App Immuni, come funziona, quale sistema utilizza in conformità al principio della privacy by design
La caratteristica fondante del modello elaborato da Google e Apple consiste nel prevedere che i dati sugli spostamenti e incontri fra i soggetti, utili ad avvisare chi si è trovato vicino a qualcuno poi rivelatosi positivo, siano gestiti direttamente dai cellulari dei cittadini.
Apple e Google, le due maggiori potenze aziendali a livello globale del mondo high tech, hanno comunicato la loro unione nella collaborazione volta alla creazione dell’interfaccia della app per il contact tracing, la cui finalità, come noto, consiste nel tentativo di contenere il rischio di contagio da Covid-19. In generale, la scelta di appoggiarsi a detta interfaccia sarà rimessa alla decisione dei vari governi nazionali. Per quanto concerne il nostro Paese, l’idea iniziale in merito è stata mutata a favore del modello decentralizzato elaborato proprio da Apple e Google, tale da garantire maggior tutela sotto il profilo della privacy. L’interfaccia è in corso di elaborazione e, pertanto, suscettibile di ulteriori variazioni volte a migliorare la tutela sul trattamento dei dati degli utenti. A tal riguardo, recentemente, Apple e Google hanno introdotto una serie di modifiche che rendono il funzionamento interno del sistema non solo anonimo, ma anche cifrato, rendendo così impossibile risalire all’identità dei soggetti titolari dei cellulari su cui l’app di tracciamento sarà scaricata.
Le caratteristiche principali della app italiana Immuni basata sul modello decentralizzato
Innanzitutto, preme evidenziare come lo scopo della app di contact tracing sia quello di ricostruire i contatti e gli incontri di chi, successivamente, viene a conoscere di aver contratto il virus. In particolare, è oramai certo che la app prospettata dal nostro Governo funzionerà tramite un protocollo decentralizzato e non più, come inizialmente prospettato, con un sistema centralizzato. Il motivo di tale mutamento trova spiegazione nella maggior tutela sul piano della privacy. La app in esame non prevede l’impiego delle tecnologie gps o di geolocalizzazione, bensì, esclusivamente della tecnologia bluetooth. Con ogni probabilità sarà su base volontaria, vale a dire, rimessa alla libera scelta del cittadino, lasciando quindi l’efficacia della sua applicazione alla maggior percentuale di cittadini che ne faranno uso. Inoltre, occorre aggiungere che l’applicazione, così come ideata, non prevede l’accesso alla rubrica dei contatti del telefono e non richiede la comunicazione del proprio numero di cellulare, cosicché, si esclude che il cittadino possa essere allertato tramite messaggio. Quella sommariamente qui descritta si ritiene sia l’impostazione effettiva della app anche in base alle ultime indiscrezioni trapelate; tuttavia, come detto, il dibattito sulla questione è acceso sia a livello nazionale che a livello europeo.
L’elaborazione della app di contact tracing nel rispetto del principio by design di cui al GDPR
In Italia, come anticipato, inizialmente si è parlato di app di contact tracing con sistema centralizzato ma successivamente si è optato poi per un protocollo decentralizzato. Quasi si è detto non poteva essere altrimenti in virtù del modello predisposto da Apple e Google il cui funzionamento è di tipo decentralizzato. Preme evidenziare ancora una volta come la scelta tra l’uno e l’altro sistema di gestione dei dati attiene in maniera esclusiva a motivi connessi alla tutela della privacy, tanto da divenire oggetto di discussione non solo nazionale ma anche a livello europeo. Il nostro Governo, lo ribadiamo, ha optato per il modello decentralizzato, voluto da Google e Apple le quali lo metteranno a disposizione alle singole nazioni verso la metà di maggio. In sostanza, la caratteristica precipua e fondante del modello elaborato da Google e Apple consiste nel prevedere che i dati sugli spostamenti e incontri fra i soggetti, utili ad avvisare chi si è trovato vicino a qualcuno poi rivelatosi positivo, siano gestiti direttamente dai cellulari dei cittadini. Come si è potuto comprendere “La memorizzazione dei dati deve essere completamente decentralizzata. I dati, opportunamente protetti con sistemi di anonimizzazione o di pseudonimizzazione, devono essere conservati localmente sui dispositivi, dove deve avvenire anche il calcolo del rischio di infezione. Se sarà necessario l’utilizzo di server centrali, dovranno essere trasmesse a tali server soltanto chiavi anonime e temporanee corrispondenti agli utenti infetti, in mondo che non sia consentito di risalire all’identità delle persone”.
Le caratteristiche che contraddistinguono il sistema centralizzato e decentralizzato
Il modello decentralizzato è stato progettato da DP-3T, ossia, un gruppo di ricercatori europei, e preso come fonte d’ispirazione per il protocollo nato dalla collaborazione tra Apple e Google. Il funzionamento del protocollo decentralizzato è il seguente: il cellulare di un soggetto, fornito della app compatibile con questo protocollo (come potrà essere la app italiana c.d. Immuni), attraverso il Bluetooth trasmette ad altri cellulari, nelle vicinanze e muniti della stessa app, i codici identificativi anonimi casuali, prodotti da una chiave che sta sul dispositivo, e che si modificano ad intervalli di tempo. Tali cellulari archiviano al loro interno i codici del soggetto per un determinato arco di tempo e, a loro volta, diffondono i loro. La fattispecie che poi si attende è la seguente: il soggetto che ha l’app sul proprio cellulare contrae il virus e viene dotato di un codice di sblocco. Questo codice verrà usato per trasferire a un server i codici identificativi trasmessi in giro nei giorni precedenti dal soggetto, i quali, attraverso il server, saranno diramati a tutti i dispositivi con le app. Se c’è un abbinamento, se uno di quei codici è nel dispositivo di un altro utente, l’app lo avvisa. Quanto poi alle modalità inerenti a detta comunicazione, dipenderà tutto da cosa prevede la singola app nazionale. Ma certamente nel sistema decentralizzato, è l’utente che deve responsabilizzarsi, attivandosi autonomamente.
Invece, la caratteristica principale del protocollo centralizzato è che i codici sono generati direttamente dal server e non dal cellulare dell’utente. Il server invia un identificativo di lungo termine e una chiave ai cellulari, i quali poi li trasmettono in giro. Quando qualcuno contrae il virus trasmette al server gli identificativi che ha incontrato. A quel punto il server usa la sua chiave per decifrare gli identificativi anonimi abbinandoli agli identificativi di lungo termine e usandoli per inviare notifiche agli utenti.
Gli aggiornamenti tecnici introdotti: il sistema di “notifica dell’esposizione”
Proprio negli ultimi giorni Apple e Google hanno fornito alcuni aggiornamenti tecnici, ossia, innovazioni, al loro sistema di monitoraggio delle persone, frutto della loro collaborazione. Innanzitutto, la prima modifica che viene in considerazione riguarda proprio la denominazione del sistema mutata in “notifica di esposizione” (exposure notification).
In secondo luogo, vediamo come le due note aziende abbiamo modificato la versione delle API (Application programming interface), ossia dell’interfaccia del protocollo creato, su cui le varie app nazionali come detto dovranno appoggiarsi. Tali specifiche innovazioni sono il frutto non solo della collaborazione bilaterale intercorsa fra Apple e Google, ma anche della interazione tra queste due grandi aziende e i singoli governi, autorità sanitarie e centri di ricerca che si occupano dello sviluppo delle app per il tracciamento. Preme evidenziare come le stesse sia innovazioni improntate sempre più al rispetto dell’importante principio della privacy by design di cui all’art. 25 del GDPR.