Percorso:

Interrogazione a risposta scritta – Atto n. 4-03475 – Al Presidente del Consiglio dei ministri e ai Ministri per l’innovazione tecnologica e la digitalizzazione, della salute e dello sviluppo economico

Atto n. 4-03475

Pubblicato il 19 maggio 2020, nella seduta n. 218

RAUTI , CIRIANI , BALBONI , CALANDRINI , DE BERTOLDI , FAZZOLARI , GARNERO SANTANCHE’ , IANNONE , LA PIETRA , MAFFONI , PETRENGA , RUSPANDINI , TOTARO , URSO – Al Presidente del Consiglio dei ministri e ai Ministri per l’innovazione tecnologica e la digitalizzazione, della salute e dello sviluppo economico. –

Premesso che:

il 23 marzo 2020 i Ministeri in indirizzo hanno indetto una fast call for contribution per l’individuazione di soluzioni tecnologiche per il monitoraggio attivo del contagio, il cosiddetto contact tracing;

la fast call non ha indicato, né i criteri di selezione, né le caratteristiche dell’app, ad eccezione della necessità che le proposte fossero già realizzate e disponibili per l’implementazione in tempi brevi;

il 31 marzo è stato istituito il “Gruppo di lavoro data-driven per l’emergenza COVID-19” che ha selezionato, tra le 319 proposte pervenute, la app denominata “Immuni” della società Bending Spoons SpA, che peraltro non era ancora realizzata, né disponibile, come invece richiesto dalla fast call;

il 16 aprile il commissario straordinario per l’emergenza COVID-19 affidava alla predetta società un contratto di concessione gratuita della licenza d’uso sul software di contact tracing;

il fondo cinese “Nuo Capital” è tra i soci di minoranza di Bending Spoons SpA e la sua strategia è quella di “entrare, come soci di minoranza e con un investimento a lungo termine, nel capitale delle migliori realtà familiari e imprenditoriali” per “creare una sorta di ponte con l’Asia”, secondo le dichiarazioni del partner Stefano Migliorini;

l’app può diventare uno strumento di sorveglianza di massa che rischia di privare i cittadini italiani delle libertà fondamentali costituzionalmente garantite, e di compromettere il diritto alla riservatezza dei dati personali;

il 10 aprile, le multinazionali “Google” e “Apple” hanno annunciato un’iniziativa congiunta per garantire l’interoperabilità fra i dispositivi Android e iOS dell’app per integrare il contact tracing nei rispettivi sistemi operativi;

il 21 aprile il Ministero per l’innovazione tecnologica e la digitalizzazione non ha revocato l’aggiudicazione, pur dopo avere reso nota la necessità di considerare “l’evoluzione dei sistemi di contact tracing internazionali e l’evoluzione del modello annunciato da Apple e Google”;

il 29 aprile il Consiglio dei ministri ha approvato il decreto-legge che prevede l’installazione della piattaforma per il contact tracing presso il Ministero della salute;

l’Autorità Garante per la protezione dei dati personali si è espressa favorevolmente, come prevedibile, considerato che il segretario generale dell’Autorità stessa è membro del “Gruppo di lavoro data-driven per l’emergenza COVID-19”;

il decreto-legge prevede la pseudonimizzazione dei dati, anziché l’anonimizzazione, ossia una procedura che consente a chi dispone della chiave per associare le informazioni di risalire a quelle originarie, inoltre autorizza l’utilizzo dei dati per scopi ulteriori e più ampi rispetto alla gestione della crisi sanitaria (i.e. scopi “di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica”), in evidente contrasto con le Linee guida del Comitato europeo per la protezione dei dati personali emanate in relazione alle app di contact tracing;

il tracciamento tramite bluetooth potrebbe compromettere l’efficacia stessa dell’app e la centralizzazione della base dati pone seri problemi di sicurezza, come rilevato dallo stesso gruppo di lavoro nei rilievi dei sottogruppi 6 e 8;

Bending Spoons non ha fornito alcun report in merito a test di sicurezza sulle applicazioni o sui server in uso, nonché alle soluzioni tecniche che verranno adottate per garantire la sicurezza del trattamento, considerato che l’app presuppone il dialogo tra il dispositivo dell’utente e il server centrale e tra il dispositivo dell’operatore sanitario e il server del gestore, nonché l’accesso al diario clinico del paziente da parte degli sviluppatori;

permangono inoltre una serie di criticità circa: le modalità con cui verrà garantita l’effettiva disponibilità dell’app, la sua concreta efficacia e il rispetto del principio di minimizzazione della mappatura; le misure di sicurezza previste per ridurre il rischio di attacchi cibernetici ad opera di hacker, organizzazioni criminali, agenzie di intelligence straniere o società che potrebbero commercializzare i dati; il ruolo che avranno le autorità sanitarie nella messa a punto e nella gestione dell’operazione di tracciamento;

il Copasir ha espresso importanti rilievi di natura tecnica sulla “app Immuni” in relazione ai rischi per la sicurezza nazionale e i dati personali dei cittadini oltre ad evidenziare la necessità di chiarire i dettagli sulle procedure di aggiudicazione e la conseguente gestione dell’applicazione,

si chiede di sapere:

quali siano stati i criteri di selezione che hanno portato alla scelta della società Bending Spoons SpA, non rispettando l’unico criterio individuato nella fast call for contribution (i.e. “essere una proposta già realizzata e disponibile”);

come si ritenga di garantire la sicurezza delle applicazioni e dei server (conservazione sicura dei dati memorizzati, scambi tra le app e il server remoto), in relazione alla tutela delle libertà e dei diritti costituzionali dei cittadini;

come si rispetterà il principio di minimizzazione previsto dal Regolamento europeo per la protezione dei dati personali, evitando la reidentificazione dei soggetti che hanno scaricato l’app;

per quale ragione il decreto-legge citato in premessa abbia previsto l’utilizzo dei dati per scopi ulteriori rispetto alla gestione della crisi sanitaria, peraltro senza che il Ministero della salute diramasse ancora i criteri necessari all’immissione dei dati sanitari;

come si intenda garantire la distruzione definitiva dei dati fissata per il 31 dicembre 2020 e come essa si concilii con il trattamento dei dati per i citati scopi ulteriori e con la proroga dello stato di emergenza nazionale al 31 gennaio 2021.

[Fonte: www.senato.it]

Questa voce è stata pubblicata in Interrogazioni prima firmataria.