Il dialogo tra le app nazionali di contact-tracing attraverso il "gateway" di interoperabilità dell'UE

Una importante novità è rappresentata dalla possibilità per i cittadini di utilizzare la medesima applicazione di contact-tracing anche quando viaggiano in Europa continuando ad usufruire del tracciamento dei contatti e della ricezione degli avvisi relativi ad esposizioni con soggetti risultati positivi al Covid-19.

E' stato così introdotto il servizio gateway di interoperabilità, ossia un'interfaccia per lo scambio sicuro e trasparente dei dati inviati dalle app di contact-tracing e dai server tra nazioni.

Davvero significativo ed importante l'ideazione di un tale strumento che consente al cittadino che si muove da una Nazione europea all'altra di installare sul proprio cellulare una sola applicazione, con la quale si può inviare un allerta circa la propria positività o ricevere un avviso del medesimo contenuto, anche quando si è in viaggio all'interno dell'Unione.

In altri termini, il servizio gateway di interoperabilità è "un'infrastruttura digitale" su cui in concreto si realizza la trasmissione delle chiavi create tra i server delle app nazionali di contact-tracing. Il gateway condividerà le informazioni minime necessarie per avvisare l'utente della possibile esposizione a una persona infetta utilizzando una delle app partecipanti.

Nel gateway i dati sono conservati per non più di 14 giorni. Inoltre, il gateway tratterà le chiavi generate dalle app nazionali e nessun'altra informazione al fine di garantire la privacy di ogni utente.

Infine, risulta altresì importante specificare come il "gateway" trova il proprio fondamento in virtù delle specifiche tecniche concordate tra gli Stati membri e la Commissione nonché degli orientamenti della Commissione e del Comitato europeo per la protezione dei dati per le app di contact-tracing.

Perché aderire al servizio di interoperabilità.

Come noto, la lotta alla limitazione del contagio Covid-19 ha oramai una portata globale, considerato che stiamo attraversando una pandemia mondiale. A livello europeo, le singole autorità sanitarie pubbliche si sono dotate di una applicazione relativa al tracciamento dei contatti il cui fine è quello di evitare l'insorgere di focolai da coronavirus sul territorio nazionale. L'utilizzo di una app di contact-tracing non è stato imposto dai singoli Stati Membri e dunque non si configura come obbligo ma è rimesso alla volontà di ognuno. Del pari, volontaria è la partecipazione al "gateway" di interoperabilità.

A tal riguardo, sovviene inevitabilmente una considerazione: non è detto che coloro che non viaggiano non possano entrare in contatto con persone che invece si spostano dal proprio Paese. Per tale ragione, l'utilità del servizio di interoperabilità la si deve cogliere anche a favore di coloro che non sono soliti a viaggiare. Quindi, aderendo al servizio di "gateway", ogni persona che sarà entrata in contatto con un soggetto positivo negli ultimi 14 giorni riceverà dalla app una notifica di avvertimento della possibile esposizione al virus.

L'importanza di scaricare sul proprio cellulare la app di contact-tracing .

Come già specificato, l'unica finalità per cui l'app in esame è stata ideata è quella di limitare i contagi ed evitare il collasso delle strutture ospedaliere. Difatti, l'app di tracciamento è stata ideata per contribuire a ridurre la diffusione delle infezioni da coronavirus, a livello nazionale e transfrontaliero. Tutti sappiamo ormai che nella lotta alla pandemia il tempo gioca un ruolo importante, cosicché, quanto velocemente veniamo a conoscenza di essere stati a contatto con un soggetto risultato positivo, prima possibile saremo in grado di auto-isolarci per tutelare la nostra famiglia, gli amici, i colleghi. Quello appena descritto è unicamente lo scopo, chiaro e semplice, del funzionamento della app nazionale ed a livello europeo.

Preme quindi sensibilizzare tutti i cittadini a scaricare l'app di contact-tracing, ed aderire altresì al servizio di "gateway"poiché, indubbiamente, entrambi si configurano quali misure di prevenzione nella lotta alla diffusione del virus, insieme alle altre note precauzioni quali il lavaggio delle mani, il distanziamento sociale e l'uso quotidiano delle mascherine. Maggiore sarà il numero dei cittadini ad usufruire di tale servizio, maggiore sarà il livello di efficacia del suo funzionamento.

Il funzionamento del gateway con la app di tracciamento nazionali. Il sistema decentrato sia a livello nazionale che europeo.

Le app di contact-tracing del singolo Paese si connettono unicamente al rispettivo server nazionale. I server nazionali a loro volta interagiscono tra loro trasmettendosi le informazioni attraverso il servizio di "gateway" di interoperabilità dell'UE.

Lo scambio di dati si realizza attraverso due fasi: la prima consiste nel caricamento delle chiavi nazionali sul server del gateway, che avviene se gli utenti che le caricano hanno accettato di condividerle con gli utenti di altre app europee; la seconda fase comporta lo scaricamento delle chiavi sul server nazionale, essenziale affinché le stesse possano essere distribuite ai soggetti della singola applicazione nazionale.

Lo scambio di informazioni tra le app di contact tracing nazionali avviene sulla base di un sistema di tipo decentrato, al pari del modello adottato dalle app di tracciamento introdotte nei singoli Stati membri.

Preme evidenziare ancora una volta come la scelta tra l'uno e l'altro sistema di gestione dei dati (c.d. centralizzato o decentralizzato) attiene in maniera esclusiva a motivi connessi alla tutela della privacy, tanto da divenire oggetto di discussione non solo nazionale ma anche a livello europeo.

Il nostro Governo, ha optato per il modello decentralizzato, voluto da Google ed Apple.

In sostanza, la caratteristica fondante del modello elaborato da Google e Apple consiste nel prevedere che i dati sugli spostamenti e incontri fra i soggetti, utili ad avvisare chi si è trovato vicino a qualcuno poi rivelatosi positivo, siano gestiti direttamente dai cellulari dei cittadini. Come si è potuto comprendere «La memorizzazione dei dati deve essere completamente decentralizzata. I dati, opportunamente protetti con sistemi di anonimizzazione o di pseudonimizzazione, devono essere conservati localmente sui dispositivi, dove deve avvenire anche il calcolo del rischio di infezione. Se sarà necessario l'utilizzo di server centrali, dovranno essere trasmesse a tali server soltanto chiavi anonime e temporanee corrispondenti agli utenti infetti, in mondo che non sia consentito di risalire all'identità delle persone».

Tanto posto, il funzionamento del protocollo decentralizzato è il seguente: il cellulare di un soggetto, fornito della app compatibile con questo protocollo (come la app italiana c.d. Immuni), attraverso il Bluetooth trasmette ad altri cellulari, nelle vicinanze e muniti della stessa app, i codici identificativi anonimi casuali, prodotti da una chiave che sta sul dispositivo, e che si modificano ad intervalli di tempo. Tali cellulari archiviano al loro interno i codici del soggetto per un determinato arco di tempo e, a loro volta, diffondono i loro. Successivamente: il soggetto che ha l'app sul proprio cellulare contrae il virus e viene dotato di un codice di sblocco.

Questo codice verrà usato per trasferire a un server i codici identificativi trasmessi in giro nei giorni precedenti dal soggetto, i quali, attraverso il server, saranno diramati a tutti i dispositivi con le app. Se c'è un abbinamento, se uno di quei codici è nel dispositivo di un altro utente, l'app lo avvisa.

Invece, la caratteristica principale del protocollo centralizzato è che i codici sono generati direttamente dal server e non dal cellulare dell'utente. Il server invia un identificativo di lungo termine e una chiave ai cellulari, i quali poi li trasmettono in giro. Quando qualcuno contrae il virus trasmette al server gli identificativi che ha incontrato. A quel punto il server usa la sua chiave per decifrare gli identificativi anonimi abbinandoli agli identificativi di lungo termine e usandoli per inviare notifiche agli utenti.

Risulta comunque importante ribadire come, a prescindere dal tipo di sistema, decentralizzato o centralizzato, nessuna delle app di tracciamento registra dati personali quali la posizione o gli spostamenti del singolo soggetto, poiché come sopra detto, l'intento è la tutela della privacy degli utenti.

La connessione al "gateway" delle singole app di contact-tracing nazionali.

L'app di tracciamento nazionale scaricata dal singolo soggetto è compatibile con il servizio "gateway" dell'interoperatività tra nazioni. Come riportato dal sito della Commissione Europea, la maggior parte degli Stati membri dell'UE hanno optato per una app nazionale di tracciamento conforme al sistema decentrato. Ciò significa che tutte queste app possono funzionare sia tra di loro sia con il "gateway".

Qualsiasi Nazione interessata all'instaurazione di un collegamento con il servizio di interoperabilità dovrà seguire le linee guida contenute nel protocollo elaborato proprio a tal fine.

Una volta che l'app è collegata al gateway, l'utente dovrà avere cura di scaricare il relativo aggiornamento per consentire alla app di funzionare oltre il confine nazionale.

Da ultimo, si ricorda che in Italia la possibilità di utilizzare Immuni all'estero è stata prevista con il decreto legge 7 ottobre 2020 , n. 125 recante "Misure urgenti connesse con la proroga della dichiarazione dello stato di emergenza epidemiologica da COVID-19 e per la continuita' operativa del sistema di allerta COVID, nonche' per l'attuazione della direttiva (UE) 2020/739 del 3 giugno 2020".

a cura dell'Avv. Marco Martorana, Studio Legale Martorana