedisce il trattamento, ma impone solo che questo venga fatto in sicurezza.

È sbagliato invertire l’onere della responsabilità: è veramente fastidioso vedere il bombardamento mediatico in atto, che carica sui cittadini il peso di questa scelta. 

Certo, i cittadini dovranno dare il loro consenso, ma prima di arrivare a chiederlo lo Stato deve porsi delle domande e dare delle risposte certe.

Le infrastrutture tecniche statali sono in grado di garantire l’idoneo livello tecnologico di sicurezza?

Le organizzazioni statali coinvolte saranno in grado di garantire che nessun dato venga utilizzato per finalità diverse?

Considerando che lo Stato non riuscirà a garantire tutto questo “da solo”, quale sarà il livello di incidenza dei fornitori esterni coinvolti? 

Lo Stato tratta già una mole enorme di dati sanitari, ben più grande di quella che tratterebbe con la app immuni. Lo fa attraverso il sistema sanitario nazionale, con il quale tratta tutte le informazioni relative allo stato di salute dei cittadini. È già tutto lì. Come tutta la sanità, anche la gestione dei dati sanitari è delegata alle Regioni: ogni Regione riesce a garantire lo stesso livello di sicurezza dei propri Data Center? È già in atto un processo di verifica e standardizzazione dei livelli di sicurezza delle informazioni degli enti pubblici ed è gestito da AGID (agenzia che fa capo alla Presidenza del Consiglio dei Ministri): qual è la situazione ad oggi?

Queste possono sembrare domande provocatorie o superflue. Non è così e un recente esempio lo dimostra: il “crollo” della piattaforma INPS il primo giorno in cui era possibile richiedere i sussidi statali dovuti alla crisi. Si trattava di un evento programmato, era prevedibile che la mole di accessi fosse gigantesca, ma uno dei più grandi enti statali si è fatto trovare tecnologicamente impreparato. Non si tratta dello stesso ente che si occuperà della app, non si tratta delle stesse informazioni, ma sicuramente quella vicenda non mette in buona luce le capacità tecnologiche e organizzative dello Stato su questa materia.

Quindi la domanda fondamentale è un’altra: il consenso che viene richiesto ai cittadini è per la gestione di informazioni personali in sicurezza o per la gestione di informazioni personali a qualsiasi costo?

Per concludere, mi auguro (con poca speranza) che la ricerca di risposte di “tecnici” non caratterizzi anche questo tema. I tecnici supportano le scelte della politica, la quale se ne deve assumere la responsabilità (senza scaricarla, a sua volta sui tecnici, appena qualcosa va storto). 

Qui la questione è fortemente politica: il rapporto tra Stato e cittadini è la base di ogni filosofia politica, infatti il livello di controllo dello Stato sui cittadini è una delle misurazioni più importanti per valutare il grado di libertà dello Stato stesso. 

Per concludere, questi sono dubbi sulla capacità tecnologica dello Stato, non sono certezze sulla sua incapacità. Il tema della sicurezza delle informazioni è stato forse sottovalutato dagli enti pubblici negli ultimi anni e il timore di trovarsi impreparati è notevole. 

Di conseguenza lo Stato non dovrà solo chiedere ai cittadini il consenso per il trattamento dei loro dati, pretendendolo come scontato e colpevolizzando chi non accetta. Al contrario dovrà essere particolarmente convincente, rassicurando sulla capacità tecnologica e organizzativa messa in campo e definendo responsabilità chiare per eventuali futuri problemi. 

Non è più tempo di fare le cose e basta. È tempo di fare le cose bene.

About Author

%d blogger hanno fatto clic su Mi Piace per questo: