Immuni, il ruolo di Bending Spoons, Sogei e PagoPa

Pro bono ad ore. Per la precisione “10mila ore/uomo”. A tanto è quantificata la disponibilità gratuita di Bending Spoons per completare gli sviluppi di Immuni.  

Nel contratto con il Commissario Arcuri è scritto: “Bending Spoons ha concesso la licenza d’uso aperta, gratuita, perpetua e irrevocabile del codice sorgente e di tutte le componenti dell’app “Immuni”, nonché si è impegnata, sempre gratuitamente e ​pro bono,​ a completare gli sviluppi software necessari per la messa in esercizio del sistema nazionale di ​contact tracing ​digitale, per la durata di sei mesi e comunque nel limite di 10.000 ore/uomo”.

Stando alle ricostruzioni giornalistiche, l’obiettivo del ministro dell’Innovazione è rendere disponibile Immuni a livello nazionale per il 18 maggio e la società Bending Spoons se ne occuperà per 6 mesi o per un massimo di 10mila ore/uomo.
Quante persone dell’azienda stanno lavorando su Immuni? “Tra le 30 e 40 persone sono coinvolte nel progetto”, ha detto l’amministratore delegato Luca Ferrari al Corriere della Sera.

E se da gennaio 2021 la pandemia non dovesse essere alle nostre spalle, chi si occuperà della gestione dell’App?

Pisano: “I dati nel server centrale gestiti da Sogei, PagoPa ruolo di sviluppo dell’app”

Potrebbero essere Sogei e Pago Pa? Ad oggi le due società pubbliche sono già coinvolte sull’app Immuni. Paola Pisano, ministro dell’Innovazione, oggi durante l’audizione alla Commissione Affari costituzionali della Camera, ha dichiarato che “i dati raccolti da Immuni saranno conservati in parte sul telefonino degli utenti e in parte all’interno di un server italiano della pubblica amministrazione gestito da Sogei, mentre PagoPa avrà il ruolo di sviluppo dell’app e del coordinamento tecnologico insieme al nostro dipartimento per la trasformazione digitale”.

“Bending Spoons non avrà accesso ai dati, la società ha fornito il codice sorgente” ha aggiunto Pisano, “sia Sogei che altre società pubbliche stanno collaborando allo sviluppo dell’app”.

Secondo queste affermazioni, sembra che a Bending Spoons sia stato assegnato un ruolo marginale, che ora soggetti pubblici specializzati in tecnologia stiano davvero sviluppando l’applicazione. Allora perché è stata scelta la soluzione della società milanese? Ad oggi si constata che la soluzione proposta da Bending Spoons era una scatola vuota quando è stata selezionata prima dalla task force e poi anche dal Governo. Nella relazione del gruppo di lavoro su Immuni, si legge che la società ha proposto “l’utilizzo della piattaforma Google Cloud Platform per la parte del server del progetto”.

Questa mattina in Aula a Montecitorio il premier Giuseppe Conte ha illustrato i punti chiave del decreto-legge varato ieri sera dal Governo per dare il via libera all’app per il tracciamento dei contagiati da Covid-19 (qui il testo del decreto-legge). 

La logica della sperimentazione è quella che dovremo adottare nelle prossime settimane, facendo leva sul sistema di monitoraggio complessivo della diffusione dei contagi, incrementando la tecnologia di contact tracing, che comprende anche la app Immuni, di cui ho già riferito – a dire il vero – nell’informativa alle Camere dello scorso 21 aprile. Oggi vi do notizia che ieri il Governo, all’esito del Consiglio dei Ministri, ha adottato un decreto-legge che, tra le altre cose, contiene anche una norma quindi una copertura normativa di rango primario alle procedure di tracciamento dei contatti con funzioni di monitoraggio del virus“, ha detto il premier.

Il corpus di disposizioni, su cui poi il Parlamento potrà intervenire in sede di conversione in legge del decreto”, ha aggiunto Conte, “ha lo scopo di chiarire e rafforzare la disciplina di questo particolare trattamento dei dati personali, in coerenza con quanto ha precisato il Comitato europeo per la protezione dei dati personali e recependo le raccomandazioni emanate dalla Commissione europea il 16 aprile 2020”.

Cosa potrà aggiungere o modificare il Parlamento al decreto-legge? Se il Governo pone la fiducia, Camera e Senato non potranno modificare nulla.

Il Garante Privacy: “Modello centralizzato o decentralizzato?”

Nel testo del Dl non si fa ancora chiarezza sul modo in cui avverrà la raccolta e gestione dei dati. Modello centralizzato o decentralizzato?

La questione è stata evidenziata dal Garante privacy nel parere richiesto dalla presidenza del Consiglio dei ministri al decreto-legge che introduce il tracciamento dei contagi da COVID-19.  

“La norma non specifica chiaramente se si intenda optare per la conservazione dei dati in forma centralizzata ovvero decentrata. In ogni caso, la centralizzazione richiederebbe in sede attuativa la previsione di misure di sicurezza rafforzate, adeguate alla fattispecie”, scrive il Garante privacy.

Inoltre, l’Autorità “raccomanda all’Amministrazione interessata di sottoporre la valutazione di impatto cui è tenuta al più ampio regime di conoscibilità e di prevedere, anche nella norma, il carattere libero e aperto del software da rilasciare con licenza open source”.

Manca, dunque, ancora la Valutazione di Impatto sulla protezione dei dati personali (DPIA), da questa potremmo anche capire in che termini la app sia stata sviluppata alla luce dei princìpi –obbligatori – di privacy by design e privacy by default.

Il commento di Alessandro Del Ninno al decreto-legge

Ecco il commento del Prof. Avv. Alessandro del Ninno – Studio Legale Tonucci & Partners, al decreto-legge che introduce disposizioni urgenti in materia di tutela dei dati personali nel tracciamento dei contatti con soggetti affetti da COVID-19:

Ci sono vari aspetti del decreto legge sulla app di contact tracing che davvero convincono poco. Intanto la tempistica: è assurdo normare la tematica fissando requisiti ex post, ad assegnazione già avvenuta dell’incarico di sviluppo della app. Ma se si legge con attenzione, oltre ad errori disciplinari (non è affatto obbligatorio, come è scritto, fare la DPIA e chiedere anche il parere del Garante, se l’esito è ovviamente positivo in termini di assessment), ci sono aspetti volutamente ambigui”.

“Si legge che i dati potranno essere conservati “anche sui dispositivi”. Che vuol dire, che si attua un sistema centralizzato o decentralizzato? Inoltre non ci sono reali garanzie di anonimato, alla fine vedrete che saranno tutti dati pseudonimi, e dunque personali e soggetti a reidentificazione…. Segnalo anche che la norma sul riuso a scopo statistico o di ricerca scientifica dei dati (che supera concettualmente il termine di cancellazione automatica al 31.12.2020) prevede che possano essere utilizzati ‘in aggregato o in modo anonimo’:

la prima opzione (“in aggregato”) prevede un trattamento (su dati sanitari, poi) che non è affatto anonimo, essendo il trattamento in aggregato una modalità che ben puó comportare la reidentificazione”.

Immuni, il ruolo di Bending Spoons, Sogei e PagoPa