L’Italia ha scelto l’app per il “contact tracing”: si tratta di “Immuni”, una applicazione informatica messa a punto dalla Bending Spoon in collaborazione con il Centro Medico Santagostino. La scelta è stata effettuata, selezionando tra le molte e diverse proposte, candidate per il tracking delle persone.
Il commissario Arcuri ha firmato l’Ordinanza per stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a. Con la app si potranno tracciare i contatti via bluetooth e vi sarà un diario clinico nel quale ogni utente inserirà le informazioni di salute¹.

I requisiti di base

L’app segue i criteri delineati dal Consorzio PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing), su cui stanno convergendo molti paesi europei e pubblicate dalla Commissione Europea, come linee guida. Oltre ai requisiti di volontarietà e di interoperabilità tra Stati, anche la tecnologia utilizzata per il tracciamento deve rispondere a criteri di sicurezza e di rispetto della privacy.

Questo modello europeo prevede che le apps devono stimare con sufficiente precisione (circa 1 metro) la vicinanza tra le persone per rendere efficace l'avvertimento circa il contatto con una persona positiva al Covid-19. Per questo possono essere utilizzati "il Bluetooth o altre tecniche efficaci", evitando la geolocalizzazione. I dati sulla posizione dei cittadini non sono infatti necessari né consigliati ai fini del tracciamento del contagio. Il documento del gruppo, precisa altresì che l'obiettivo delle apps non è seguire i movimenti delle persone o far rispettare le regole, perché questo creerebbe rilevanti problemi di sicurezza e privacy. Per mantenere l'anonimato, è previsto che le apps utilizzino un ID (codice d'identificazione utente, ndr) anonimo e temporaneo che consenta di stabilire un contatto con gli altri utenti nelle vicinanze. Inoltre le apps dovranno funzionare allo stesso modo sulle piattaforme iPhone e Android².

Il funzionamento di “Immuni”

1. L’app memorizza in locale, sul dispositivo, tutti i codici bluetooth degli altri dispositivi, dotati della stessa app (siano questi smartphone, smart watch o device stand alone come braccialetti) che sono venuti in contatto, rilevandone la distanza e la durata del contatto. Sistemi di crittografia e pseudoanonimizzazione impediscono di associare il codice all’identità del proprietario di quel dispositivo.
2. Le funzioni scattano allorquando un cittadino è rilevato positivo dopo un test per il coronavirus. L’operatore sanitario, prima di fare il questionario analogico, gli chiede se ha installato l’app Immuni.
3. Se la risposta è sì, l’operatore genera, con una diversa app, un codice con cui il cittadino può caricare su un server i dati raccolti dalla sua app. Qui c’è la lista dei codici bluetooth con cui è entrato in contatto.
   Il server calcola per ognuno di questi codici il rischio che ci sia stato un contagio (vicinanza, tempo di contatto) e quindi invia una notifica ai dispositivi di persone potenzialmente a rischio, sempre tramite l’app.
4. La notifica ha un messaggio deciso dalle autorità sanitarie e chiede di seguire un protocollo (isolamento, contattare numeri di emergenza per tamponi).

Il presupposto per il funzionamento ottimale del sistema è che l’applicazione venga utilizzata da almeno il 60 per cento della popolazione.

“Immuni” ha anche un diario clinico, dove gli utenti possono scrivere informazioni rilevanti dal punto di vista medico (oltre a età, sesso anche malattie pregresse e farmaci assunti). Il cittadino aggiorna il diario ogni giorno, aggiungendo sintomi ed evoluzione dello stato di salute.Il diario è anonimo e volontario. Ma gli operatori possono utilizzarlo quando il cittadino si rivolge a loro per analizzare meglio la situazione e prendere decisioni più informate.

La geolocalizzazione

I dati gps di geolocalizzazione potrebbero essere usati solo in forma aggregata, per tracciare nuovi possibili focolai: lo permette la tecnologia dell’app “Immuni”, ma al momento non è chiaro se il Governo vorrà usare anche questa funzione (non raccomandato dalla Commissione europea, perché i rischi di sorveglianza, nonostante le tutele, potrebbero essere superiori ai vantaggi).

Privacy e criticità

Diversi giuristi hanno già chiarito che in caso di emergenza, come può essere questa pandemia scatenata dal nuovo coronavirus che evidenzia non solo i limiti dei nostri sistemi sanitari, politici ed economici, ma anche quelli sociali e giuridici di libertà di spostamento e di riservatezza, possano essere diversamente modulati temporaneamente, in cambio della tutela della salute e della sicurezza dei cittadini.
Il contact tracing non è quindi un gigantesco strumento di identificazione, se, come ha chiatito il Garante della Privacy, si utilizza una reidentificazione da parte delle autorità pubbliche laddove vi sia tale necessità, ad esempio per contattare i soggetti potenzialmente contagiati ³.

E’ importante infine che il cittadino che riceve l’alert di essere venuto a contatto con un soggetto positivo per il coronavirus, venga tutelato da una struttura organizzativa che gli sia di riferimento e di supporto informativo.

E’ fondamentale che i dati completi siano conosciuti soltanto dalle autorità pubbliche, alle quali deve essere riservata la fase dell'analisi, che necessita delle garanzie e della responsabilità degli organi dello Stato.
A questo proposito è stato sugerita una legge ad hoc, della durata strettamente collegata al perdurare dell’emergenza⁴.
L’app prescelta non consente la “marcatura” delle persone, che può innescare la “caccia all’untore” che si è invece verificata nei paesi che hanno utilizzato il tracing in chiaro e in modo coercitivo e che ha  generato episodi di violenza⁵.

Dal punto di vista tecnico ci sono alcuni problemi da risolvere per far colloquiare i dispositivi delle due piattaforme (Apple e Android) ed è difficile che ci si possa riuscire, senza interagire a livello profondo con i due sistemi operativi: a questo mira lo sforzo di Apple e Google per una piattaforma congiunta. I primi risultati della collaborazione tra i due giganti della tecnologia saranno disponibili verso la metà di maggio, e fino ad allora non è detto che "Immuni" potrà funzionare al massimo delle sue potenzialità⁶.

Altra problematica tecnica ma con pesanti implicazioni giuridiche, è la disponibilità dei dati raccolti dalle singole app installate sugli smartphone e scaricate sui server nel momento in cui il cittadino diventa positivo al test per il coronavirus. Sono server presenti sul territorio nazionale, nella disponibilità esclusiva del ministero della salute e del Servizio Sanitario?

Bibliografia

1. http://www.quotidianosanita.it/allegati/allegato9967481.pdf
2. https://www.dday.it/redazione/35022/contact-tracing-lue-pubblica-le-linee-guida-no-alle-app-che-usano-il-gps
3. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9299193
4. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9294061
5. https://spectrum.ieee.org/the-human-os/biomedical/ethics/halting-covid19-benefits-risks-digital-contact-tracing
6. https://www.lastampa.it/tecnologia/news/2020/04/15/news/no-a-gps-e-celle-telefoniche-si-al-bluetooth-ecco-la-soluzione-di-apple-e-google-per-il-contact-tracing-contro-il-coronavirus-1.38719976