Prosegue il viaggio di analisi nella tormentatissima esperienza dell’app Immuni. Sin dal momento della sua nascita, ne abbiamo seguito da vicino gli sviluppi, sottolineando come siano ancora troppi i nodi lasciati irrisolti ed inadeguate, se non assenti, le risposte che i rappresentanti delle istituzioni hanno sinora fornito. Una disinformazione che oltre a minare alle fondamenta la trasparenza che dovrebbe connotare qualsiasi tipo di trattamento impatta terribilmente sulla fiducia dei cittadini.
A questo proposito, un dato significativo è che ad oggi il Ministero della Salute non abbia ancora reso pubblica la DPIA (acronimo per “Data Protection Impact Assessment”), la Valutazione di impatto sulla protezione dei dati personali che, ai sensi dell’art. 35 del Regolamento (UE) 2016/679 (GDPR), ogni Titolare del Trattamento deve effettuare, prima di procedere al trattamento stesso, qualora quest’ultimo “allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” e che, in base all’art. 36, deve essere obbligatoriamente sottoposta alla consultazione preventiva dell’Autorità Garante qualora indichi l’esistenza di un rischio residuale elevato.
Un adempimento, certamente dovuto nel caso del contact tracing, che impone al Titolare e agli soggetti coinvolti nel processo di gestione dei dati di effettuare una mappatura dei rischi potenzialmente connessi al trattamento da intraprendere, a valle della quale, in presenza di rischi elevati (“high risks”), individuare le azioni correttive da intraprendere ed i presidi tecnici ed organizzativi da predisporre per ricondurre il rischio entro un limite accettabile. Un documento, quindi, di fondamentale importanza ai fini privacy, in quanto fotografa lo scenario di connesso al trattamento dei dati e la probabilità di incorrere in errori o malfunzionamenti da cui potrebbero derivare gravi conseguenze per i cittadini interessati, in primis l’eventulità di identificare gli utenti che utilizzano l’app.
Guardando al caso italiano, sappiamo – dal provvedimento di autorizzazione del Garante al tracciamento mediante Immuni n. 95 del 1° Giugno scorso – che il Ministero della Salute ha trasmesso la DPIA al Garante il 28 Maggio; il contenuto, tuttavia, non è dato saperlo, dal momento che il Dicastero ha scelto di non renderlo disponibile al pubblico né alla comunità scientifica.
Una scelta, beninteso, in sé legittima: le Linee Guida elaborate dal Comitato Europeo per la Protezione dei Dati Personali (EDPB, prima WP29) prevedono infatti che la pubblicazione della DPIA non costituisce un obbligo formale del Titolare. Aggiungono anche, però, che “sarebbe opportuno che i titolari valutassero di rendere pubbliche almeno parti della DPIA, quali una sintesi o le conclusioni”, specificando che la sua pubblicazione è “particolarmente indicata se il trattamento produce effetti su una parte della popolazione, il che vale soprattutto nel caso sia un’autorità pubblica a condurre la DPIA”: appunto, il Ministero della Salute.
Insomma, la discovery della DPIA sarebbe stata sicuramente auspicabile in un’ottica di trasparenza verso i cittadini, in quanto documentazione essenziale per la valutazione delle misure intraprese per tutelare i diritti delle persone, laddove la sua segretazione non fa altro che contribuire ad infittire l’alone di mistero che ruota attorno all’app, specie se rapportata al fatto che altri Paesi europei, come Svizzera e Germania, hanno preferito non trincerarsi dietro lo scudo della segretezza e rendere accessibile a tutti il documento.
Ma c’è di più. Il Decreto Legge che ha dato il via libera all’app (D.L. del 30 Aprile 2020, n. 28), all’art. 6 (“Sistema di allerta Covid-19”), comma 2, lett. B), ha previsto che i contatti stretti con soggetti risultati positivi Covid-19 devono essere “individuati secondo criteri stabiliti dal Ministero della salute e specificati nell’ambito delle misure” tecniche e organizzative contenute nella valutazione d’impatto. Ma il Garante, nel provvedimento autorizzativo del 1° Giugno, ha fatto sapere che nella DPIA trasmessa dal Ministero “non sono stati (…) individuati puntualmente i criteri epidemiologici di rischio e i modelli probabilistici su cui si basa l’algoritmo” attraverso il quale Immuni effettua la valutazione di esposizione del rischio contagio.
In altre parole, non si conosce nel dettaglio sulla base di quali criteri Immuni valuta, in caso di contatto con un utente risultato positivo al tampone Covid, se quell’esposizione superi o no la soglia di rischio e quindi il contatto può dirsi “stretto”, e se dunque sia o meno necessario l’invio della notifica di esposizione.
Ma allora, come può dirsi affidabile un’analisi di rischio che si propone di calcolare la probabilità dell’esposizione a contagio se il Governo non è in grado, o comunque non si rende disponibile, a descrivere dettagliatamente come quel coefficiente di rischio è stato calcolato?
Una politica che possa definirsi davvero etica, prima di implorare la responsabilizzazione dei cittadini, non dovrebbe dare prova essa stessa di un approccio responsabile e trasparente?
Elena Massignani