Nel provvedimento di autorizzazione ad avviare le attività di trattamento relative all’app Immuni, il Garante aveva indicato al Ministero della Salute di tenere conto dell’aspetto dei falsi positivi e del rischio di errori. È opportuno chiarire che le prescrizioni di cui all’art. 2-quinquiesdecies Cod. Privacy non sono state indirizzate a Bending Spoons, Google o Apple, il cui ruolo andrà precisato all’interno della valutazione d’impatto redatta dagli esperti del dicastero, bensì direttamente al titolare del trattamento (ovvero il Ministero della Salute), il quale ha la responsabilità di porre in essere interventi e misure per garantire la propria conformità entro 30 giorni dal provvedimento del 1 giugno 2020.
Ma come insegna la Legge di Murphy: se qualcosa può andar male, lo farà. E infatti così è successo con la nota disavventura della signora pugliese, la quale è stata la sfortunata vittima proprio di un errore da falso positivo.
Cosa aveva rilevato il Garante a tale riguardo? Sostanzialmente, l’incompletezza della valutazione d’impatto resa da parte del Ministero nella parte in cui non era considerato e valutato il rischio specifico da errori collegati all’intensità del segnale bluetooth e le conseguenti misure di mitigazione. Il sistema di calcolo della distanza, infatti, è “intrinsecamente suscettibile di errori in quanto l’intensità del segnale bluetooth dipende da fattori diversi come l’orientamento reciproco di due dispositivi o la presenza di ostacoli fra essi (compresa la presenza di corpi umani)”. Da ciò, per effetto del funzionamento stesso del sistema di allerta, consegue la possibilità di rilevare falsi positivi (qualora rilevi distanze erroneamente minori) o falsi negativi (qualora il segnale sia ostacolato).
Con riferimento ai falsi positivi, inoltre, il Garante formula un’ulteriore considerazione. Dal momento che non vi è possibilità di conoscere il contesto in cui è avvenuto il contatto stretto con un caso accertato di infezione da COVID-19, informazione che ha un assoluto rilievo ai fini epidemiologici anche in considerazione dell’eventuale impiego di sistemi di protezione individuale, il rischio di generare numerosi “falsi positivi” è tutt’altro che trascurabile e dunque richiede la predisposizione di opportune e specifiche misure di mitigazione. In tal senso, infatti, fra le prescrizioni indicate, campeggia al punto 12 l’adozione di quelle “misure tecniche e organizzative per mitigare i rischi derivanti dall’upload di TEK non riferite a soggetti positivi a seguito di eventuali errori materiali o diagnostici”.
Qualora non siano efficacemente mitigati i rischi così descritti (anche nella percezione degli utenti), come già più volte sottolineato tanto dall’EDPB quanto dal Garante, l’effetto inevitabile è quello di compromettere la fiducia nell’affidabilità dell’app da parte dei soggetti interessati. Con buona pace di tutta la narrazione diffusa a più voci circa la dichiarata (e i più malevoli aggiungeranno: e non comprovata) efficacia.
