Individuato il sistema applicativo di contact tracing che sarà attuato in Italia
Lo fornirà Bending Spoons S.p.a.,
Il Commissario Straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica covid-19 ha emanato l’ordinanza n. 10/2020 del 16 04 2020 con la quale ha individuato il sistema di contact tracing che sarà introdotto in Italia. La scelta è caduta sul progetto proposto da Bending Spoons S.p.a..
La società italiana (PMI Innovativa con sede in Milano, costituita il 13 gennaio 2015) ha messo a disposizione gratuitamente il codice sorgente e tutte le componenti applicative facenti parte del sistema di contact tracing già sviluppate, e ha manifestato la propria disponibilità a completare gli sviluppi informatici che si renderanno necessari per consentire la messa in esercizio del sistema nazionale di contact tracing digitale. Sarà stipulato un contratto di concessione in licenza d’uso aperta, gratuita e perpetua in favore del Commissario straordinario.
Il percorso.
Il percorso tramite cui si è giunti a tale decisione è stato il seguente.
Nell’ambito dell’iniziativa «Innova per l’Italia» promossa dal Ministro dello Sviluppo economico, dal Ministro della Salute e dal Ministro per l’innovazione tecnologica e la digitalizzazione, è stata indetta il 23 marzo 2020 una fast call for contribution, chiusa il 26 marzo 2020, rivolta a privati, società ed enti, e diretta a individuare le migliori soluzioni digitali e tecnologiche disponibili per il monitoraggio “attivo” del rischio di contagio, in vista dell’adozione, a livello nazionale, di tali soluzioni e tecnologie, al fine di migliorare i risultati in termini di monitoraggio e contrasto alla diffusione del COVID-19.
Il Ministro per l’innovazione tecnologica e la digitalizzazione, il 31 marzo 2020, ha nominato il “Gruppo di lavoro data-driven per l’emergenza COVID-19” con il compito di effettuare attività di analisi e studio degli impatti del fenomeno epidemiologico in atto, nonché di procedere in tempi rapidi la valutazione delle proposte formulate dai partecipanti alla fast call for contribution, al fine di selezionare la proposta più efficace e idonea ad essere implementata in tempi rapidi a livello nazionale.
All’esito delle valutazioni effettuate dal Gruppo di lavoro e comunicate al Ministro per l’innovazione tecnologica e la digitalizzazione, è stata selezionata la soluzione denominata “Immuni”, proposta dalla società Bending Spoons S.p.a., ritenuta più idonea per la sua capacità di contribuire tempestivamente all’azione di contrasto del virus, per la conformità al modello europeo delineato dal Consorzio PEPP-PT e per le garanzie che offre per il rispetto della privacy.
Il Consorzio PEPP-PT.
Il Consorzio PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) è stato creato dal Fraunhofer Heinrich Hertz Institute tedesco, per assistere le iniziative nazionali fornendo meccanismi e standard pronti all’uso, collaudati e adeguatamente valutati, nonché il supporto per l’interoperabilità, la sensibilizzazione e il funzionamento quando necessario. E ciò, nel pieno adempimento delle norme e dei principi europei sulla privacy e sulla protezione dei dati. L’idea è stata quella di mettere la tecnologia a disposizione del maggior numero possibile di paesi, dei responsabili delle risposte alle malattie infettive e degli sviluppatori nel modo più rapido e semplice possibile. L’iniziativa è finanziata attraverso donazioni e ha adottato gli standard dell’OMS per tali contributi per evitare qualsiasi influenza esterna.
Il Consorzio è un’organizzazione che verrà formalizzata come Ente no profit in Svizzera.
Il team PEPP-PT, al 31 marzo 2020 conta oltre 130 membri in otto paesi europei, comprende scienziati, tecnologi ed esperti di istituti e società di ricerca internazionali, con esperienza in comunicazione, psicologia, epidemiologia, tracciamento di prossimità, sicurezza, privacy, crittografia, protezione dei dati, sviluppo di applicazioni, sistemi scalabili, infrastruttura di supercalcolo e intelligenza artificiale.
Si tratta dunque di una iniziativa internazionale che fornisce standard tecnici, meccanismi e servizi che creano interoperabilità alle implementazioni locali. Questi meccanismi includono tecnologie di proximity tracking; anonimizzazione sicura dei dati; meccanismi affidabili per consentire il contatto tra l’utente e gli ufficiali sanitari in un ambiente conforme alla protezione dei dati; API in grado di fornire catene di contatti anonime, nonché il punteggio di rischio per altre applicazioni (ad esempio per la gestione delle risorse sanitarie, la gestione del rischio privato o i sistemi di risposta alla pandemia). L’implementazione di riferimento fornisce blocchi di costruzione (sotto una licenza open source) per la creazione di applicazioni locali CoronaFinder.
I meccanismi forniti da PEPP-PT hanno le seguenti caratteristiche fondamentali:
1. Procedure collaudate e consolidate per la misurazione di prossimità per i più diffusi sistemi operativi e dispositivi mobili.
2. Applicazione della protezione dei dati, dell’anonimizzazione, della conformità GDPR e della sicurezza tecnica certificata e della comunicazione.
3. Interoperabilità internazionale per supportare il monitoraggio delle catene di infezione locali anche se una catena è stata avviata all’estero e si estende a più paesi partecipanti al PEPP-PT.
4. Architettura e tecnologia backend che può essere implementata nell’infrastruttura IT locale e può gestire centinaia di milioni di dispositivi e utenti per paese all’istante.
5. Gestione della rete di iniziative nazionali partner e fornitura API per l’integrazione delle caratteristiche e delle funzionalità nei processi sanitari nazionali (test, comunicazione, …) e nei processi di sistema nazionali (logistica sanitaria, logistica dell’economia, …).
6. Servizio di certificazione per testare e approvare le implementazioni locali.
Il funzionamento teorico delle procedure.
I meccanismi elaborati dal Consorzio funzionano seguendo questo modello standard.
1) Identificatore anonimo.
Ogni telefono trasmette a breve distanza un identificatore (ID) temporaneamente valido, autenticato e anonimo che non può essere collegato a un utente. La prossimità tra telefoni di altri utenti che condividono il software PEPP-PT viene stimata misurando i segnali radio (Bluetooth, ecc.) e utilizzando specifici algoritmi.
2) Registrazione della cronologia di prossimità.
Quando il telefono A si trova in prossimità epidemiologicamente sufficiente del telefono B per un periodo di tempo epidemiologicamente sufficiente l’ID anonimo del telefono B viene registrato nella cronologia di prossimità crittografata memorizzata localmente sul telefono A ( e viceversa). Nessuna geolocalizzazione, nessuna informazione personale nè altri dati vengono registrati per consentire l’identificazione dell’utente. Gli eventi più vecchi nella cronologia di prossimità vengono eliminati quando diventano epidemiologicamente non importanti.
3) Utilizzo della cronologia di prossimità: due modalità operative.
Modalità 1
Se un utente non è stato testato o è risultato negativo, la cronologia della prossimità anonima rimane crittografata sul telefono dell’utente e non può essere visualizzata o trasmessa da nessuno. In qualsiasi momento, viene salvata solo la cronologia di prossimità che potrebbe essere rilevante per la trasmissione del virus e la cronologia precedente viene continuamente eliminata.
Modalità 2
Se è stato confermato che l’utente del telefono A è SARS-CoV-2 positivo, le autorità sanitarie contatteranno l’utente A e forniranno all’utente un codice TAN che garantisce che il potenziale malware non possa iniettare informazioni errate sull’infezione nel sistema PEPP-PT . L’utente utilizza questo codice TAN per fornire volontariamente informazioni al servizio fiduciario nazionale che consente la notifica di app registrate nella cronologia di prossimità e quindi potenzialmente infette. Nessuna delle due persone può essere a conoscenza dell’identità dell’altro.
4) Operazione di servizio fiduciario dipendente dal paese.
Gli ID anonimi contengono meccanismi crittografati per identificare il paese di ogni app che utilizza PEPP-PT. Utilizzando tali informazioni, gli ID anonimi vengono gestiti in modo specifico per Paese:
Modalità 1
Se entrambi gli ID anonimi del telefono A e B provengono dallo stesso paese, l’ID anonimo della parte potenzialmente infetta può essere contrassegnato, in modo che quando l’app di questa parte chiede informazioni sul suo stato, l’app verrà informata della possibile esposizione.
Modalità 2
Se un ID anonimo del telefono B viene identificato come associato a un altro paese diverso dal telefono A, le informazioni associate all’ID anonimo del telefono B vengono trasmesse al servizio fiduciario nazionale dell’altro paese. Questa trasmissione è completamente crittografata e firmata digitalmente. L’ulteriore elaborazione viene eseguita dal servizio fiduciario nazionale del paese che ha emesso l’app.
5) Elaborazione sanitaria
Un processo su come informare e gestire i contatti esposti può essere definito Paese per Paese.
Chi è Bending Spoons s.p.a.
Bending Spoons S.p.A. (P.IVA 08931860962) è una PMI Innovativa (PMII) sita in Corso Como 15, 20154, Milano, costituita il 13 gennaio 2015 a Milano.
Le quote di Bending Spoons sono ripartite fra i seguenti soci fondatori: Matteo Danieli, Luca Ferrari, Tomasz Greber, Francesco Patarnello e Luca Querella e i dipendenti.
La società si occupa di sviluppare software. In particolare, Bending Spoons è specializzata nella creazione e distribuzione di app mobili. Una parte molto significativa delle spese sostenute da Bending Spoons è rivolta ad attività di ricerca e sviluppo, principalmente nell’ambito del design e dell’implementazione di nuove app o del miglioramento di app esistenti, e in quello dello sviluppo di nuove tecnologie e strumenti sottostanti lo sviluppo delle app stesse.
Il rispetto della protezione dei dati personali
Non sono state rese ancora pubbliche le informazioni sul funzionamento dell’app acquisita dal Governo. Si sa solamente che è conforme agli standard elaborati dal Consorzio PEPP-PT.
La questione cruciale consiste nelle garanzie di rispetto del Regolamento Ue 679/2016, sulla protezione dei dati personali.
Il Garante è intervenuto più volte, e tra le altre cose ha chiarito che “lo scambio e, prima ancora, la raccolta dei dati devono avvenire nel modo meno invasivo possibile per gli interessati, privilegiando l’uso di dati pseudonimizzati (ove non addirittura anonimi), ricorrendo alla reidentificazione laddove vi sia tale necessità, ad esempio per contattare i soggetti potenzialmente contagiati. Nella complessa filiera in cui si articolerebbe il contact tracing, soggetti privati – a partire dalle grandi piattaforme – dovrebbero porre il patrimonio informativo di cui dispongono a disposizione dell’autorità pubblica, alla quale dovrebbe invece essere riservata la fase dell’analisi dei dati, che necessita delle garanzie e della responsabilità degli organi dello Stato. In ogni caso, le società coinvolte in questo progetto dovrebbero possedere requisiti di affidabilità e trasparenza di azione” (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9299193).
In tal senso il 14 aprile 2020 è stata resa pubblica la lettera che il Presidente del Comitato Europeo per la Protezione dei Dati ha inviato alla Commissione europea, sul Progetto di linee-guida in materia di app per il contrasto della pandemia. I punti più importanti messi in evidenza sono i seguenti:
a) La messa a punto delle app deve avvenire secondo criteri di responsabilizzazione, documentando attraverso una valutazione di impatto sulla protezione dei dati tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default
b) il codice sorgente dovrebbe essere reso pubblico così da permettere la più ampia valutazione possibile da parte della comunità scientifica
c) le app potranno garantire la massima efficacia solo se saranno utilizzate dalla quota più ampia possibile della popolazione
d) E’ preferibile che l’adozione di tali app sia prevista su base volontaria, attraverso una scelta compiuta dai singoli nel segno di una responsabilità collettiva.
e) Non è detto che il trattamento di dati personali da parte di soggetti pubblici debba fondarsi necessariamente sul consenso. Qualora un servizio sia fornito da un soggetto pubblico che operi sulla base di un mandato conferito dalla legge e conformemente ai requisiti fissati in tale legge, il fondamento giuridico più idoneo per il trattamento dei dati risulta essere la necessità del trattamento stesso per l’adempimento di un compito nell’interesse pubblico. Il fondamento giuridico per l’utilizzo delle app potrebbe individuarsi nella promulgazione di leggi nazionali che promuovano l’impiego di app su base volontaria senza alcuna penalizzazione per chi non intendesse farne uso.
f) Le app non necessitano di geolocalizzare i singoli utenti. E questo perché l’obiettivo che perseguono non è seguire gli spostamenti individuali o imporre il rispetto di specifiche prescrizioni, ma individuare eventi (il contatto con soggetti positivi) che hanno natura probabilistica e che possono anche non verificarsi per la maggioranza degli utenti, soprattutto nella fase post-emergenziale.
g) Raccogliere dati sugli spostamenti di una persona durante il funzionamento di un’app di tracciamento dei contatti configurerebbe una violazione del principio di minimizzazione dei dati, oltre a comportare gravi rischi in termini di sicurezza e privacy.
h) In ordine alla memorizzazione degli eventi, si possono immaginare due scenari: memorizzazione dei dati in locale, all’interno dei dispositivi degli utenti, oppure memorizzazione centralizzata. Il Comitato ritiene che siano percorribili entrambe le strade, purché siano previste adeguate misure di sicurezza, e che la titolarità dei trattamenti potrà variare a seconda dell’obiettivo perseguito in ultima analisi dall’app.
i) E’ essenziale garantire la qualità dei dati oggetto di trattamento.
l) In ordine ai passi da compiere per individuare persone che siano venute in contatto con soggetti positivi al COVID-19, le informazioni, attraverso notifiche in-app, possono essere fornite assicurandosi che l’app tratti solo pseudonimi randomizzati. Si dovrebbe prevedere, inoltre, un meccanismo in grado di garantire la correttezza delle informazioni inserite nell’app ogniqualvolta una persona sia dichiarata positiva, visto che da tale informazione possono scaturire notifiche ad altre persone concernenti la loro esposizione al virus. Un meccanismo del genere potrebbe basarsi, per esempio, sull’impiego di un codice monouso scannerizzabile dalla persona quando questa riceve i risultati di un test.
m) Tutti i contatti con i singoli interessati devono avvenire solo attraverso le autorità sanitarie e previa valutazione di dati fortemente probanti, evitando al massimo processi inferenziali.
n) Gli algoritmi utilizzati nelle app per il tracciamento dei contatti dovrebbero operare sotto la stretta vigilanza di personale qualificato al fine di limitare i falsi positivi e i falsi negativi
o) In nessun caso le “indicazioni di comportamento” dovrebbero scaturire da processi esclusivamente automatizzati. È opportuno prevedere un meccanismo di richiamata, mettendo a disposizione delle persone un numero di telefono o un canale di contatto che permetta di ricevere maggiori informazioni da un agente umano. Le “indicazioni” in oggetto non dovrebbero fare in alcun modo riferimento a informazioni potenzialmente identificative di altri interessati, né l’impiego dell’app o di sue componenti (pannello di controllo, impostazioni di configurazione, ecc.) dovrebbe consentire la reidentificazione di altri soggetti, positivi o meno al COVID-19.
Avv. Vittorio Fiasconaro