Senato della Repubblica - 4-03458 - Interrogazione sulle criticità legate alla tutela della privacy dell'app "Immuni". RISPOSTA

19 giu

Senato della Repubblica - 4-03458 - Interrogazione sulle criticità legate alla tutela della privacy dell'app "Immuni". RISPOSTA

venerdì 19 giugno 2020 Interrogazioni, interpellanze, risoluzioni, mozioni Contenuto pubblico

Senato della Repubblica - 4-03458 - Interrogazione a risposta scritta presentata il 19 maggio 2020.

- Al Ministro per l'innovazione tecnologica e la digitalizzazione. -

Premesso che a quanto risulta agli interroganti:

con ordinanza del 16 aprile 2020 il Commissario straordinario per l'attuazione e il coordinamento delle misure occorrenti per il contenimento e contrasto dell'emergenza epidemiologica COVID-19, Domenico Arcuri, ha disposto la stipula del contratto di concessione gratuita della licenza d'uso sul software di contact tracing (denominato "Immuni") e di appalto di servizio gratuito con Bending Spoons SpA;

l'applicazione è stata scelta perché «ritenuta più idonea per la sua capacità di contribuire tempestivamente all'azione di contrasto del virus, per la conformità al modello europeo delineato dal Consorzio Pepp-pt e per le garanzie che offre per il rispetto della privacy»;

Bending Spoons fa parte dell'iniziativa paneuropea per la tutela della privacy (Pepp-Pt) lanciata a inizio aprile da scienziati di otto Paesi dell'Unione europea per tracciare la diffusione del nuovo Coronavirus tramite "app". Come noto l'iniziativa Pepp-Pt dovrebbe essere inquadrata come un'organizzazione senza scopo di lucro in Svizzera. Tra i trenta membri accreditati risultano il Robert Koch Institut, Acticom, Arago, Heartbeat Labs, PocketCampus, Vodafone, 3db e Bending Spoons appunto;

l'app "Immuni" di Bending Spoons utilizzerà la tecnologia bluetooth per individuare quando gli utenti sono vicini l'uno all'altro; si tratta invero dell'approccio proprio del consorzio Pepp-Pt, ovverosia un un approccio standardizzato per le app di tracciamento più a tutela della privacy, basato su bluetooth e non su geolocalizzazione (GPS). I sistemi di contact tracing basati su bluetooth, infatti, non usano i dati di geolocalizzazione, ma tracciano solo il fatto che un certo dispositivo si sia avvicinato a un altro, salvando questi eventi sotto forma di un codice identificativo;

in proposito il ministro Pisano ha dichiarato che «la soluzione Immuni utilizza la tecnologia sviluppata dal Consorzio Progetto Europeo PEPP-PT, promettendo quindi maggiori garanzie di interoperabilità e anonimizzazione dei dati personali» ed essa «risulta essere ad uno stadio di sviluppo più avanzato della soluzione CovidApp»;

successivamente all'uscita di Bending Spoons dal consorzio e alle aperture effettuate da Apple e Google, il Ministero ha «ritenuto opportuno valutare tale soluzione perché risolutiva di molti dei problemi tecnici riscontrati su tutte le soluzioni valutate dalla task force»; del resto, «Immuni utilizza il framework di Apple e Google Exposure Notification ovvero un sistema cosiddetto decentralizzato»;

considerato che:

da fonti di stampa si apprende che "Immuni" sia in fase di sviluppo con l'impiego di entrambi i protocolli tecnologici (bluetooth e GPS); in particolare, risulta che l'app "Immuni", oltre al consenso per l'attivazione e l'utilizzo della tecnologia bluetooth, chiederà agli utenti anche il consenso per l'utilizzo dei servizi di geolocalizzazione; se così fosse, ciò si porrebbe in evidente contrasto con l'articolo 6 del decreto-legge 30 aprile 2020 n. 28, ai sensi del quale «è esclusa in ogni caso la geolocalizzazione dei singoli utenti»;

la trasmissione televisiva "Report", nella puntata dello scorso 11 maggio, ha affrontato la questione dell'applicazione osservando che al momento i tecnici di Bending Spoons starebbero collaborando con il Governo per la scrittura del programma,

si chiede di sapere:

se sia vero che è ancora in corso la compilazione del programma e quindi sulla base di quali criteri sia stata scelta l'applicazione, non essendo stati effettuati test di sicurezza;

quale codice sorgente utilizzerà l'app "Immuni" al fine di valutare il rispetto da parte della medesima applicazione del diritto alla riservatezza dei cittadini italiani;

se corrisponda al vero che l'applicazione chiederà anche il consenso per l'utilizzo del GPS;

quali dati acquisiti rimarranno nella disponibilità di Apple e Google.

Senato della Repubblica

Venerdì 5 giugno 2020

 

Sulle criticità legate alla tutela della privacy dell'app "Immuni" – Interrogazione a risposta scritta n. 4-03458 

RISPOSTA. - Si riscontra l'atto di sindacato ispettivo con il quale si chiedono informazioni in merito alla compilazione del programma e ai criteri di scelta l'applicazione e quale codice sorgente utilizzerà l'app "Immuni" al fine di valutare il rispetto da parte della medesima applicazione del diritto alla riservatezza dei cittadini italiani. Inoltre, se l'applicazione chiederà anche il consenso per l'utilizzo del GPS e quali dati acquisiti rimarranno nella disponibilità di Apple e Google. Al riguardo, si rappresenta quanto segue. Per quanto attiene alla procedura di selezione ed assegnazione della soluzione tecnologica di contact tracing, ci si ricollega a quanto illustrato dal Ministro in più sedi parlamentari. Dopo la disamina svolta dal "gruppo di lavoro data driven per l'emergenza COVID-19" (sui cui lavori si rinvia alle relazioni pubblicate sul sito del Dipartimento per la trasformazione digitale), con nota del 10 aprile 2020 a firma di questo Ministro e del Ministro della salute è stata trasmessa al Presidente del Consiglio dei ministri una breve relazione riepilogativa nella quale era precisato che l'app "Immuni" era risultata la più idonea come base per la realizzazione del sistema nazionale di contact tracing digitale. Alla nota sono state allegate tutte le relazioni predisposte dal gruppo di lavoro. Nella medesima giornata, il Presidente del Consiglio dei ministri ha chiesto al commissario di procedere rapidamente, nell'ambito dei poteri conferiti dall'articolo 122 del decreto-legge 17 marzo 2020, n. 18, a valutare le modalità con cui dare attuazione alla proposta ricevuta. Con ordinanza n. 10/2020, il commissario, raccordandosi con la Presidenza del Consiglio dei ministri, ha deliberato di stipulare il contratto con il quale la società sviluppatrice dell'app, allo scopo esclusivo di fornire un proprio contributo, volontario e personale, utile per fronteggiare l'emergenza da COVID-19 in atto, ha concesso la licenza d'uso aperta, gratuita, perpetua e irrevocabile del codice sorgente e di tutte le componenti dell'app "Immuni", nonché si è impegnata, sempre gratuitamente e pro bono, a completare gli sviluppi software necessari per la messa in esercizio del sistema nazionale di contact tracing digitale. Preme precisare che si trattava dell'inizio di un percorso, non di un punto di arrivo ed è anche per questo motivo che il Ministro ha ritenuto il Parlamento, attraverso le Commissioni competenti di Camera e Senato, la sede principale nella quale esporre gli orientamenti governativi e ascoltare valutazioni e raccomandazioni utili a favorire un ponderato processo decisionale da parte di Governo e Parlamento per le rispettive competenze. Si è trattato, quindi, di un primo passo funzionale a successive verifiche e adattamenti tecnici. Verifiche volte a garantire sia l'ottenimento della massima efficacia possibile del sistema individuato sia l'aderenza sua e delle sue modalità di funzionamento alle normative italiane ed europee sul rispetto della privacy in un quadro di sicurezza. Per le necessarie attività di verifica del codice sorgente, di condivisione dello stesso in modalità open source, di analisi e di ulteriore implementazione dell'applicazione, di gestione dei dati, di diffusione dell'app negli store, di installazione e gestione del backend della stessa app (dell'applicazione a sostegno dei medici), di personalizzazione su richieste delle Regioni, sono coinvolte solo società pubbliche interamente partecipate dallo Stato (PagoPA SpA e Sogei SpA) ed è stato ovviamente informato il Dipartimento per la trasformazione digitale. Si rinvia per ogni approfondimento sulle specifiche tecniche alla documentazione di cui è stata promossa la pubblicazione all'indirizzo "github". Al riguardo, si precisa, come già riferito in più sedi parlamentari, che il codice sorgente del sistema di contact tracing è rilasciato con licenza open source GPL 3.0, come software libero e aperto. La massima trasparenza è un valore fondante per il progetto. Rendere il codice accessibile a tutti è importante per almeno due motivi: aiuta a guadagnare e mantenere la fiducia degli utenti e permette a tanti esperti di fornire consigli utili a migliorare Immuni. Il codice sorgente è rilasciato su github come per tutti i progetti del Dipartimento per la trasformazione digitale e l'app sarà scaricatile dopo i necessari test di sicurezza come in ogni progetto di questo tipo. Quanto alla tecnologia usata, come già precisato in occasione delle audizioni tenute presso le Commissioni competenti di Camera e Senato, dinanzi alle quali il Ministro ha anticipato gli orientamenti e ascoltato valutazioni e raccomandazioni utili, si tiene a rimarcare che è esclusa in ogni caso la geolocalizzazione dei singoli utenti. In questo contesto si inserisce l'articolo 6 del decreto-legge 30 aprile 2020, n. 28, che contiene prescrizioni e vincoli per lo sviluppo del sistema di allerta digitale del pericolo di contagio da COVID-19 e riserva la gestione dell'app a un soggetto pubblico, al fine di garantire un modello efficiente, solido anche dal punto di vista della privacy, capace al contempo di assicurare la più opportuna condivisione di informazioni epidemiologiche. La norma prevede le misure tecniche e organizzative idonee a garantire la sicurezza dei diritti e le libertà degli interessati e dispone che i dati personali raccolti dall'applicazione saranno esclusivamente quelli necessari ad avvisare gli utenti dell'applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19. In conformità alla raccomandazione della Commissione europea dell'8 aprile e ai principi generali indicati nel toolbox of practical measures, il tracciamento dei contatti sarà basato sul trattamento di dati di sola prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati. I dati relativi ai contatti stretti saranno conservati, anche nei dispositivi mobili degli utenti, per il periodo, stabilito dal Ministero della salute, strettamente necessario al tracciamento. È previsto che in caso di disinstallazione dell'app, sempre possibile, e alla scadenza del termine di utilizzo del sistema di contact tracing tutti i dati relativi ai contatti siano cancellati in modo automatico. Si precisa che nessun dato viene raccolto da Apple e da Google, che sono solo in grado di sapere se l'app di contact tracing sia stata scaricata, ma non hanno accesso ad alcun dato dell'applicazione medesima. Nel frattempo sono in corso confronti ed aggiornamenti con altri Paesi europei, come la Francia e la Germania e con la stessa Commissione europea (la Direzione generale Communications networks, content and technology), al fine di garantire un unico approccio europeo, sicuro, in cui cittadini europei siano liberi di attraversare le frontiere protetti anche da un'applicazione interoperabile europea di contact tracing.”

Il Ministro per l'innovazione tecnologica e la digitalizzazione PISANO

Il 5 giugno 2020

Contenuto pubblico