Riguardo le modalità di funzionamento si compone di due parti.
La prima è un sistema di tracciamento dei contatti che sfrutta la tecnologia Bluetooth. Difatti attraverso il Bluetooth è possibile rilevare la vicinanza tra due smartphone entro un metro e ripercorrere a ritroso tutti gli incontri di una persona risultata positiva al Covid-19, così da poter rintracciare e isolare i potenziali contagiati. Una volta scaricata, infatti, l’ app conserva sul dispositivo di ciascun cittadino una lista di codici identificativi anonimi di tutti gli altri dispositivi ai quali è stata vicino.
La seconda funzione di Immuni, invece, è un diario clinico contenente tutte le informazioni più rilevanti del singolo utente (sesso, età, malattie pregresse, assunzione di farmaci). Lo stesso utente dovrà avere cura di aggiornare quotidianamente il diario clinico con eventuali sintomi e dettagli sullo stato di salute. Si tratta, di fatto, di una caratteristica simile a quella già presente nell'app AllertaLOM (CercaCovid) della Regione Lombardia.
Il commissario Arcuri ha precisato che si partirà da alcune regioni pilota - ancora da definire - per poi estendere il servizio ad un'area più vasta. Si tratta di uno strumento che può essere molto utile, principalmente, per gestire in modo ottimale la famosa seconda fase dell’emergenza, ma presenta delle criticità, alcune delle quali ammesse dallo stesso commissario che rischiano di condizionarne il risultato.
Il principale limite di carattere operativo riguarda la volontarietà dell'adesione, difatti come precisato dal Comitato europeo sulla protezione dei dati personali (EDPB) e dalla stessa nostra Autorità Garante in linea di principio, i dati relativi all'ubicazione possono essere utilizzati dall'operatore solo se resi anonimi o con il consenso dei singoli. Di conseguenza lo stesso dott. Arcuri auspica che ci sia una massiccia adesione volontaria dei cittadini, poiché il sistema di tracciamento dei contatti servirà proprio a capitalizzare l'esperienza della fase precedente ed evitare che il contagio si possa replicare. Per essere efficace, quindi, Immuni dovrà essere scaricata dal 60 per cento degli italiani.
In effetti già questo aspetto lascia molto perplessi poiché si rischia di utilizzare un’app, che comunque comporta un trattamento di particolari categorie di dati personali, senza avere garanzie sufficienti circa la sua funzionalità rischiando, quindi, di trovarsi di fronte a quelle famose “derive tecnologiche” citate dal prof. Rodotà.
In effetti, lo stesso EDPB ha anche precisato che il Regolamento generale sulla protezione dei dati (GDPR) è una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19. Il GDPR consente, difatti, alle competenti autorità sanitarie pubbliche e ai datori di lavoro di trattare dati personali nel contesto di un'epidemia, conformemente al diritto nazionale e alle condizioni ivi stabilite. Di conseguenza se il trattamento è ritenuto necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica, si può prescindere dal consenso dei singoli, poiché esiste già un presupposto di liceità di sicuro rilievo. Lo stesso art. 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica. E’ chiaro che tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all'interno di una società democratica. Tali misure, quindi, devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali. Inoltre, esse sono soggette al controllo giurisdizionale della Corte di giustizia dell'Unione europea e della Corte europea dei diritti dell'uomo. In presenza di situazioni di emergenza, le misure in questione devono essere rigorosamente limitate alla durata dell'emergenza.
Evidentemente si è ritenuto che il sistema di tracciamento non possa fondarsi su altre condizioni di liceità e quindi ci si è affidati al classico consenso che però inficia, come si è visto, in modo rilevante l’effettiva funzionalità del sistema e, ricordiamo, si deve fondare su un’informativa chiara e trasparente.
Eppure, come suggerito dall’EDPB, è stato precisato che Immuni garantirà l’anonimato (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi sulla concentrazione di dispositivi mobili in un determinato luogo ("cartografia"). Difatti le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati.
Anche in questo caso, però, bisogna riconoscere che l’EDPB non è stato categorico in quanto ha precisato che quando non è possibile elaborare solo dati anonimi, la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15). Inoltre qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l'obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale.
D’altro canto il tracciamento (ossia il trattamento di dati storici di localizzazione in forma non anonimizzata) può essere considerato lecito e proporzionato in circostanze eccezionali come quella che stiamo vivendo e in funzione delle modalità concrete del trattamento.
E’ ovvio, naturalmente, che tali misure debbano essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità).
Quello che va precisato, però, è che anonimizzare non è un operazione banale (rimuovere semplicemente il codice IMEI non basta); aggregare i dati, seppur anonimizzati è un operazione da valutare ed anonimizzare i dati e effettuare elaborazioni sui dati con l'ausilio di terze parti richiede misure di sicurezza adeguate su tutta la filiera di trattamento.
Viene inoltre, chiarito che l’app non utilizzerà la geolocalizzazione in quanto sfrutterà la connettività bluetooth. Sinceramente, anche questa non è una soluzione ideale poiché la tecnologia bluetooth non è certo affidabile e presenta, almeno, due limiti ben evidenti. Difatti, non ha una banda di comunicazione generica come il Wi-Fi, ma utilizza i profili specifici del dispositivo, che cambiano da costruttore a costruttore. Inoltre la banda è super affollata e se le antenne bluetooth sono a bassissima potenza, sui dispositivi meno costosi il bluetooth può avere prestazioni mediocri e scadenti. L'altro motivo è legato al software che gestisce il bluetooth, che non è mai privo di bug, che cambia a seconda del dispositivo elettronico, senza documentazione e senza supporto.
In realtà va riconosciuto che la Commissione UE, come si ricava da una nota del presidente dell’Autorità Garante Antonello Soro, ritiene che l’app sia comunque in linea con le linee guida in materia di protezione dati tracciate dalla stessa Commissione, ma nonostante tale rassicurazione rimangono molti interrogativi: quale sarà la sorte dei dati raccolti relativi a tante persone una volta cessata l’emergenza? Ed inoltre siamo sicuri che questo tracciamento non continuerà anche in una fase successiva per svolgere altre e meno lecite attività di controllo?
Non dimentichiamo che potrebbe essere molto rapido il passaggio da una società dell’informazione e della comunicazione ad una società del controllo se non ci fossero dei baluardi rappresentati proprio dai nostri diritti inviolabili riconosciuti dalla Carta Costituzionale. In questo ambito i modelli cinesi e coreani non sono certo modelli da seguire.