Coronavirus, relazione Copasir sulla app Immuni: “Rischi geopolitici non trascurabili. Verificare che nessuno possa accedere ai dati”

La app Immuni scelta dal governo per tracciare i contatti di chi risulterà contagiato dal coronavirus presenta “aspetti critici, che dovrebbero essere corretti, per evitare che l’efficacia della iniziativa risulti ridotta, e, soprattutto, che si possano determinare rischi connessi sia alla trasmissione dei dati dei cittadini, in ordine al rispetto della privacy e alla sicurezza dei dati personali, sia in particolare alla stessa gestione complessiva, dal punto di vista epidemiologico, dell’emergenza sanitaria”. Lo sottolinea il Copasir nella relazione sui “profili di sicurezza del sistema di allerta Covid-19′. La relazione, approvata dal Comitato parlamentare per la sicurezza della Repubblica nella seduta del 13 maggio scorso e sulla quale il M5s si era astenuto, è stata resa pubblica visto che ne è stata deliberata la presentazione al Parlamento.

Il Comitato premette che “non intende entrare nel merito della scelta del Governo di predisporre uno strumento di tracciamento dei contatti sociali per prevenire i rischi derivanti dal contagio”. Ma sul metodo ha diverse osservazioni. “In primo luogo, si rileva che la norma di cui al citato articolo 6 del decreto-legge n. 28 del 2020, istitutivo della piattaforma digitale, rinvia a successivi atti del ministro della salute l’individuazione dei criteri sulla base dei quali verranno stabiliti i dati sanitari e personali da immettere nell’applicazione e le modalità con cui avverrà tale inserimento”, osserva il Copasir. “Pertanto, costituisce soltanto una cornice del progetto, i cui dettagli, molti dei quali rilevanti, devono essere ancora individuati e determinati, attraverso atti di natura amministrativa. Ad esempio, il sistema di Contact tracing viene definito complementare rispetto alla ordinaria modalità in uso nell’ambito del Ssn, mentre il Comitato ritiene che esso dovrebbe essere considerato integrativo di tali modalità, per evitare che il C.T. digitale sostituisca il tracciamento ordinario”.

La parte più delicata è però quella che allude all’azionariato della società che ha messo a punto la app, Bending Spoons, che comprende la H14 dei tre figli di Silvio Berlusconi, la holding Nuo Capital della famiglia Pao Cheng di Hong Kong e StarTip (veicolo di Tamburi Investments Partners spa). Si possono “evidenziare rischi non trascurabili sul piano geopolitico, che secondo quanto emerso dalle audizioni sarebbero non mitigabili“, si legge. “Infatti, la definizione dettata da privati dell’architettura dell’intero sistema informatico, inclusa la App, nonché la necessità di ricorrere a soggetti privati non nazionali, per quanto da considerare affidabili, per il Cdn destinato a contenere i dati raccolti, potrebbero prestarsi a manipolazioni dei dati stessi, per finalità di diversa natura: politica, militare, sanitaria o commerciale“.

“Si sottolinea inoltre come la possibile alterazione dei dati potrebbe far sovrastimare o sottostimare l’entità stessa dell’epidemia – avverte il Copasir – Va inoltre evidenziato come, qualora ciò dovesse essere confermato, la soluzione di trasmettere i dati dei cittadini italiani alla Content Delivery Network pare contrastare con il contenuto dell’articolo 6, comma 5, del decreto-legge n. 28 del 30 aprile 2020, in cui si esplicita in maniera chiara che la piattaforma, di titolarità pubblica, è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale“.

“Peraltro, appare quanto mai opportuno porre all’attenzione anche che, alla luce del comma 3 dell’articolo del citato decreto-legge, i dati raccolti attraverso l’applicazione non potranno essere trattati per finalità diverse da quella di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica“, osserva il Copasir. “Per quanto appena evidenziato un simile ‘transito di dati’, anche se fosse temporaneo e avvenisse esclusivamente per mezzo di sistemi informatici presenti sul territorio nazionale, dovrebbe obbligatoriamente essere non solo chiarito ed esplicitato, ma anche e soprattutto regolamentato con estrema attenzione sotto il punto di vista giuridico, al fine di adempiere a quanto previsto dalla normativa europea e nazionale in materia di trattamento di dati personali”.

“In tal senso, potrebbe essere opportuno verificare che nessun attore nazionale e soprattutto internazionale, ivi compresa la società aggiudicataria dello sviluppo della App, possa in qualsivoglia modo accedere direttamente o incidentalmente ai dati raccolti, anche nel caso in cui questo soggetto abbia dato un qualsiasi apporto – anche tecnologico – per la realizzazione o per l’efficacia del sistema nazionale di allerta Covid-19 – osserva il Comitato – Ciò al fine di impedire che simili informazioni – rilevanti sia sul piano della qualità sia della quantità e soprattutto della capillarità – possano più o meno direttamente entrare nel possesso di attori europei e internazionali, sia pubblici sia privati, a vario titolo interessati”.