App Coronavirus, l’avvocato Ciurcina: «La tutela dei dati personali è più importante della semplicità»

“Immuni”: è il nome dell’applicazione di prossimo rilascio che, realizzata da un consorzio di realtà private vincitrici dell’asta governativa, dovrebbe aiutarci a mappare e contenere l’epidemia da Coronavirus: con questa scelta il governo italiano si allinea a casi simili, promossi da altre amministrazioni pubbliche europee (la Francia su tutte) e globali, fra cui si cita spesso il caso della Corea del Nord. Qualcosa, però, differisce di molto fra lo spazio europeo e Paesi di altre zone del mondo: il quadro normativo, estremamente restrittivo per quanto riguarda la privacy, potenziato dall’entrata in vigore del regolamento GDPR e dotato di specifiche attenzioni proprio sui dati di tipo sanitario e biomedicale. Luca Foresti, Ad del Centro Medico Santagostino, uno dei co-developer dell’applicazione, ha spiegato al Corriere della Sera che «la app è anonima e non registra il numero di telefono degli utenti» .

Marco Ciurcina, avvocato e titolare di StudioLegale.it, è uno dei professionisti più noti nella community della privacy e della tecnologia. Lei giudica queste rassicurazioni come sufficienti?

«Diciamo che prendo atto con piacere di quanto afferma il progettista. D’altro canto, mi preme sottolineare che dire “l’app è anonima” significa qualcosa di molto forte, molto serio e molto specifico. Per chi è anonima l’applicazione? Per chi la usa, cioè gli utenti? Forse. Ma lo è per chi gestisce l’applicazione, i server, il flusso di dati? I sistemi operativi? C’è un qualche tipo di scambio di dati che da qualcuno può essere visibile? C’è una questione cruciale da decidere ora, ed è la gestione del database: come è noto si discute di due opzioni, quella di un database centralizzato e quella decentralizzata. Se esiste un database unico, al quale vengono inviati dati pseudonimi, ovvero che qualcuno può associare ad una persona determinata, chi ha accesso ad esso potrebbe essere nelle condizioni di trattare dati personali. Incrociando dati si è nella condizione di risalire ai soggetti ai quali si riferiscono i dati? Insomma: credo che sia importante che la comunità tecnica e scientifica possa valutare approfonditamente la soluzione tecnologica».

LEGGI ANCHE: CORONAVIRUS, ALLO STUDIO IL “CERTIFICATO DI IMMUNITÀ” PER TORNARE GRADUALMENTE AL LAVORO

Il progettista dell’applicazione, rispondendo alle domande del Corriere, sottolinea che molti di questi nodi dovranno essere sciolti dalla politica.

«È così, ed è certamente un momento molto delicato: la politica in genere, o più propriamente forse la nuova task force – ad oggi non è chiarissimo chi debba fare cosa – ha fra le mani una decisione molto importante, perché deve decidere quali dati l’applicazione dovrà trattare e se adottare o meno un sistema decentralizzato. Sono scelte cruciali in grado di determinare il livello di intrusione nella privacy dei cittadini. Mi sento di raccomandare, per parte mia, la soluzione decentralizzata, molto più sicura per la privacy e per i cittadini senza incidere sull’obiettivo di questa tecnologia, che è quello di di avvertire i cittadini che hanno corso un rischio, interfacciandosi con persone che non sapevano fossero contagiose. Questa scelta mi sembrerebbe anche molto più rispettosa del quadro normativo, delle raccomandazioni della Commissione europea, dei Garanti della privacy europei e dell’Europarlamento».

Si potrebbe obiettare che una soluzione centralizzata è certamente di più semplice gestione e che tutti questi allarmismi sono eccessivi.

«Chi ragiona così non capisce niente, dal punto di vista giuridico. C’è certamente un trade-off fra tutela della privacy e semplicità di gestione, il problema è che la semplicità non è un valore costituzionale mentre la tutela della privacy è un diritto dei cittadini, operativo nello spazio europeo, acquisito dalla normativa italiana e dalla Corte Costituzionale. La sicurezza dei dati e la tutela della privacy non possono essere messi sullo stesso piano di esigenze di rapidità gestionale, soprattutto quando vi sono opzioni tecnologiche percorribili che proteggono meglio la privacy dei cittadini».

LEGGI ANCHE: DATI SANITARI E BLOCKCHAIN PROTAGONISTI DELLA CONFERENZA MONDIALE DELLA PRIVACY DI TIRANA. PARLA BUSIA (GARANTE PRIVACY)

I più critici fanno presente che in casi analoghi – c’è chi cita il post-11 settembre – delle legislazioni emergenziali sono diventate “acquisite”, sono sopravvissute negli ordinamenti anche dopo la loro effettiva utilità.

«Si possono ricordare esempi anche più domestici. Abbiamo norme nel Testo Unico di Pubblica Sicurezza che impongono all’albergatore di segnalare agli organi di pubblica sicurezza i dati dei propri clienti: è un residuo dell’era fascista; o la norma che obbliga il proprietario di un immobile, quando lo dà in locazione, a comunicare alla Questura entro 48 ore chi è l’inquilino, una norma nata negli anni ‘70 per stanare i terroristi che è ancora in vigore. Finita l’emergenza, ci si dimentica di “pulire” il quadro normativo. Lo European Data Protection Board e anche il Garante della Privacy hanno già raccomandato di utilizzare soluzioni temporanee dal punto di vista legislativo».

Quale è stato il comportamento fino ad oggi della comunità informatica, della comunità di hacker in questi giorni di pandemia? Il New York Times ha invitato gli informatici a non esagerare.

«Io trovo molto interessante invece che la comunità informatica si sia attivata per proporre soluzioni e tecnologie. C’è molta velocità nello sviluppo dei dibattiti, di aggregazione dei pensieri, nascono delle iniziative anche interessanti e di livello molto alto. Ci sono stati poi alcuni fenomeni sicuramente curiosi. Il consorzio PEPP-PT, Pan-European Privacy-Preserving Proximity Tracing, composto da scienziati e tecnici che hanno delineato le linee guida per creare app di tracciamento inter-funzionanti a livello europeo all’inizio ha tenuto ferma l’idea del promuovere soluzioni distribuite e più rispettose della privacy dei cittadini: per ragioni che non sono ancora chiare il progetto ha poi rimosso l’opzione distribuita da quelle percorribili e alcuni soggetti accademici sono usciti da questo consorzio; c’è una lettera di alcuni membri del Parlamento Europeo che chiede spiegazioni su questa vicenda ai diretti interessati».