SPECIALE CORONAVIRUS

Il tracciamento via “app” è legge

Il provvedimento è stato firmato e adesso vedremo come si tradurrà in realtà

Il decreto legge che vara la “app” sul tracciamento non rassicura chi teme per la propria riservatezza. Il fatto che il titolo del provvedimento cominci con “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni…” non è certo – almeno sotto il profilo psicologico – un incentivo ad aderire a qualsivoglia invito ad installare alcunché sul proprio smartphone.

L’obiettivo della norma è, ovviamente, condivisibile purché i principi enunciati vengano poi religiosamente rispettati in fase di attuazione e – sappiamo bene, fin troppo bene – non è cosa affatto facile.

Per “allertare le persone che siano entrate in contatto con soggetti risultati positivi al nuovo coronavirus e tutelarne la salute attraverso le previste misure di profilassi legate all’emergenza sanitaria” – come si legge nel comunicato stampa della Presidenza del Consiglio – sarà “istituita una piattaforma per il tracciamento dei contatti stretti tra i soggetti che installino, su base volontaria, un’apposita applicazione per dispositivi di telefonia mobile”.

Il termine “piattaforma” è un eufemismo che indica un sistema centrale di gestione, una infrastruttura tecnologica che riceve dati e che sulla base delle informazioni disponibili procede ad “allertare” chi è bene sia a conoscenza di un determinato rischio che riguarda direttamente lui/lei e manco tanto indirettamente la collettività.

Il provvedimento è – come si dice in gergo leguleo “sub iudice” – perché il nostro ordinamento prevede che debba essere obbligatoriamente sentito il Garante per la protezione dei dati personali ogni qualvolta una norma inneschi situazioni che possano comportare rischi elevati per i diritti e le libertà dei cittadini.

Nel frattempo, comunque, vengono stabilite le regole del gioco.

Gli utenti dovranno ricevere, prima dell’attivazione della fatidica applicazione, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza. Dovranno, in particolare, conoscere le finalità e le operazioni di trattamento, le tecniche di “pseudonimizzazione” (ovvero di trasformazione della loro identità in “pseudonimi” o codici alfanumerici univoci che li identifichino) che saranno utilizzate e infine i tempi di conservazione dei dati.

Le finalità sono chiare, almeno quelle di massima. Le operazioni di trattamento, invece, sono ancora avvolte in una sorta di nebulosa e lo resteranno fino a quando non sarà chiaro cosa faccia davvero la “app” (occorrerà un esame critico, affidato magari a chi non è stato scelto per la sua realizzazione), come dialogheranno i telefoni con la piattaforma (parlare di sistema centrale è tabù….), cosa succederà negli elaboratori elettronici che non potranno fare a meno di raccogliere dati (altrimenti che ci stanno a fare?), quali saranno le dinamiche di comunicazione ai soggetti interessati e cosa gli si andrà a dire.

La “app” raccoglierà dati, ovvio. E’ previsto che “Per impostazione predefinita, i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID- 19, nonché ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti”.

Il tanto declamato “anonimato” defunge già nel comunicato della Presidenza quando dice esplicitamente che il trattamento sarà effettuato “sui dati di prossimità dei dispositivi, resi anonimi, oppure, ove ciò non sia possibile, pseudonimizzati”.

Lo “pseudonimo” riconduce ad un soggetto e le procedure – di “conversione” prima e di “ri-abbinamento” poi – sono il punto debole. Chi ha le chiavi per passare da un “codice” ad un soggetto reale è il possibile target di chi vuole fare lo scippo del secolo. E lo stesso detentore deve essere al di sopra di ogni sospetto e fornire garanzie certificate non solo dai soliti pezzi di carta. Non dimentichiamo che il nostro è il Paese delle “cartelle pazze” e quindi in termini di inefficienza e di disastri tecnologici non abbiamo da imparare niente da nessuno.

Tutto si impernia sulle parole della stessa Presidenza del Consiglio quando enuncia la necessità di “evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento”.

Non dimentichiamo che lo “pseudonimo” o il codice identificativo di ciascuno è inevitabile. Sennò, banalmente, chi si va ad avvisare del presunto pericolo per la salute? Cosa succede se si ripete la drammatica esperienza che hanno ripetutamente vissuto i contribuenti a causa degli errori commessi dalla SOGEI e dal Ministero delle Finanze con le non mai abbastanza deprecate “cartelle pazze”?

Si legge che i dati relativi ai contatti stretti saranno “conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della salute”. Un attimo. Cosa significa “anche nei dispositivi mobili degli utenti”? Vuol dire che sono anche altrove? E dove, se di sistema centrale non si fa menzione?

Mentre in altri Stati la cancellazione è conforme alla disciplina in materia di privacy, da noi “I dati sono cancellati in modo automatico alla scadenza del termine” a dispetto della ordinaria facoltà del cittadino di chiederne l’eliminazione in qualsiasi momento (Australia docet).

Consola sapere che “il mancato utilizzo dell’applicazione non comporti alcuna limitazione o conseguenza in ordine all’esercizio dei diritti fondamentali dei soggetti interessati”, ma al di là delle intenzioni programmatiche si tratterà di vedere cosa toccherà in sorte a chi verrà fermato ad un posto di blocco senza “app” o addirittura senza smarphone (sulla cui obbligatoria detenzione mai nessuno si è espresso).

Per dribblare il concetto di “sistema centrale”, che spaventa i fanatici della riservatezza e che non va d’accordo con le indicazioni comunitarie, il comunicato della PCM spiega che “la piattaforma sia realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o società a totale partecipazione pubblica e i programmi informatici sviluppati per la realizzazione della piattaforma siano di titolarità pubblica”. L’intendimento è encomiabile, ma sugli aspetti pratici mi permetterei di chiedere un parere a qualche contribuente il cui apparato cardiocircolatorio in passato è sopravvissuto alla ricezione di una cartella esattoriale risultata poi infondata.

Gestore pubblico sì, sicuramente. Però anche capace.

Tags
Back to top button
Close
Close