Cookie free: nessun "biscotto" per spiare i lettori. Sono in corso di eliminazione i link di facebook, che tracciano chi clicca su "mi piace" o "condividi"

Il fallimento di Immuni e il vero "rischio privacy"

Privacy e sicurezza - Manlio Cammarata - 6 luglio 2020

1. L'app sarebbe veramente utile se fosse adottata da un'alta percentuale di cittadini?

Partiamo da un dato di fatto: in molti Paesi, a cominciare dalla Gran Bretagna, l'app di contact tracing (poi rinominata exposure notification, ridicolo tentativo di fugare i dubbi sul "tracciamento" che minaccia la privacy), si è rivelata un fiasco.
Per essere veramente efficace: a) dovrebbe essere adottata dalla quasi totalità della popolazione; b) dovrebbe essere collegata alla geolocalizzazione (orrore!), in modo che le autorità possano identificare i "focolai", anche temporanei; c) dovrebbe essere obbligatoria la notificazione dell'esposizione, come obbligatorio dovrebbe essere il successivo auto-isolamento del possibile contagiato; d) gli elenchi dei contatti dovrebbero essere in mano a un'autorità pubblica, per costituire una base di dati da correlare con altre informazioni, per individuare aree o soggetti a rischio.

Tutto questo sarebbe comunque influenzato negativamente dalla più che probabile alta percentuale di falsi positivi, perché il Buetooth può rilevare come pericolosa la vicinanza di due persone anche se indossano le mascherine o sono separate dalla famigerata lastra di plexiglass (vedi Ecco come funzionerà il tracciamento Apple-Google di Andrea Gelpi). Con il risultato di obbligare all'auto-isolamento anche una quantità di persone non a rischio. Situazione aggravata dalla lentezza di esecuzione dei "tamponi", almeno nelle prime fasi della pandemia.

Infine va considerato che l'app è stata resa disponibile troppo tardi, quando l'evoluzione dell'epidemia in Italia era in fase calante – con pochi "positivi" in giro – e il timore era meno diffuso che nella fase più critica.

2. Il falso problema della protezione dei dati personali

Ma l'idea del database centralizzato, come quella della geolocalizzazione, ha suscitato le ire dei talebani della privacy. Appena annunciata, l'app ha sollevato polemiche e rifiuti a priori perché, si diceva, avrebbe messo a rischio i dati personali. Bastava leggere con attenzione le prime specifiche per capire che il rischio non c'era, dal momento che i dati sarebbero stati cifrati con un sistema molto sicuro (vedi Android e iOS, quali garanzie per l'anti-Covid-19? di Andrea Gelpi).

Se ne sono lette di tutti i colori. A memoria, ricordo un Massimo Esperto che lanciava un allarme: attraverso i beacon Bluetooth sparsi un po' dovunque, chiunque avrebbe potuto catturare i contatti di una persona. A parte la difficoltà tecnica di una simile intrusione, l'ipotetico hacker avrebbe ottenuto solo codici cifrati, inservibili.

Un altro Massimo Esperto aveva "scoperto" che nel contratto tra il Commissario straordinario e la società che ha sviluppato l'app c'è la designazione della stessa società come responsabile del trattamento dei dati. «Lo avevo detto, io. Immuni viola la privacy, l'ho smascherata!». Peccato che nel codice dell'app reso pubblico non ci sia traccia di comunicazione di dati alla ditta e che, in ogni caso, si tratterebbe di dati cifrati, del tutto anonimi e quindi addirittura "non-dati personali" ai sensi del GDPR.

In tutto questo molti (compreso il Garante per la protezione dei dati!) hanno dimenticato o fatto finta di dimenticare che il GDPR non si applica ai trattamenti di dati compiuti da "autorità competenti" per "la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse" (art. 2, c. 2, lett. d).
E' la semplice applicazione del principio che l'interesse di un singolo (la protezione dei suoi dati)  non può prevalere sull'interesse della collettività (la protezione dalla pandemia – vedi COVID-19: fuorilegge l’app che traccia gli utenti? di Andrea Monti).

3. Il vero rischio della raccolta occulta dei dati personali

Apple e Google hanno annunciato che la funzione di tracciamento dei contatti via Bluetooth sarà incorporata nelle prossime versioni dei sistemi operativi. Ora chi ci garantisce che la lista dei contatti personali sarà sempre archiviata in locale e che sarà sempre cifrata, come nel caso di Immuni? Per soggetti come Google, che esiste e prospera solo grazie alla raccolta, all'elaborazione e al commercio di dati personali in modi più o meno occulti, la disponibilità di un elenco  dettagliato dei contatti di ciascuno di noi è un formidabile strumento per rendere i "profili" sempre più dettagliati.

Può bastare. Ma resta un ultimo interrogativo al quale è difficile dare una risposta. Tutti quelli che si sono scagliati contro una limitata e utile raccolta di dati da parte di un'autorità pubblica, hanno usato le reti sociali, cioè il mezzo notoriamente più pericoloso (insieme a Gmail e al telefono cellulare) per la sorveglianza di massa. Non lo sapevano?

Post scriptum.  Avevo scritto «Scaricherò l'app per dovere civico». Invece non l'ho fatto e non lo farò. Tanto per incominciare il telefonino che uso abitualmente ha un sistema operativo che non è né Android né iOS, quindi non può scaricare e far funzionare l'app, e quello di riserva è troppo vecchio. E poi, dopo avere studiato tutti i possibili risvolti della questione, mi sono convinto che Immuni è sostanzialmente inutile.
Fine della storia.

Tutti gli articoli su Immuni

COVID-19: fuorilegge l’app che traccia gli utenti? - Andrea Monti - 22 marzo 2020
COVID-19, il furbofono può aiutare ad arginare il virus - Manlio Cammarata - 22 marzo 2020
Covid-19, salute pubblica, contact tracing e GDPR - Manlio Cammarata - 28 marzo 2020
Android e iOS, quali garanzie per l'anti-Covid-19? - Andrea Gelpi - 14 aprile 2020
Contact tracing? «Allora lascio a casa il telefonino» - Manlio Cammarata . 14 aprile 2020
"Immuni" fra tracciamento, diritto d’autore e sicurezza - Andrea Monti - 21 aprile 2020
"Immuni", la soluzione proposta è a rischio privacy? - Andrea Gelpi - 21 aprile 2020
I molti dubbi sull'app italiana per il contact tracing - Manlio Cammarata - 21 aprile 2020
"Immuni",  un aggiornamento sull'aggiornamento - Manlio Cammarata - 21 aprile 2020
Contact tracing e braccialetti, quanta disinformazione! - Giovanni Falcone - 27 aprile 2020
Ecco come funzionerà il tracciamento Apple-Google - Andrea Gelpi - 27 aprile 2020
Exposure notification: perché non ci convince? - Manlio Cammarata - 27 aprile 2020
Il fallimento di Immuni e il vero "rischio privacy" - Manlio Cammarata - 6 luglio 2020