Immuni, Bending Spoons ci lavorerà fino alla fine dell’anno. Poi?

Bending Spoons si mette a disposizione “a completare gli sviluppi software necessari per la messa in esercizio del sistema nazionale di contact tracing digitale, per la durata di sei mesi e comunque nel limite di 10.000 ore/uomo”. Poi cosa succederà? Secondo il decreto-legge varato dal Governo Immuni smetterà di funzionare il 31 dicembre 2020. E se la pandemia dovesse continuare?

Pro bono ad ore. Per la precisione “10mila ore/uomo”. A tanto è quantificata la disponibilità gratuita di Bending Spoons per completare gli sviluppi di Immuni.

Nel contratto con il Commissario Arcuri è scritto: “Bending Spoons ha concesso la licenza d’uso aperta, gratuita, perpetua e irrevocabile del codice sorgente e di tutte le componenti dell’app “Immuni”, nonché si è impegnata, sempre gratuitamente e ​pro bono,​ a completare gli sviluppi software necessari per la messa in esercizio del sistema nazionale di ​contact tracing ​digitale, per la durata di sei mesi e comunque nel limite di 10.000 ore/uomo”.

Stando alle ricostruzioni giornalistiche, l’obiettivo del ministro dell’Innovazione è rendere disponibile Immuni a livello nazionale per il 18 maggio e la società Bending Spoons se ne occuperà per 6 mesi o per un massimo di 10mila ore/uomo.
Quante persone dell’azienda stanno lavorando su Immuni? “Tra le 30 e 40 persone sono coinvolte nel progetto”, ha detto l’amministratore delegato Luca Ferrari al Corriere della Sera.

E se da gennaio 2021 la pandemia non dovesse essere alle nostre spalle, chi si occuperà della gestione dell’App?

Potrebbero essere Sogei e Pago Pa? Ad oggi le due società pubbliche sono già coinvolte sull’app Immuni. Paola Pisano, ministro dell’Innovazione, ieri durante un’audizione alla commissione Lavori pubblici del Senato, ha dichiarato che “i dati raccolti da Immuni saranno conservati in parte sul telefonino degli utenti e in parte all’interno di un server italiano della pubblica amministrazione, che molto probabilmente, se non vengono cambiate le cose oggi, sarà all’interno della controllata del ministero dell’Economia, ossia Sogei”, mentre PagoPa si occuperà del coordinamento tecnologico.

Questa mattina in Aula a Montecitorio il premier Giuseppe Conte ha illustrato i punti chiave del decreto-legge varato ieri sera dal Governo per dare il via libera all’app per il tracciamento dei contagiati da Covid-19 (qui il testo del decreto-legge).

La logica della sperimentazione è quella che dovremo adottare nelle prossime settimane, facendo leva sul sistema di monitoraggio complessivo della diffusione dei contagi, incrementando la tecnologia di contact tracing, che comprende anche la app Immuni, di cui ho già riferito – a dire il vero – nell’informativa alle Camere dello scorso 21 aprile. Oggi vi do notizia che ieri il Governo, all’esito del Consiglio dei Ministri, ha adottato un decreto-legge che, tra le altre cose, contiene anche una norma quindi una copertura normativa di rango primario alle procedure di tracciamento dei contatti con funzioni di monitoraggio del virus“, ha detto il premier.

Il corpus di disposizioni, su cui poi il Parlamento potrà intervenire in sede di conversione in legge del decreto”, ha aggiunto Conte, “ha lo scopo di chiarire e rafforzare la disciplina di questo particolare trattamento dei dati personali, in coerenza con quanto ha precisato il Comitato europeo per la protezione dei dati personali e recependo le raccomandazioni emanate dalla Commissione europea il 16 aprile 2020”.

Cosa potrà aggiungere o modificare il Parlamento al decreto-legge? Se il Governo pone la fiducia, Camera e Senato non potranno modificare nulla.

Il Garante Privacy: “Modello centralizzato o decentralizzato?”

Nel testo del Dl non si fa ancora chiarezza sul modo in cui avverrà la raccolta e gestione dei dati. Modello centralizzato o decentralizzato?

La questione è stata evidenziata dal Garante privacy nel parere richiesto dalla presidenza del Consiglio dei ministri al decreto-legge che introduce il tracciamento dei contagi da COVID-19.

“La norma non specifica chiaramente se si intenda optare per la conservazione dei dati in forma centralizzata ovvero decentrata. In ogni caso, la centralizzazione richiederebbe in sede attuativa la previsione di misure di sicurezza rafforzate, adeguate alla fattispecie”, scrive il Garante privacy.

Inoltre, l’Autorità “raccomanda all’Amministrazione interessata di sottoporre la valutazione di impatto cui è tenuta al più ampio regime di conoscibilità e di prevedere, anche nella norma, il carattere libero e aperto del software da rilasciare con licenza open source”.

Manca, dunque, ancora la Valutazione di Impatto sulla protezione dei dati personali (DPIA), da questa potremmo anche capire in che termini la app sia stata sviluppata alla luce dei princìpi –obbligatori – di privacy by design e privacy by default.

Il commento di Alessandro Del Ninno al decreto-legge

Ecco il commento del Prof. Avv. Alessandro del Ninno – Studio Legale Tonucci & Partners, al decreto-legge che introduce disposizioni urgenti in materia di tutela dei dati personali nel tracciamento dei contatti con soggetti affetti da COVID-19:

Ci sono vari aspetti del decreto legge sulla app di contact tracing che davvero convincono poco. Intanto la tempistica: è assurdo normare la tematica fissando requisiti ex post, ad assegnazione già avvenuta dell’incarico di sviluppo della app. Ma se si legge con attenzione, oltre ad errori disciplinari (non è affatto obbligatorio, come è scritto, fare la DPIA e chiedere anche il parere del Garante, se l’esito è ovviamente positivo in termini di assessment), ci sono aspetti volutamente ambigui”.

“Si legge che i dati potranno essere conservati “anche sui dispositivi”. Che vuol dire, che si attua un sistema centralizzato o decentralizzato? Inoltre non ci sono reali garanzie di anonimato, alla fine vedrete che saranno tutti dati pseudonimi, e dunque personali e soggetti a reidentificazione…. Segnalo anche che la norma sul riuso a scopo statistico o di ricerca scientifica dei dati (che supera concettualmente il termine di cancellazione automatica al 31.12.2020) prevede che possano essere utilizzati ‘in aggregato o in modo anonimo’:

la prima opzione (“in aggregato”) prevede un trattamento (su dati sanitari, poi) che non è affatto anonimo, essendo il trattamento in aggregato una modalità che ben puó comportare la reidentificazione”.

Fonte: Key4biz | di Luigi Garofalo

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL