Tanti sono i dubbi sull’app “Immuni” scelta dal Governo per il contact tracing, da utilizzare nella fase due quali ad esempio il codice sorgente o il Cloud di riferimento e la conseguente ubicazione dei server, o la (DPIA) che sarebbe la valutazione di Impatto sulla protezione dei dati personali . Sono trascorsi pochissimi giorni, dalla firma dell' ordinanza del Commissario Arcuri, con il quale ha scelto l'applicazione che ci accompagnerà nella fase due della pandemia COVID19, che già divampano dubbi, perplessità in merito a tale scelta . Molteplici sono i dubbi e non risulta facile dare un giudizio, anche di massima su questa applicazione, perché non c'è niente di noto come un white paper, o un documento che spieghi le caratteristiche tecniche e neanche le motivazioni della task force del ministero dell'Innovazione che hanno determinato la scelta dell'applicazione .
Ciò nonostante, nel nostro piccolo, di seguito proviamo a descrivere quelli che mostrano più perplessità e forti preoccupazioni nella comunità scientifica.
La prima perplessità è la totale mancanza di trasparenza nella procedura di scelta della applicazione IMMUNI tra le 318 che avevano risposto alla call del Governo. Difatti ad oggi da nessuna parte è stata pubblicata la documentazione di comparazione e valutazione a base della scelta che Gruppo di Lavoro di esperti ha esperito.
La seconda perplessità, è quella, che ad oggi non si hanno notizie su come Bending Spoon attui la (DPIA) cioè la Valutazione di Impatto sulla protezione dei dati personali. Dalla conoscenza della DPIA si potrà capire in che termini sia stata sviluppata l'applicazione alla luce dei princìpi di “privacy by design” e “privacy by default”.
Il terzo dubbio è quello di disconoscere il codice sorgente dell'applicazione che lo sviluppatore “Bending Spoon” dovrebbe mettere in chiaro permettendo cosi ad altri sviluppatori di integrare l'applicazione in ottica di sicurezza e privacy e sopratutto conoscere esattamente l'applicazione cosa fa dietro le quinte.
Il quarto dubbio, perplessità non di poco conto, è quale tipo di Cloud utilizza Immuni? Difatti bisognerebbe sapere di che cloud ci serviamo e se intervengono fornitori privati, tipo Google, ma sopratutto dove risiedono i server di cui si servirebbe il “sistema nazionale di contact tracing”. Tali informazioni sono vitali al funzionamento dei servizi dell'applicazione e importantissimi in quanto bisogna sapere se il trasferimento di dati sensibili può avvenire al di fuori della UE. Il problema della ubicazione dei server può essere una fortissima criticità per il relativo trattamento di questi dati, che ricordiamo varia da nazione a nazione, e tra l’altro non è chiaro che fine fanno i dati oggetto di calcolo sui server in cloud, oltre alla completa disconoscenza delle politiche di conservazione e cancellazione degli utenti che hanno utilizzato IMMUNI.
Altro ambito che si dovrebbe approfondire, siamo già al quinto, è la reale anonimità dell'utente e il flusso di scambio dei dati tra il tra cittadino, che dovesse risultare positivo al test di Sars-Cov-2, e l'interrogatorio effettuato dal medico, dotato di una sua versione della applicazione, per l'anamnesi clinica e la gestione del decorso clinico.
È infine appare molto poco chiaro e andrebbe approfondito quali sono le modalità relative alla possibilità di sbloccare volontariamente la lista dei contatti anonimizzati di chi si è incrociato negli ultimi 14 giorni per notificagli il rischio contagio. Sul punto il Garante suggeriva nella sua recente audizione parlamentare che il soggetto risultato positivo dovrebbe fornire l’identificativo IMEI del dispositivo direttamente alla ASL di competenza che sarebbe poi tenuta a trasmetterlo a un server pubblico centrale per consentirgli così di ricostruire, tramite un calcolo algoritmico, i contatti tenuti con altre persone le quali si siano, parimenti, avvalse dell’applicazione Immuni.
Saranno i prossimi giorni ad aprirci gli occhi ma sopratutto la volontà del governo di renderci partecipi di cosa ci aspetta dopo aver scariato l'applicazione.
SA.MI