L’emergenza sanitaria legata al Covid-19 sta da tempo dimostrando tutte le potenzialità tipiche di una pandemia globale di lunga durata, caratterizzata da un elevato tasso di mortalità e da un’altissima capacità d’impatto sul sistema sanitario dei paesi colpiti. Pertanto, nell’attesa di un vaccino, gli stati colpiti sono impegnati nella gestione di questa emergenza utilizzando una strategia tesa principalmente a contenere il diffondersi del virus e prevenire ulteriori contagi. La quasi totalità di essi, quindi, sta puntando da un lato sull’isolamento degli infetti e sulla loro decontaminazione, dall’altro sulla quarantena, sul distanziamento sociale, sulle scrupolose misure igieniche e – in un numero sempre maggiore di casi – anche sul tracciamento dei contatti sociali attraverso l’utilizzo delle tecnologie.

Tutti gli studi incentrati su quest’ultimo tema sono concordi nell’affermare che, dato il livello di contagiosità del Covid-19 e l’elevata percentuale di trasmissione attraverso individui pre- o a- sintomatici, il controllo dell’epidemia mediante il tracciamento manuale dei contatti sociali sia impossibile e quindi inutile. Contestualmente, però, questi stessi studi sono altrettanto concordi nell’evidenziare che l’utilizzo di una app per smartphone, capace di costruire un “ricordo” dei contatti di prossimità e di notificare immediatamente eventuali incontri con soggetti positivi, sarebbe utile per fermare l’epidemia solo se fosse utilizzata da un numero particolarmente elevato di cittadini e solo qualora fosse abbinata a politiche di rigido distanziamento sociale e a controlli sanitari a tappeto sulla popolazione alla ricerca dei contagiati (ad esempio, i tamponi). Occorre, quindi, delineare una strategia articolata su più piani di intervento, che parta dal riconoscimento quanto più immediato possibile della contagiosità del soggetto e arrivi al sistema di allerta attraverso l’app per smartphone. Non viceversa.

Peraltro, l’impiego di un simile strumento tecnologico solleva non pochi problemi etici e giuridici riguardanti – solo per citarne alcuni – l’accesso, la trasparenza, l’uso e la protezione dei dati personali dei cittadini, dei dati riguardanti il loro stato di salute, così come delle loro relazioni e interazioni sociali. Per di più, a poco possono servire processi tesi ad anonimizzare questi dati (e men che meno processi di “pseudonimizzazione”), in quanto la letteratura è piena di evidenze sul valore e l’utilità – anche commerciale – dei Big Data, così come sulla possibilità di de-anonimizzare i dati relativi alla mobilità dei cittadini, tracciare i loro dispositivi e acquisire informazioni (ad esempio, nel caso di utilizzo della tecnologia Bluetooth, tra i vari possibili, i cosiddetti ‘Bluetooth Beacons’).

Nonostante le numerose criticità, il governo italiano ha comunque deciso di utilizzare un sistema di allerta Covid-19 incentrato su un’app per smartphone che utilizza tecnologia Bluetooth, basando la propria decisione sulla legittima necessità di dover trovare in casi di gravissima emergenza – come quella odierna – un punto di equilibrio tra i diritti fondamentali della salute e della protezione dei dati personali, comprimendo in questo caso il secondo a favore del primo. Tuttavia, seppur legittimo, tale approccio necessita che il trattamento di questi dati debba obbligatoriamente sottostare ad alcune imprescindibili e solidissime garanzie, onde evitare che anche solo i rischi finora tratteggiati possano impattare in maniera evidente tanto sul piano politico, quanto su quello giuridico e della sicurezza nazionale.

In tal senso, quindi, il governo dovrà quantomeno provvedere a:

• Garantire che solo norme primarie possano incidere in maniera così profonda su un diritto fondamentale di libertà di tutti i cittadini italiani come quello alla protezione dei dati personali. Ciò, al fine di impedire che l’intero processo di creazione e gestione del sistema nazionale di allerta Covid-19 sia lasciato all’arbitrarietà di pochi e a semplici atti di natura amministrativa, sfuggendo così al confronto parlamentare e alle sue garanzie. Inoltre, tali norme primarie, che dovranno entrare in vigore prima dell’utilizzo dell’app di tracciamento da parte dei cittadini, dovranno avere come obiettivo quello di regolare complessivamente l’intero sistema nazionale di allerta Covid-19 (quindi, sia l’app che i sistemi informatici di raccolta dei dati e di allerta), le sue caratteristiche, il suo funzionamento, le misure poste a salvaguardia dei diritti dei cittadini, i criteri precisi in conseguenza dei quali un contatto con un soggetto giustifichi l’invio di un alert, così come le procedure che i cittadini dovranno seguire nel caso dovessero scoprire di essere entrati in contatto con un contagiato.

(Rischio che impatta sul piano politico e giuridico)

• Garantire la totale trasparenza nei confronti dei cittadini in ogni singola fase di vita del sistema nazionale di allerta Covid-19 (individuazione dell’esigenza e dei requisiti, realizzazione, protezione, implementazione e cessazione), esplicitando anche tutti i principi etici e normativi che guideranno questo percorso. Ciò, al fine di impedire che la mancanza di chiarezza in ciascuna delle fasi di questo processo possa dare adito a dubbi e strumentalizzazioni, soprattutto sul piano legale e dell’utilizzo dei dati personali, minando così la fiducia dei cittadini nell’uso finale dell’app per smartphone.

(Rischio che impatta sul piano politico)

• Verificare in maniera approfondita le relazioni, soprattutto economiche e di finanziamento, che la società aggiudicataria dello sviluppo dell’app per smartphone ha intrecciato nel tempo. Ciò, al fine di impedire che simili informazioni – rilevanti sia sul piano della qualità, sia su quello della quantità e soprattutto della capillarità – possano più o meno direttamente entrare nel possesso di attori europei e internazionali, sia pubblici sia privati, a vario titolo interessati.

(Rischio che impatta sul piano politico, giuridico e della sicurezza nazionale)

• Utilizzare solo sistemi informatici presenti all’interno del territorio italiano per erogare l’intero servizio, per conservare i dati dei cittadini e i loro backup, prevedendo anche che siano gestiti dal governo in maniera diretta ed esclusiva attraverso soggetti pubblici. Ciò, al fine di impedire che simili informazioni – rilevanti sul piano della qualità, della quantità e soprattutto della capillarità – possano più o meno direttamente entrare in possesso di attori europei e internazionali, sia pubblici che privati, interessati a vario titolo.

(Rischio che impatta sul piano politico, giuridico e della sicurezza nazionale)

• Verificare che nessun attore nazionale e soprattutto internazionale, ivi compresa la società aggiudicataria dello sviluppo dell’app per smartphone, possa in qualsivoglia modo accedere direttamente o incidentalmente ai dati raccolti, anche nel caso in cui questo soggetto abbia dato un qualsiasi apporto – anche tecnologico – per la realizzazione o per l’efficacia del sistema nazionale di allerta Covid-19. Ciò, al fine di impedire che simili informazioni – rilevanti sia sul piano della qualità, della quantità e soprattutto della capillarità – possano più o meno direttamente entrare in possesso di attori europei e internazionali, sia pubblici che privati, interessati a vario titolo.

(Rischio che impatta sul piano politico, giuridico e della sicurezza nazionale)

• Rendere obbligatoriamente disponibile al pubblico il codice sorgente del software su cui si basa l’intera app per smartphone, permettendone l’audit da parte della comunità scientifica ed effettuando contestualmente anche dei penetration test sulla stessa, prima del suo massivo utilizzo da parte dei cittadini. Ciò, sia per una maggiore sicurezza dell’app per smartphone, sia per verificare che i dati dei cittadini non vengano mai trasferiti su altri server che non siano esclusivamente quelli pubblici deputati ad accoglierli.

(Rischio che impatta sul piano politico, giuridico e della sicurezza nazionale)

• Applicare misure di sicurezza rigide e stringenti all’intero sistema nazionale di allerta Covid-19 (quindi, sia all’app che ai sistemi informatici di raccolta dei dati e di allerta), oltre che i principi di segregation of duty e need to know alle persone fisiche destinate a tutte le fasi di questo servizio. Ciò, al fine di impedire che simili informazioni – rilevanti sia sul piano della qualità, della quantità e soprattutto della capillarità – possano più o meno direttamente entrare nel possesso di attori europei e internazionali, sia pubblici che privati, a vario titolo interessati. Inoltre, soprattutto in questo caso, è importante ricordare anche come l’essere umano rappresenti sempre l’anello più debole della catena della sicurezza. Pertanto, controllare le persone fisiche che garantiranno questi servizi è altrettanto indispensabile quanto proteggerle dagli attacchi informatici esterni. Statisticamente, infatti, la metà di questi incidenti provengono dall’interno della struttura e sono causati, appunto, dagli individui per disattenzione e negligenza, ma anche – sempre più spesso – perché ricattati, costretti o pagati per ottenere le informazioni.

(Rischio che impatta sul piano politico, giuridico e della sicurezza nazionale)

Solo l’accoglimento e la reale implementazione da parte del governo italiano di queste prime e imprescindibili garanzie potranno far sì che questo progetto incontri la fiducia dei cittadini, salvaguardando – pur nella necessità di risolvere quest’emergenza sanitaria – i loro diritti fondamentali e anche la sicurezza nazionale. Se ciò non dovesse avvenire, ci troveremmo dinanzi a un annunciato fallimento, colpevole peraltro di aver incredibilmente provato a barattare un diritto fondamentale di libertà dei cittadini, com’è quello alla protezione dei loro dati personali, con l’utilizzo di un’app per smartphone. Come se fossimo di fronte a un qualsiasi software commerciale e non a una delle possibili soluzioni utili a supportare la risoluzione dell’emergenza sanitaria più vasta di cui la nostra generazione ha memoria.