Se ne parla da mesi, ci si scontra da settimane. L’app “Immuni” ha generato, prima ancora della sua messa a disposizione, un dibattito accesso sulle sue funzionalità, sulla sua utilità e, soprattutto, sulla gestione dei dati personali che, inevitabilmente, andrà a trattare.
Dove salverà i miei dati, chi li gestirà, saranno al sicuro erano le domande che hanno anticipato addirittura la fase di sviluppo dell’app stessa. Mancanza di fiducia negli attori coinvolti, paura in un tracciamento stile coreano, il terrore di condividere con tutto il mondo i nostri aspetti più privati erano e sono ancora gli interrogativi a cui l’app è chiamata a rispondere.
Oggi possiamo finalmente scaricarla e analizzarne il funzionamento partendo da un testo che viene generalmente ignorato quando si scarica e utilizza un’applicazione: la sua informativa privacy. Liberandoci da norme, codici, richiami e commi, una lettura concreta sul funzionamento di “Immuni”.
Come funziona allora. Partiamo dalla finalità dell’applicazione e quindi del trattamento di dati personali ad essa associato: tracciare i positivi al Coronavirus, cercando di risalire e quindi mappare le persone (in questo caso i dispositivi) con cui quel soggetto è entrato in contatto. Come si legge nell’informativa, scopo dell’app è proprio quello di allertare gli utenti che hanno avuto un contatto a rischio con altri utenti risultati positivi al SARS-CoV-2 (il virus che provoca il COVID-19) e tutelarne la salute attraverso le misure di prevenzione previste nell’ambito delle iniziative di sanità pubblica legate all’emergenza COVID-19.
Per farlo occorre quindi mettere in comunicazione gli smartphone degli utente (che hanno scaricato chiaramente l’applicazione), per fare in modo che ognuno di essi possa memorizzare con quale altro dispositivo è entrato in contatto nel corso del tempo. I dispositivi dovranno, in background quindi senza intervento del proprietario, comunicare e scambiarsi dati tra loro, altrimenti non si riuscirà a tracciare i vari spostamenti.
E qua arriviamo al nocciolo della questione? Quali dati si scambiano i dispositivi e come lo fanno.
Partiamo dalla seconda domanda, come funziona tecnicamente. L’app avrà accesso al Bluetooth del nostro smartphone e potrà dunque identificare i dispositivi (anch’essi dotati di “Immuni”) che entrano nel suo raggio di azione. Quindi niente GPS, wireless, connessione dati, l’app funziona solo con il Bluetooth dello smartphone: con Bluetooth disattivato l’app semplicemente non funziona.
Adesso possiamo ritornare alla prima domanda: quali dati si scambiano gli smartphone che entrano tra loro in contatto.
Iniziamo dal primo avvio dell’app, quando viene richiesta la provincia di domicilio del proprietario dello smartphone, quindi prima richiesta di dati personali. Tale dato è chiaramente inviato sui server del ministero (titolare del trattamento e quindi unico responsabile nella gestione di questi dati) ed è trattato per monitorare lo sviluppo dell’epidemia, finalità quindi meramente statistiche. La provincia di domicilio non viene dunque utilizzata per lo scambio di informazioni da uno smartphone all’altro. Altro dato che inevitabilmente viene trattato è l’indirizzo IP del nostro smartphone, indispensabile per il corretto funzionamento dell’applicazione. Anch’esso però è sì trasmesso sui server ministeriali ma non viene mai scambiato con altri dispositivi.
Nessun altro dati viene richiesto: nessun nome o cognome, indirizzo e-mail o altri dati. Come funziona allora “Immuni”. Cosa comunica con gli altri smartphone.
Il sistema si basa sulla creazione casuale e periodica di un codice numerico univoco, composto da una serie di numeri e lettere. È proprio questo codice ad essere comunicato tra smartphone. Riprendiamo in mano l’informativa privacy che ci spiega che tale codice non contiene informazione identificative dell’utente e del suo dispositivo. Tale codice cambia diverse volte ogni ora proprio per tutelare al meglio la privacy. Quando un utente entra in contatto con un altro utente “Immuni” i dispositivi si scambiano semplicemente questi codici. In questo modo l’app riesce a tenere traccia dei codici con cui siamo entrati in contatto, senza salvare nessun’altra informazione, neppure dove questo scambio è avvenuto.
Ma cosa succede quando un utente è positivo?
In questo caso l’utente risultato positivo, con la collaborazione di un operatore sanitario (non si può infatti procedere autonomamente), può segnalare i propri codici generati nei giorni precedenti in modo da renderli disponibili a tutti gli altri utenti che hanno istallato l’app. Immuni controlla infatti periodicamente i codici presenti sul server e li confronta con quelli salvati sul proprio dispositivo. Se incontra una corrispondenza tra i codici salvati e quelli segnalati positivi sul server scatta a questo punto la notifica, che segnala all’utente cosa deve fare.
Un flusso quindi di informazioni fondamentalmente anonime: io utente non conoscerò mai l’identità delle persone con cui sono entrato in contatto e, cosa più importante, non saprò chi tra questi contatti è risultato positivo. Saprò soltanto che in un determinato momento sono entrato in contatto con una persona positiva al COVID-19. Cosa succederà da questo momento in poi, cioè quali misure di sicurezza adottare, non è ben chiaro, essendo ancora in fase di sperimentazione.
L’obiettivo di questa analisi è quello di liberare il campo da preconcetti e critiche precostruite. Oggi abbiamo un prodotto da analizzare, una informativa privacy da leggere. Quindi ci siamo limitati a capire il funzionamento di “Immuni” da un punto di vista privacy che, a detta anche del garante che ha espresso un parere favorevole (seppur con alcuni accorgimenti), sembra aver ben tutelato i dati personali degli utente.
Molte app che utilizziamo sul nostro smartphone, dal giochino al programma per monitorare le calorie, trattano molti più dati personali dell’app “Immuni”. Non solo, ogni app che installiamo ci chiede l’accesso ad alcune impostazioni del nostro smartphone: microfono, spazio di archiviazione, telefono e rubrica, galleria e solitamente concediamo tutto a tutti. A questo punto ci dobbiamo chiedere se permettere ad un app il cui titolare è il Ministero della Salute, che tratta e gestisce dati anonimi, alla cui installazione non ci viene chiesto nessuna autorizzazione speciale e non ha accesso a nessuna impostazione del nostro smartphone possa mettere a repentaglio la nostra privacy rispetto a tante altre app che possono vedere tutto e accedere dappertutto.
Emanuele Solombrino Data Protection Consultant 01 Privacy S.r.l.