verità. fatti. libertà. indipendenza.

   PRIVACY   

                                                                                                                                                    ArticolI 2-3-13-14-15 della Costituzione

 

METADATI: PETROLIO DEL SECOLO

La raccolta dei dati dei cittadini durante la pandemia Covid.
SECONDA PUNTATA: L'app Immuni 

(Qui la prima puntata: Metadati: petrolio del secolo. La lotteria degli scontrini)

 

 

 


 

di Alessandra Fava

 

A febbraio 2020 il Covid arriva in Italia: prima Codogno, poi la coppia cinese in un albergo a Roma, poi Bergamo con i tanti morti che tutti ricordiamo.
Per i primi tempi è il Sistema Sanitario Nazionale basato su Asl, ospedali e medici a registrare malati, ricoveri, morti. Il protocollo sulla pandemia è vecchio di anni e così tre mesi dopo (art. 6 del decreto legge n. 28 del 30 aprile 2020) viene istituita la piattaforma unica nazionale per la gestione del Sistema di allerta Covid-19 con l’app Immuni che sarà poi attiva dal 1 giugno 2020.

Nelle prime 24 ore la scaricano 500 mila italiani, 2 milioni in dieci giorni. Parte una nuova raccolta di dati personali massiccia, condivisa con soggetti privati.

 

“L’app è stata sviluppata dal Commissario straordinario per l’Emergenza COVID-19 in collaborazione con il Ministero della Salute e il Ministero per l’Innovazione Tecnologica e la Digitalizzazione” (si legge su Google Play dove si può scaricare, come si può scaricare su Apple Store), ma di mezzo ci sono altri attori.

 

Il microbiologo Andrea Crisanti dichiarò allora ad Adnkronos: "Io voglio che l'App sia gestita da un organismo totalmente indipendente e terzo rispetto a chi l'ha sviluppata. In questo momento non è così e questo secondo me non va bene. C'è un problema serissimo di governance. E se lo sviluppatore è anche il gestore, se cambia un codice in un sistema complicatissimo chi lo controlla? Chi gestisce l'App deve essere diverso da chi l'ha sviluppata perché non c'è una legge che la regola, è basata sulla buona fede delle persone e non capisco perché le persone non debbano essere tutelate. Sono anzi sorpreso che questo problema non sia stato sollevato".

 

Già a maggio 2020 il Copasir in una relazione aveva individuato “rischi connessi sia alla trasmissione dei dati dei cittadini, in ordine al rispetto della privacy e alla sicurezza dei dati personali” e problemi anche sull’effettivo risultato a fini epidemiologici.

Oggi l’app è ancora attiva con oltre 20 milioni di download, grazie anche al fatto che su Immuni si può scaricare il proprio Green Pass.

 

Quindi oggi la primaria funzione del Tracing sembra abbandonata, i messaggi di alert per aver frequentato un contagiato sono stati solo 186 mila (anche se secondo Immuni si dovrebbe moltiplicare per tre). Un mezzo fallimento.

 

Se risalite con la memoria, vi ricorderete delle 3 T: Testing, Tracing, Treating (fare tamponi, rilevare contatti, curare tutti). La prima cosa strana è che mentre paesi Ue come Francia e Olanda per il Tracing hanno deciso di avere un’app totalmente pubblica e di Stato, in Italia si è preferito coinvolgere ministero della Salute, quello delle Finanze, quello dell’Innovazione e anche Sogei S.p.A., Google, Apple e la società che ha sviluppato l’applicazione, Bending Spoons S.p.A (che in teoria l’ha regalata al Governo con codice open source, salvo poi che gli italiani hanno scoperto che in un contratto era previsto “per la durata di sei mesi e comunque nel limite di 10.000 ore/uomo” con decine di persone impegnate, ergo qualcosa è costata).

 

Nel decreto legge di istituzione della piattaforma ad aprile si legge che “la piattaforma è di titolarità pubblica ed è realizzata dal Commissario esclusivamente con infrastrutture localizzate sul territorio nazionale”. Il Commissario straordinario Domenico Arcuri è stato nominato grazie a altro decreto legge, il n. 18 del 17 marzo 2020.

In seguito si è scoperto che l’archiviazione dei dati avviene presso Sogei S.p.A. (che si occupa dell’architettura del backend per archiviazione, consultazione e protezione dei dati).

 

Nonostante gli allarmi sulla privacy, la comunicazione iniziale ai cittadini è confortante: non si risale all'identità dell'utente, è gratuita, su base volontaria, si limita al tracciamento del contagio, c’è solo uno scambio di codici fra smartphone che entrano in contatto cifrati e anonimi.

In realtà, andando a spulciare i documenti del Garante Privacy - almeno all’inizio – si parla di utilizzo di dati pseudonimizzati, come si ricava anche dalla Valutazione d’impatto (detta anche Dpia), che il ministero della Salute era tenuto a presentare al Garante in base al Decreto legislativo 10 agosto 2018 n. 101 art.2, comma 15esimo, che è stato abrogato dal governo Draghi nel DPCM Capienze, così la Pubblica Amministrazione non deve più avere a che fare col Garante in caso di trattamenti di dati personali a rischio come era per Immuni.

 

E’ utile sapere che, mentre un dato cifrato è difficilmente leggibile, la pseudonimizzazione (art. 4 comma 1 del GDPR) è il risultato di un trattamento di dati personali che consente l’attribuzione a un interessato specifico solo con l'utilizzo di informazioni aggiuntive, ad esempio si “camuffano” i dati con delle lettere.

Quindi il GDPR prevede, per tutelare dati pseudonimizzati, che le informazioni aggiuntive siano conservate separatamente e che siano soggette a specifiche misure tecniche e organizzative, in modo che non siano rubate.

Per di più il trattamento di dati previsto per Immuni aveva bisogno di particolare cautela trattandosi di dati sanitari, che rientrano per il GDPR nelle “categorie particolari di dati” (gli ex-sensibili, chi vuole approfondire art. 9, par. 1, lett. G GDPR e art. 2-sexies del Codice Privacy rinnovellato).

 

Morale: grazie alle regole che vigevano allora, il ministero della Salute il 28 maggio 2020 (avete letto bene) manda la Dpia, valutazione d’impatto a Garante, quando il trattamento inizia il primo giugno 2020.

Il Ministero è in amplissimo ritardo perché il GDPR prevede che la valutazione sia fatta ben prima della messa in opera del trattamento, legato ad esempio a un nuovo software (privacy by design).

Il Garante nelle sue considerazioni nel provvedimento 1 giugno 2020 n. 95 autorizza il trattamento chiedendo modifiche importanti e richiamandosi anche alle Linee guida sulla geolocalizzazione dell’EDPB, il board europeo privacy, “sull’utilizzo dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19” del 21 aprile 2020 (doc. web n. 9322516).

 

Come abbiamo detto, c’era già un sistema di tracciamento dei contatti presso il Servizio Sanitario Nazionale, basato sulla rete di medici e ospedali. L’app Immuni introduce il meccanismo di rilevazione su dispositivi mobili, con un’interazione con gli operatori sanitari e l’utilizzo del Sistema Tessera Sanitaria in capo al ministero dell’Economia e delle Finanze. Quindi, in pratica si costruisce una mega banca dati con di mezzo 2 ministeri e diverse aziende private e dati inviati anche extra-Ue.

 

Nel sistema Privacy costruito inizialmente, i dati vengono raccolti dal ministero della Salute come titolare del trattamento dei dati personali; il ministero della Salute ricorre a Sogei S.p.a. e al ministero dell’Economia e delle Finanze, che sono quindi nominati Responsabili del trattamento dei dati, quindi rispettano le direttive del Titolare e condividono le banche dati.

Quanto all’apporto dei privati, il Garante scrive che: “l’app Immuni si basa sull’utilizzo della tecnologia Bluetooth Low Energy (BLE) e sul Framework di Exposure Notification realizzato da Apple e Google (di seguito “Framework A/G”), reso disponibile su dispositivi mobili con sistema iOS e Android, che include interfacce di programmazione delle applicazioni (API - Application Programming Interface) e tecnologie a livello di sistema operativo per consentire il tracciamento dei contatti, senza ricorrere alla geolocalizzazione dei dispositivi degli utenti”.

Nella pratica, funziona che il paziente che ha scaricato Immuni e risulta positivo al tampone chiede all’Asl di rendere disponibili le proprie TEK al fine di allertare del rischio di contagio gli utenti con cui è entrato in contatto stretto nei giorni precedenti.

Il paziente genera sull’app un codice otp che dà all’Asl. I dati finiscono in server distribuiti geograficamente e il download è permesso grazie a un’altra società nominata Responsabile da Sogei (ancora oggi sul sito non figurano i responsabili nominati ma si può farne richiesta). I file vengono cancellati dopo 14 giorni.

 

Ma il Garante è andato anche a vedere che dati escono fuori da tutto il trattamento, a parte che il sig. Rossi ha il Covid. Il Sistema di allerta Covid-19, oltre alle TEK degli utenti accertati positivi al Covid-19, raccoglie, attraverso l’app, le ulteriori informazioni di seguito descritte: le cosiddette Epidemiological Info al backend di Immuni, in modo che l'algoritmo calcoli bene il rischio derivante da un contatto e allerti solo le persone che sono effettivamente a rischio. Con il dato della provincia di domicilio; Exposure Detection Summary, informazioni sintetiche relative a tutti gli eventuali contatti a rischio avvenuti negli ultimi 14 giorni e quindi numero di contatti a rischio rilevati; numero di giorni trascorsi dall’ultimo contatto a rischio; durata aggregata dei contatti a rischio (misurata in multipli di 5 minuti fino a un massimo di 30 minuti), distinta per tre intervalli di intensità del segnale bluetooth e indice di rischio più elevato tra quelli relativi ai contatti a rischio.

Poi ci sono le informazioni sull’esposizione: informazioni analitiche relative a ciascun eventuale contatto a rischio avvenuto negli ultimi 14 giorni (rilevato attraverso il raffronto delle TEK scaricate con gli RPI memorizzati all’interno del dispositivo), quindi data in cui è avvenuto il contatto a rischio; durata del contatto a rischio (misurata in multipli di 5 minuti fino a un massimo di 30 minuti); intensità del segnale bluetooth durante il contatto a rischio; durata del contatto a rischio (misurata in multipli di 5 minuti fino a un massimo di 30 minuti), distinta per tre intervalli di intensità del segnale bluetooth; rischio di contagiosità associato alla TEK relativa al contatto a rischio; indice di rischio relativo al contatto a rischio.

 

Poi ci sono le informazioni operative per “capire statisticamente il livello di diffusione dell’app sul territorio e la correttezza del suo utilizzo”, nonché per “monitorare su base statistica l’epidemia, allocare in modo più efficiente le risorse sanitarie e massimizzare quindi la prontezza e adeguatezza del supporto fornito agli utenti che risultano a rischio”.

Anche qui si annovera: analytics token (per garantire l’affidabilità dei dati trattati dai dispositivi iOS); provincia di domicilio; stato di attivazione dell’interfaccia bluetooth; stato del permesso all’utilizzo del Framework A/G per la notifica di esposizione; stato del permesso alla visualizzazione di notifiche locali generate dall’app; sistema operativo del dispositivo mobile (iOS o Android); avvenuta ricezione o meno di notifiche di esposizione al rischio; data in cui è eventualmente avvenuta l’ultima esposizione al rischio (contatto stretto con un soggetto risultato positivo).

 

La prima verifica e autorizzazione del Garante ha dato delle prescrizioni precise al ministero, tra cui informare molto bene gli utenti sul fatto che l’app può anche produrre notifiche “sbagliate” perché, ad esempio, i soggetti entrati in contatto erano all’aperto e con mascherine e non si sono infettati. E fornire “agli utenti informazioni semplici e chiare sul funzionamento dell’algoritmo”.

 

Inoltre l’app deve essere disattivata facilmente dall’utente almeno temporaneamente. Soprattutto l’Autorità aveva intravisto il rischio che le informazioni fossero facilmente riconducibili agli interessati: “Nella valutazione d’impatto non è invece sufficientemente chiarito il ruolo di altri soggetti ivi nominati o che potrebbero essere coinvolti nel Sistema Immuni, quali la società che ha sviluppato l’applicazione (Bending Spoons S.p.a.), o le società Apple e Google. Relativamente a queste ultime, l’utilizzo del Framework A/G attribuisce loro un mero ruolo di fornitori di tecnologia (technology provider) senza implicare di per sé alcun trattamento di dati personali. Tale aspetto andrebbe precisato, in ossequio ai principi di trasparenza e responsabilizzazione”. E per finire si consiglia la sicurezza dei dati con anonimizzazione vera e propria.

 

A ottobre 2020 il servizio non viene più gestito dallo sviluppatore del software Bending Spoons, ma passa a Sogei controllata del ministero delle Finanze e PagoPa, un’altra S.p.A, società partecipata dallo Stato attraverso il ministero dell’Economia e delle Finanze, sottoposta alla vigilanza del presidente del Consiglio.

 

Tra le curiosità, tranquilli se chiedete qualcosa su dove finiscono i vostri dati con Pago.Pa: le richieste degli interessati - che saremmo noi - vengono gestite da un ufficio a Londra, OneTrust Technology Limited, con sede in 82 St John Street, London che è stato nominato Responsabile.

Inoltre Pago.PA dichiara di mandare dati anche negli Usa, giudicati Paese poco sicuro ma con contratti specifici che si chiamano Clausole Contrattuali Standard. Parleremo nella prossima puntata di PagoPa e l’AppIO.

 

A ottobre 2020 parte anche un servizio di contatto telefonico ai positivi (art. 20 del d.l. 28 ottobre 2020, n. 137 (c.d. d.l. Ristori), sempre gestito dal ministero della Salute.

Il servizio è rivolto a “persone risultate positive al virus SARS-Cov-2, che hanno avuto contatti stretti o casuali con soggetti risultati positivi” o “che hanno ricevuto una notifica di allerta attraverso l’applicazione 'Immuni'”. I “dati relativi ai casi diagnosticati di positività al virus SARS-Cov-2 sono resi disponibili al predetto servizio nazionale, anche attraverso il Sistema Tessera Sanitaria ovvero tramite sistemi di interoperabilità”.

 

Quindi nuovamente c’è uno scambio di dati anche col ministero dell’Economia. Segue un’ordinanza del Commissario, il 4 dicembre 2020 (prot. n. 1979), che prevede lo scambio di informazioni su test molecolari o altri test, i dati del call center del ministero della Salute (1500) e di Immuni (800 912491).

Il sistema Privacy però non è del tutto a posto, visto che il 17 dicembre 2020 il Garante Privacy nuovamente interviene: “Con specifico riguardo a tali trattamenti, è stata inoltre evidenziata la necessità che il ministero della Salute integri la designazione a responsabile del ministero dell’Economia e delle Finanze di cui al citato decreto del 3 giugno 2020”.

Ergo, il ministero dell’Economia sta condividendo dei dati sulla salute e Covid dei cittadini mentre il titolare del trattamento (ministero della Salute) non gli ha dato incarichi scritti precisi. E manca anche la nomina a Responsabile del trattamento dei dati per il Commissario straordinario che gestisce il call center Immuni.

 

Oggi al sito www.immuni.italia.it avete tutti i dati sull’app. Nell’homepage leggiamo che: “Immuni è stata progettata e sviluppata ponendo grande attenzione alla tutela della privacy. I dati, raccolti e gestiti dal ministero della Salute e da soggetti pubblici, sono salvati su server che si trovano in Italia. I dati e le connessioni dell'app con il server sono protetti”.

Leggiamo, inoltre, che l’app non raccoglie “il tuo nome e cognome, il tuo numero di telefono, il tuo indirizzo mail, l’identità delle persone che incontri, la tua posizione o i tuoi movimenti”. Nell’Informativa Privacy rileviamo che il titolare adesso è “la presidenza del Consiglio dei ministri – Dipartimento per la trasformazione digitale”.

Quindi leggiamo che “i dati personali raccolti potranno essere oggetto di comunicazione a soggetti, interni o esterni alla Presidenza del Consiglio dei Ministri, nei confronti dei quali la comunicazione si configura come necessaria per il perseguimento delle finalità sopra specificate, compresi soggetti terzi che forniscono un servizio al Titolare, ad esempio per la fornitura di servizi tecnologici di questo portale, e che tratteranno detti dati personali in qualità di responsabili del trattamento ai sensi e per gli effetti di cui all’articolo 28 del GDPR. L’elenco dei responsabili del trattamento può essere richiesto al Titolare in qualsiasi momento, scrivendo a segreteria.trasformazionedigitale@governo.it.”

 

E, infine, sul trasferimento di dati extra-Ue: “I dati potranno essere liberamente trasferiti fuori dal territorio nazionale a Paesi situati nell’Unione Europea. Per la fornitura di alcuni servizi tecnologici, il Titolare potrebbe avvalersi di soggetti ubicati al di fuori dell’Unione Europea. L’eventuale trasferimento dei dati in Paesi situati al di fuori dell’Unione Europea avverrà, in ogni caso, nel rispetto delle garanzie appropriate e opportune ai fini del trasferimento stesso, ai sensi della normativa applicabile”.

 

Quindi: se vogliono, possono mandare i nostri dati anche fuori dalla Ue e dopo la sentenza Shrems II ci sono paesi a rischio come gli Usa.

 

Nelle faq sempre sul sito di Immuni apprendiamo che di mezzo c’è anche PagoPa: “Immuni è l’app di contact tracing del Governo Italiano, nata dalla collaborazione tra Presidenza del Consiglio dei Ministri, Ministro della Salute, Ministro per l’Innovazione Tecnologica e la Digitalizzazione, Regioni, Commissario straordinario per l’emergenza Covid-19 e le società pubbliche Sogei e PagoPa”.

 

E allora al Garante italiano e al Board privacy europeo detto EDPB chiediamo perché: non vietare che i dati personali di cittadini europei escano dall’Europa, visti i rischi Privacy in molti Paesi, compresi gli Usa, tanto che servono speciali contratti dopo la sentenza Shrems II?

 

E al nostro Governo: perché non accelerare il Progetto Cloud Italia, che sia basato sulla trasparenza ai cittadini e strutture digitali completamente pubbliche?

 

 

Leggi anche: Da “green” a “red”, il pass sullo stretto di Messina cambia colore. Ma solo per alcuni

 

Leggi anche: Pandemia: se l'usura la fanno le banche

 

Leggi anche: Metadati: petrolio del secolo. La lotteria degli scontrini

 

TORNA ALLA HOME

 

 

 il manifesto dei giornalisti per la costituzione

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità. Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n.62 del 2001. Gli autori, inoltre, non hanno alcuna responsabilità per quanto riguarda i siti ai quali è possibile accedere tramite eventuali collegamenti, posti all’interno del Blog stesso, forniti come semplice servizio a coloro che visitano il Blog. Lo stesso dicasi per i siti che eventualmente forniscano dei link alle risorse qui contenute. Il semplice fatto che questo Blog fornisca eventuali collegamenti, non implica una tacita approvazione dei contenuti dei siti stessi, sulla cui qualità, affidabilità e grafica è declinata ogni responsabilità. Le immagini pubblicate, sono quasi tutte da Internet, e quindi valutate di pubblico dominio, inoltre sono pubblicate senza alcun fine di lucro. In ogni caso, qualora qualcuna di dette immagini, violasse specifici diritti di autore, si prega di comunicarcelo per la relativa rimozione.