La app “IMMUNI” contro il coronavirus e i pericoli per la nostra privacy

Schermo di smartphone con l'app Immuni.
Schermo di smartphone con l'app Immuni.

Nelle ultime settimane abbiamo spesso sentito parlare dei sistemi di tracciamento dei dati attraverso bluetooth per monitorare i cittadini individuando i possibili contagi per prevenirne degli altri. Ogni utente infatti compila giornalmente il proprio diario clinico e in caso di contagio la app individua tutti i soggetti entrati in contatto col malato. Tali app sono già state utilizzate in Corea del Sud e in Australia, e il Governo italiano ha incaricato una società privata di creare una applicazione che non sia in contrasto con la disciplina della normativa italiana ed europea. A dire del Governo i dati raccolti dalla app “IMMUNI” saranno “cancellati o resi definitivamente anonimi” entro la fine del 2020.

Ma questa app può effettivamente raggiungere con margine di certezza l’obiettivo di individuare chi viene in contatto con persone contagiate? E quali sono i pericoli che derivano dal concedere tali dati personali ad una società privata? Infine cosa sta a significare ed è verosimile che i dati saranno “cancellati o resi definitivamente anonimi”?

Riguardo al primo quesito la prima considerazione che viene alla mente riguarda la struttura di un sistema informatico e di una intelligenza artificiale come la app “IMMUNI”, la quale certamente non è in grado di individuare e distinguere tutte le circostanze in cui le persone vengono effettivamente a contatto tra loro, anche perché non vi sarà alcuna geolocalizzazione. Senza geolocalizzazione la app non sarà in grado di distinguere quando le persone sono schermate o protette da vetrine, plexiglass o da pareti, o addirittura in due autovetture distinte ferme nel traffico.

Seppure l’informatica è oggi in grado di creare algoritmi induttivi che permettono ai computer di apprendere un concetto a partire da pochi esempi della vita reale e di produrne di nuovi come fa il cervello umano per ottenere tali elaborazioni occorrono diversi anni di elaborazioni.

E allora, nel caso in cui ci trovassimo di passaggio davanti a una vetrina di un negozio con un cliente all’interno del negozio stesso che risulti positivo il tracciamento non sarebbe in grado di individuare la differenza tra questa circostanza e lo stare in un parco a meno di un metro di distanza. Lo stesso accadrebbe nel caso in cui ci trovassimo schermati dal plexiglas di fronte alla cassiera del supermercato.

Per assurdo, il tracciamento risulterebbe positivo se noi e il pure il vicino di casa ci trovassimo accostati alla stessa parete ma nelle rispettive abitazioni. E questo anche se ci trovassimo nell’abitacolo del nostro veicolo e dovesse passarci accanto un “lavavetri”.

Ogni contatto schermato a meno di un metro risulterebbe archiviato nella app e farebbe scattare un allarme qualora uno dei due individui fosse positivo, sebbene nella impossibilità di una effettiva trasmissione del virus. Questa è la prima problematica che si pone anche se quella di minor rilievo in relazione ai possibili danni al cittadino.

Molto più preoccupante è la questione relativa ai pericoli che derivano dal concedere tali dati personali ad una società privata e l’interscambio tra i vari soggetti pubblici. Per rispondere al secondo quesito relativo alla pericolosità della diffusione dei dati occorre però fare alcune considerazioni preliminari di natura commerciale, oltre che terminologiche, in ambito “privacy”, materia disciplinata dal Regolamento Europeo 679/2016, e in Italia dal decreto legislativo 196 del 2003 di recente riformato dal decreto legislativo 101/2018.

Un gran numero di persone si sono accorte come e quanto circolino i nostri dati visto che siamo sempre più tempestati da chiamate al telefono per venderci, piani tariffari e altri prodotto. Sono numerosissime le industrie e aziende che acquistano i dati personali. Il valore attuale di questi dati è pari a 2 centesimi di euro per ogni dato venduto ed ogni persona è in grado di fornire decine e decine di dati, tra loro disomogenei. Tali dati possono essere elaborati in meta-dati attraverso degli appositi software.

Il Regolamento UE n. 679/16 definisce quale “«dato personale»: qualsiasi informazione riguardante una persona fisica (..)”. Sono un esempio di dati personali quelli relativi alla ubicazione, spostamenti ricorrenti, oppure all’altezza, peso, salute, oppure all’identità, razza, religione, lingua, orientamento politico, oppure quelli relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona.

Ma i dati personali non si esauriscono solo negli esempi ora menzionati. Il medesimo Regolamento UE definisce come “«trattamento» qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, e applicate a dati personali o insiemi di dati personali, coma la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Il vero pericolo consiste, ovviamente, nella diffusione dei dati e riutilizzazione, oltre che nella attenta gestione dei dati tale da non permettere di non permettere il “furto” di dati. La legislazione impone inoltre che il trattamento sia effettuato da chi tratta i dati, secondo i principi di liceità, correttezza, trasparenza, e che i dati personali siano raccolti per finalità determinate, esplicite e legittime.

L’art. 9 del Reg. UE pone un assoluto divieto di trattare dati personali che rivelino dati genetici, dati biometrici (iride, impronte digitali o scanner facciale) intesi a identificare in modo univoco una persona fisica, o anche i dati circa la salute, l’origine razziale o etnica, circa le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, o anche la vita sessuale o l’orientamento sessuale della persona. Tale divieto è stato derogato, in base alla crisi sanitaria in atto, dall’art. 17 bis della legge di conversione del c.d. “decreto cura Italia” n.18/2020, che permette di eludere anche il divieto di raccogliere dati relativi a condanne penali, carichi pendenti, e misure di sicurezza.

In altre parole, le attività di trattamento di regola assolutamente vietate saranno permesse in ragione della epidemia di Covid-19. Inoltre in base al comma 5 dell’art. 17 bis i soggetti pubblici o privati che saranno autorizzati al trattamento dei dati potranno e dovranno, oltre che scambiarseli reciprocamente, eludere l’obbligo di dover comunicare ai “proprietari” dei dati personali che si è fatto un “trattamento dati” nei loro confronti (obbligo imposto dall’art. 13 Reg. UE).

Infine se si considera che in base all’art. 6 Reg. UE il trattamento dei dati è sempre considerato lecito qualora l’interessato abbia dato il consenso, e che la successiva revoca del consenso non può impedire il successivo trattamento (art. 7 c. 3 Reg. UE) – e che quindi non si può impedire la diffusione dei dati già raccolti – sostenere che “cancellati o resi definitivamente anonimi”, come ha fatto il Governo italiano, è una affermazione per niente allineata alla normativa italiana e dell’Unione Europea e quindi alle attività lecite, anche se discutibili.

Visto che i dati raccolti potranno essere diffusi o trasferiti anche col consenso revocato, chiunque scaricherà l’app IMMUNI e darà il suo consenso al trattamento dei propri dati permetterà di riversare in un database un gran numero di propri dati personali che diverranno in un agglomerato di decine di milioni di dati personali, attraverso cui estrapolare meta-dati “spacchettati” da quelli originari che qualsiasi industria, multinazionali o impresa sarebbe ben disposta ad acquistare.

E’ agevole comprendere come i dati agglomerati in un determinato territorio relativi all’altezza, peso, salute, oppure relativi a caratteristiche fisiche, fisiologiche o comportamentali di una persona possano interessare all’industria farmaceutica e a ogni altro genere di affare commerciale. Oppure come i dati relativi all’identità, razza, religione, lingua, orientamento politico possano far gola a soggetti che vorrebbero orientare una certa politica a scapito di altre (come già avvenuto con lo scandalo americano di Facebook-Cambridge Analytica – capace di orientare una parte dell’elettorato u.s.a.).

Un ulteriore ed enorme rischio consiste nel fatto che tutte le società private, enti e pubbliche amministrazioni che saranno interessate alla gestione dei dati, dovranno scambiarsi milioni di dati e non c’è certezza che siano in grado di scongiurare il furto di dati da parte di pirati informatici, il c.d. “data breach” visto l’ampio bottino in ballo.

Non essendo i dati personali un elemento tangibile come un telefonino o un diario peronale, la società, tende a sottovalutare il problema della diffusione dei dati ma il fatto stesso che la legislazione europea abbia avuto la necessità di diramare in tutta Europa la normativa Privacy imponendo sanzioni severissime (come ad esempio la sanzione del 4% del fatturato annuo) già di per sé dovrebbe far intendere la grande portata dell’argomento.

E a nulla vale che si abbia già un profilo Facebook o Istagram perché si tratta di informazioni, e quindi di dati, diversi da quelli relativi alla salute e in ogni caso v’è la possibilità di esercitare il diritto di negare la profilazione o il riconoscimento facciale, ossia la memorizzazione del viso.

Perciò a nulla vale che modelle e attori abbiamo “sponsorizzato” questa applicazione, visto che i dati sono già sui social. Inoltre la disciplina dei dati personali dei c.d. personaggi pubblici non riceve tutela proprio per il fatto che la loro notorietà si basa proprio sulla diffusione dei dati, ma non può dirsi lo stesso per le persone non note, affatto viste come influencers quanto piuttosto come un prodotto di mercato.

Avv. Raffaele Mandato