Documento senza titolo
Immuni svelata nei dettagli: come funziona e quali dati raccoglie? Privacy e trasparenza tra i principi cardine dell’app


15/05/2020

Immuni, l’app di contact tracing italiana sviluppata da Bending Spoons, si avvicina al rilascio su dispositivi iOS e Android. Il tracciamento digitale dei contatti, finalizzato a contenere la diffusione del Covid-19, è stato oggetto fin dal primo momento di ampie discussioni in tema di privacy, sicurezza e trasparenza. Ora, dopo che il Toolbox europeo e il D-L 28/2020 hanno delineato il perimetro regolatorio del funzionamento del contact tracing, è lo stesso developer di Immuni a svelare tutti i dettagli dell’app.            

Il documento, caricato sulla piattaforma GitHub, fa chiarezza su molte delle tematiche più rilevanti e delinea obiettivi e principi guida del funzionamento concreto di Immuni.



COME FUNZIONA IMMUNI? Basata su tecnologia Bluetooth Low Energy (che migliora accuratezza del risultato e uso della batteria) e sull’Exposure Notification Framework di Apple e Google, Immuni non userà in alcun modo la geolocalizzazione, scongiurando così il rischio che il sistema possa identificare i dettagli (es. località, identità personale) del contatto tra utenti.                      

Aderendo al principio di minimizzazione dei dati, sancito dal GDPR, Immuni abbinerà invece all’utente un Proximity Identifier. Gli identificativi, che cambiano più volte all’ora, sono generati dalle Temporary Exposure Keys, chiavi che a loro volta sono generate casualmente e cambiano una volta al giorno.   

Quando due utenti si trovano per un determinato periodo di tempo entro una determinata distanza, i loro dispositivi registrano reciprocamente il Proximity Identifier.



Il sistema decentralizzato su cui si basa l’app fa in modo che la fase successiva, cioè l’eventuale matching fra gli identificativi di un utente risultato positivo al Covid-19 e gli utenti con cui egli è venuto in contatto, sia gestita sempre in locale (dai dispositivi) e non da un server centrale. Infatti, quando un utente risulta positivo, ha la possibilità (dopo la convalida di un operatore sanitario) di caricare su un server le sue Temporary Exposure Keys.

L’app scarica periodicamente le nuove chiavi e le utilizza per ricavare gli identificativi degli utenti contagiati. Successivamente, confronta tali identificativi con quelli memorizzati sul dispositivo e avvisa l’utente con una notifica nel caso in cui vi sia stato un contatto a rischio.              

In caso di contatto, l’app raccomanderà all’utente come comportarsi. Le raccomandazioni possono includere misure come l’auto-isolamento e la consultazione del medico, e variare in base all’area in cui l’utente vive. A questo proposito, Immuni raccoglie il dato sulla provincia in cui l’utente è domiciliato.

IL RISK MODEL. La valutazione sulla distanza del contatto è soggetta a un margine di errore tecnologico (attenuazione del segnale Bluetooth legata a orientamento dei dispositivi e ostacoli). La stima del rischio, gestita da Immuni, varia poi in base ad alcuni fattori, quali la durata dell’esposizione e la distanza tra i dispositivi degli utenti: contatti distanziati e brevi, naturalmente, saranno considerati meno a rischio di contatti prolungati e ravvicinati. Il documento sottolinea, inoltre, che il risk model adottato dall’app potrebbe subire alcune modifiche con l’emergere di nuove informazioni sul virus.

I PRINCIPI DEL FUNZIONAMENTO. Il funzionamento dell’app è basato su alcuni principi cardine. Immuni dovrà essere in grado di notificare il rischio di esposizione al contagio nel più breve tempo possibile e al più alto numero possibile di utenti a rischio (UTILITA’), minimizzando il numero di falsi positivi (ACCURATEZZA), adattandosi al più alto numero di dispositivi (SCALABILITA’), tutelando i dati personali degli utenti (PRIVACY) e fornendo precise informazioni sul funzionamento del sistema (TRASPARENZA). Il tutto con l’obiettivo di aumentare la fiducia nel sistema e portare alla più ampia adozione dell’app, che, è bene ricordarlo, resta su base volontaria.

I DATI CONDIVISI CON IL SERVER. Dal punto di vista privacy, è importante notare che oltre alle Temporary Exposure Keys, Immuni invia al server anche alcuni analytics data, con la finalità di facilitare l’assistenza medica prestata dal Servizio Sanitario Nazionale. Tra questi, le informazioni epidemiologiche e tecniche.
INFORMAZIONI EPIDEMIOLOGICHE. Le informazioni epidemiologiche riguardano l’esposizione dell’utente ed includono: a) il giorno in cui l’esposizione è avvenuta, b) la durata dell’esposizione, c) le attenuazioni del segnale Bluetooth per determinare la distanza fra i dispositivi e d) se presenti, le informazioni sulla probabilità che l’utente positivo fosse già infetto quando si è verificata l’esposizione, in base al giorno di insorgenza dei sintomi.              

Quando l’app Immuni scambia questi dati con il server? 

A. In fase di valutazione del rischio di trasmissione del virus. Il caricamento può avvenire dopo che l'app ha scaricato dal server nuove chiavi e ha valutato il rischio di trasmissione per l'utente, in base ai suoi recenti contatti con utenti positivi. In questo caso, i dati epidemiologici vengono caricati automaticamente.        

B. In fase di caricamento delle Temporary Exposure Keys di un utente positivo. Quando l’utente positivo al Covid-19 decide di caricare il dato mediante la chiave (passaggio che deve essere condiviso con l’operatore sanitario), vengono caricati anche tutti i dati epidemiologici disponibili in relazione ai 14 giorni precedenti.   
La raccolta dei dati epidemiologici, si legge nel documento, aiuterà il Sistema Sanitario Nazionale a ottimizzare l’allocazione delle risorse e il risk model di Immuni.        

INFORMAZIONI TECNICHE. Immuni potrà raccogliere anche alcuni dati relativi all’attività del dispositivo dell’utente, tra cui le “working condition” dell’app e la configurazione del dispositivo (es. Bluetooth acceso o spento). Il caricamento sul server di tali dati include, peraltro, anche le informazioni circa la provincia in cui è domiciliato l’utente. Tali informazioni tecniche serviranno a stimare la percentuale di adozione dell’app basata sull’effettivo utilizzo.

GARANZIE PRIVACY. Numerose risultano le misure prese per proteggere la riservatezza dei dati personali. L’app, ad esempio, non effettuerà geolocalizzazione e non raccoglierà dati che potrebbero identificare l’utente (nome, età, indirizzo, email, numero di telefono). Inoltre, il Proximity Identifier generato dalla Temporary Exposure Key non conterrà informazioni né sul dispositivo, né sull’utente, e cambierà varie volte in un’ora. I dati registrati sul dispositivo saranno criptati, così come le connessioni tra app e server. Tutti i dati saranno cancellati quando non più rilevanti, sia nel dispositivo sia nel server. Il Ministero della Salute sarà il titolare del trattamento. I dati potranno essere utilizzati solo per finalità di contenimento dell’epidemia Covid-19 e di ricerca scientifica (in quest’ultimo caso, solo dati anonimi o aggregati). I server di Immuni saranno localizzati in Italia e gestiti da un ente pubblico. Inoltre l’app genererà periodicamente del traffico fittizio (“dummy traffic”), per prevenire la possibilità che soggetti terzi possano raccogliere informazioni sull’utente mediante traffic analysis.

QUESTIONI APERTE. Esistono tuttavia anche alcune questioni aperte, che lo stesso documento si premura di menzionare. Tra queste la gestione del rischio di caricamenti finti da parte di utenti malintenzionati; il bilanciamento tra integrità degli analytics e minimizzazione dei dati richiesti all’utente; la conservazione il recupero e la cancellazione dei dati. Tutti temi su cui Bending Spoons sta al momento finalizzando le soluzioni.

© Graziadei Studio Legale

Ulteriori informazioni: dal link sottostante è possibile raggiungere la pagina di GitHub all’interno della quale sono caricate tutte le informazioni su Immuni

Disclaimer & Privacy
P.IVA 07340781009