Legislatura 18 Atto di Sindacato Ispettivo n° 4-03233

Copia questo link

Attiva riferimenti normativi

Azioni disponibili

Copia questo link
Attiva riferimenti normativi

Atto n. 4-03233

Pubblicato il 28 aprile 2020, nella seduta n. 210
Risposta pubblicata

CAMPARI , ROMEO , FAGGI , PERGREFFI , CORTI , RUFA , ALESSANDRINI , ARRIGONI , AUGUSSORI , BAGNAI , BORGONZONI , BOSSI Simone , BRIZIARELLI , BRUZZONE , CALDEROLI , CANDIANI , CANDURA , CANTU' , CASOLATI , CENTINAIO , DE VECCHIS , FERRERO , FREGOLENT , IWOBI , LUCIDI , LUNESU , MARIN , MARTI , MONTANI , NISINI , PELLEGRINI Emanuele , PEPE , PIANASSO , PILLON , PIZZOL , PUCCIARELLI , RIPAMONTI , RIVOLTA , SAPONARA , SAVIANE , SBRANA , STEFANI , TOSATO , VALLARDI , VESCOVI , ZULIANI - Al Presidente del Consiglio dei ministri. -

Premesso che:

con ordinanza del 16 aprile 2020, il Commissario per l'emergenza Coronavirus ha disposto la stipula del contratto di concessione gratuita della licenza d'uso sul software di tracciamento digitale e di appalto di servizio gratuito con la Bending Spoons SpA per la realizzazione dell'applicazione denominata "Immuni";

l'applicazione "Immuni" svolge due funzioni: la prima consiste in un sistema di tracciamento dei contatti che sfrutta la tecnologia bluetooth. Difatti attraverso il bluetooth è possibile rilevare la vicinanza tra due smartphone entro un metro e ripercorrere a ritroso tutti gli incontri di una persona risultata positiva al COVID-19, così da poter rintracciare e isolare i potenziali contagiati. Una volta scaricata, infatti, l'applicazione conserva sul dispositivo di ciascun utente una lista di codici identificativi anonimi di tutti gli altri dispositivi ai quali è stata vicino; la seconda funzione dell'applicazione consiste in un diario clinico contenente tutte le informazioni più rilevanti del singolo utente (sesso, età, malattie pregresse, assunzione di farmaci). Lo stesso utente dovrà avere cura di aggiornare quotidianamente il diario clinico con eventuali sintomi e dettagli sullo stato di salute. In tale contesto, debbono certamente essere tenute in considerazione le interazioni dell'applicazione con le A.P.I. (Application Programming Interface), cioè quelle applicazioni che dovranno "agganciare" l'app "Immuni" ai due colossi "Google" e "Apple", con il rischio che i dati oggetto di profilazione possano, a prescindere dalle politiche degli sviluppatori, rimbalzare sui server di multinazionali straniere;

tra gli azionisti della società sviluppatrice del sistema figura, inoltre, un fondo di investimento orientale, di cui non si conoscono i legami con il Governo cinese;

considerato che:

ad oggi non è dato sapere se il Governo abbia effettivamente valutato l'impatto sulla protezione dei dati personali, definendo i rispettivi ruoli: chi avrà accesso ai dati, se sarà un soggetto pubblico o privato, o in quale data center saranno conservati;

durante l'audizione tenutasi nella IX Commissione permanente (Trasporti, Poste e Telecomunicazioni) della Camera dei deputati, il Garante per la privacy ha posto dei limiti ben precisi sulla configurazione del sistema. Primo tra tutti, la volontarietà del download. Nessuna imposizione, nessuno «scivolamento inconsapevole dal modello coreano a quello cinese, scambiando la rinuncia a ogni libertà per l'efficienza e la delega cieca all'algoritmo»: l'adesione dei singoli non può che essere volontaria e, elemento se possibile ancora più importante, il consenso al trattamento dei dati non deve risultare in alcun modo "condizionato", ovvero «prefigurato come presupposto necessario, ad esempio, per usufruire di determinati servizi o beni»;

un approccio così invasivo sulla riservatezza di dati personalissimi necessita come priorità che il titolare del trattamento garantisca la protezione dei dati personali e la tutela dei diritti degli interessati, in particolare del diritto alla cancellazione dei dati personali (cosiddetto "diritto all'oblio");

il Governo, ad oggi, si è già dimostrato, a parere degli interroganti, manifestamente incapace di tutelare la riservatezza dei titolari dei dati degli iscritti all'INPS, dimostrando di non saper gestire in modo efficace nemmeno la comunicazione dei propri errori, dando spiegazioni contraddittorie e poco trasparenti;

a tutt'oggi non si conoscono le specifiche del programma e pertanto non è possibile valutare gli aspetti di sicurezza del trattamento, sia in relazione alle app che in relazione ai sistemi di backend, e non si conoscono neppure le specifiche misure di garanzia, comprese la minimizzazione, la pseudonimizzazione e la cifratura dei dati, né il controllo e tracciamento degli accessi,

si chiede di sapere:

quali siano stati i criteri impiegati nella selezione dell'applicazione "Immuni";

dove siano localizzati i server in cui saranno custoditi i dati relativi all'applicazione e chi gestirà i medesimi server;

come e da chi verranno utilizzati i dati raccolti dall'applicazione;

come sia articolata la compagine societaria di Bending Spoons SpA e, in particolare, se la stessa sia controllata o partecipata da società aventi sedi in Paesi stranieri;

quali urgenti iniziative, anche di carattere normativo, il Governo intenda porre in essere al fine di garantire la tutela della riservatezza dei dati personali dei cittadini italiani.