Immuni noi, ma non i nostri dati

IMMUNI NOI MA NON I NOSTRI DATI AVV SILVIA DI VIRGILIO LEX AROUND ME MILANO

 

Di tracciamento in funzione anti Coronavirus si parla da settimane. Sembra che la scelta sia ormai ricaduta sull’app “Immuni” che dovrebbe consentire di tracciare i cittadini che decideranno di scaricarla.

Un sistema su base volontaria

Scaricare l’app sarà facoltativo e su base volontaria e non potrebbe essere che così. Anche se c’è chi già dice che senza l’app gli spostamenti potrebbero essere limitati.

Il punto è che il sistema funzionerà solo se verrà adottato da una percentuale minima del 60-70% degli italiani. 

E il consenso al trattamento dei nostri dati dovrà essere libero e non condizionato. Quindi nessun consenso pre flaggato, in linea con le previsioni del GDPR. 

Una delle questioni più rilevanti è che l’operazione appare poco trasparente, le informazioni presenti nell’ordinanza sono decisamente scarse e in concreto non è chiaro come e per quanto tempo i nostri dati verranno tracciati e conservati.

A quanto sembra l’app Immuni, una volta installata, genererà una chiave di tracciamento univoca che dovrà essere originata in modo casuale e anonimo.

Quindi non dovrebbe nemmeno contenere il codice IMEI del dispositivo. Da questa chiave di base verrà creata ogni giorno una chiave giornaliera da cui, a cascata, deriveranno degli ID di prossimità che cambieranno ogni 15 minuti. E che verranno rilasciati tramite Bluetooth per essere letti da chiunque sia in prossimità.

Senza però essere mai associati a una specifica persona fisica.

L’app Immuni, quindi, da un lato collezionerà tutte le chiavi di tracciamento giornaliere generate per sé stessa. Dall’altro tutti gli ID di prossimità dei dispositivi con cui si incontra via Bluetooth.

In questo modo si creerà una lista che rimarrà all’interno del dispositivo probabilmente per un tempo calcolato sul periodo di incubazione del virus.

Al termine dovrebbe essere cancellata in conformità al principio di limitazione della conservazione, senza avere alcun contatto con il server madre.

Solo nel caso in cui il possessore dello smartphone diventasse positivo al virus riceverà – non è dato sapere da chi – un codice, anch’esso anonimo e non associato al soggetto, tramite il quale inviare al server tutte le proprie chiavi giornaliere di tracciamento.

In sostanza l’app Immuni segnalerà a un server che qualcuno – senza specificare chi – sarebbe positivo al Coronavirus comunicando, anche, i dati provenienti dalle chiavi di tracciamento giornaliero. Il server, a quel punto, invierà a tutti gli altri dispositivi che hanno scaricato l’app le chiavi di tracciamento giornaliere provenienti dall’app del soggetto positivo al virus.

Gli altri dispositivi, quindi, incroceranno le proprie liste presenti solo sul dispositivo e in caso di compatibilità attiveranno un algoritmo che valuterà il rischio di contagio in base alla durata dell’esposizione.

In caso di valutazione positiva probabilmente riceveranno una notifica che li inviterà ad andare a fare un tampone. Ammesso che sia finalmente possibile.

Ed è questo il punto.

Al di là delle considerazioni sull’opportunità o meno di scaricare l’app Immuni, sui dubbi – tanti – su come verranno realmente utilizzati i nostri dati e da chi. Se alla fine non ci sarà la possibilità di mappare realmente la popolazione questa app rischia, a mio avviso, di rimanere uno dei tanti strumenti di tracciamento che consapevolmente o meno utilizziamo quotidianamente.

Perché è ovvio a tutti che se anche non compaiono i nostri dati personali, intesi come nome, cognome, ecc.. i nostri spostamenti sono comunque tracciabili grazie alle celle dei gestori telefonici presenti sul territorio che attraversiamo quotidianamente per agganciarci e utilizzare il nostro telefono.

E per quanto possa non essere un dato personale in senso stretto l’IP del nostro telefono è un dato personale. Ed è compreso e disciplinato nel GDPR.

Quando invio la mia chiave di tracciamento giornaliera al server trasmetto ovviamente anche il mio indirizzo IP.  Che associato a una data e un’ora è un dato univoco. Se unisco, infatti, indirizzo IP, data e ora ottengo un nome e un cognome.

E a ottenerlo è il mio gestore telefonico. Non l’ospedale o il servizio sanitario. 

E’ vero che per ottenerlo dal gestore telefonico servirà un’autorizzazione giudiziaria. E il consenso che abbiamo tutti manifestato ai nostri operatori telefonici è nei limiti delle finalità di erogazione del servizio richiesto e per la fatturazione. 

Però il dato personale esiste. E può essere oggetto di un  Data Breach.

E cosa succede se con quel Data Breach i nostri dati vengono comunicati a terzi?

Perché i nostri dati sono un valore economico per le aziende. E lo abbiamo visto in passato con casi famosi. Ma i nostri dati sanitari lo sono ancora di più.

Perché gli stessi dati che oggi mi servono per proteggermi dal Coronavirus potrebbero ben essere trasmessi a soggetti terzi che operano in ambito assicurativo, bancario e magari avranno un impatto sulle condizioni contrattuali che mi verranno proposte.

Personalmente potrei anche decidere di limitare la mia libertà a fronte di un sistema che mi preservi dal contrarre un virus o una malattia. Ma non credo un’app sia un sistema efficace per combattere questo virus. Non sono un virologo o un medico quindi mi astengo da giudizi di tipo scientifico. Ritengo, però, che un metodo efficace sia mappare l’intera popolazione attraverso tamponi ed esami sierologici.

 

Vuoi sapere gli effetti del Coronavirus sul GDPR? Leggi anche il Post “GDPR e Coronavirus, un equilibrio delicato“.

Se vuoi risolvere una tua questione legale o avere un parere sugli argomenti trattati prenota qui la tua consulenza.

Se vuoi approfondire tutti gli aspetti del GDPR leggi gli articoli della Categoria. 

Per tutti gli aggiornamenti segui #LexAroundMe

Lascia qui il tuo commento al blog e ai servizi di LexAround.me

 

#Immuni noi, ma non i nostri #dati #GDPR #App #Coronavirus #Privacy #datipersonali #datisanitari #LexAroundMe #LexAroundTalk Condividi il Tweet

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *