Green pass e privacy: l’esperto ci spiega “le carenze dell’infrastruttura tecnologica italiana”

Prima era Immuni, poi è stato IO e oggi è il Green pass. Cambiano i nomi ma restano i problemi, come quello legato alla gestione dei dati sensibili, il diritto alla privacy per intenderci, affidata alle infrastrutture tecnologiche della pubblica amministrazione, che non sempre può dirsi in grado di usarle efficacemente.

E così, mentre tra un Green-pass-sì e un Green-pass-no e relative verifiche si scontrano come in un copione già scritto il diritto alla salute e quello alla privacy, il nostro paese sconta ancora i troppi ritardi legati alle lacune dell’infrastruttura tecnologica italiana. A parlarne al Tg8 è Andrea Monti, professore di Digital law dell’Università d’Annunzio di Chieti-Pescara.

 

Per chi fosse interessato ad approfondire il delicato tema, di seguito l’articolo del professor Monti, pubblicato su Ictlex.net.

Il Green Pass e la deficienza dell’infrastruttura tecnologica italiana

Da Immuni a IO e fino al Green Pass, la pandemia ha dimostrato che la pubblica amministrazione non è in grado di usare efficacemente le tecnologie dell’informazione. E non è solo una questione di competenze tecniche di Andrea Monti – PC Professionale 366

Il motore della macchina che muove il Green Pass non è ancora arrivato a regime ma già si sono manifestati i soliti problemi che affliggono le infrastrutture tecnologiche della pubblica amministrazione italiana.

I ritardi nel funzionamento del sistema Green Pass hanno riguardato, tanto per citarne alcuni, l’invio “erratico” dei dati (nella specie, dei certificati di guarigione), la mancata standardizzazione dei dati da gestire (in particolare, sui tipi di tampone), le carenze nel controllo di coerenza e integrità dei dati (codici fiscali dei medici nei certificati di guarigione).

Ogni singola criticità ha una causa specifica. Prese nel loro complesso, tuttavia, cause e criticità manifestano una origine comune: la sostanziale incapacità della pubblica amministrazione di capire come si utilizzano le tecnologie dell’informazione. A questo, bisogna aggiungere la paralisi istituzionale generata da un malinteso “diritto alla privacy” in nome del quale, a partire dal contact-tracing e fino al Green Pass, la paranoia della sorveglianza globale diffusa a piene mani dai millenaristi del secondo millennio ha impedito l’uso di strumenti efficaci per contrastare il Coronavirus. Completa il quadro, infine, il mutamento diffuso del concetto di diritto causato essenzialmente dalla disponibilità delle piattaforme di social-networking. Da rivendicazione sociale condivisa che deve trovare nella mediazione politica una forma giuridica, il diritto è diventato una pretesa individuale di natura religiosa che, per il solo fatto di essere espressa, deve essere soddisfatta.

Limitandoci agli aspetti strettamente giuridici della vicenda, che il Green Pass si possa fare è indiscutibile. È un atto amministrativo che “certifica” una condizione personale e obbedisce ad esigenze di tutela della salute pubblica.

Il diavolo, tuttavia, è nei dettagli.

Partiamo dalle scelte di fondo. È chiaro che il Green Pass può trasformarsi in uno strumento di sorveglianza di massa, analogamente a quanto è accaduto in Cina con l’obbligo di fare check-in tramite smartphone in ogni luogo pubblico nel quale ci si trova. Nulla vieta, senza invocare i fantasmi della “violazione della privacy”, di adottare soluzioni diverse e meno invasive (salvo che non sia effettivamente necessario).

È indispensabile collegare l’identità personale ad uno specifico certificato, ma non è necessario che la coppia di informazioni rimanga disponibile a chiunque. Chi deve sapere se una persona abbia o meno titolo per entrare in un ristorante o un cinema ha certamente necessità di sapere se chi sta esibendo il certificato sia l’effettivo titolare, e dunque ha titolo per chiedere anche la carta di identità. Non è necessario, tuttavia, che l’informazione rimanga in suo possesso mentre dovrebbe rimanere a disposizione delle strutture sanitarie, con un rigido controllo degli accessi ai dati in questione. Il problema, dunque, non è “la privacy” ma più concretamente il modo di applicare un criterio di gestione delle informazioni previsto dal regolamento sulla protezione dei dati personali e noto come need to know (necessità di conoscere) in base al quale si comunicano solo le informazioni che il destinatario ha motivo di ricevere. Più in generale, dunque, il primo punto è quello di progettare le piattaforme avendo in mente i principi (più che le singole norme) fissati dalla legge.

Dal punto di vista tecnologico il successo del Green Pass dipende dalla possibilità di ricevere in tempi rapidissimi il certificato digitalizzato e dalla sua non falsificabilità. Questo significa che i sistemi informativi sanitari dedicati a questo scopo siano “pensati” in termini di resilienza ed efficienza; e che le infrastrutture di telecomunicazioni offrano la necessaria copertura. Se nessuna delle due condizioni si è avverata è dipeso dalle carenze storiche dell’infrastruttura tecnologica della pubblica amministrazione italiana. Il fallimento dei click-day dell’INPS, i clamorosi problemi nella gestione informatica dei vaccini di Regione Lombardia, l’incredibile attacco dell’agosto 2021 ai sistemi di Regione Lazio (che troppo “comodamente” viene imputato agli “hacker cattivi”) e prima ancora le polemiche di qualche anno fa sulla gestione dello “spesometro” sono solo alcuni degli elementi rivelatori dello stato di fatto. La sicurezza dei sistemi pubblici è spesso fatta di “protocolli di intesa”, “tavoli di lavoro” e grandi dichiarazioni di principio. Nei fatti, basta un virus per mettere in ginocchio parti importanti dei servizi italiani. Per quanto riguarda la rete, stiamo ancora decidendo cosa fare di quella in rame e il mercato dell’accesso in fibra è lontano dall’avere raggiunto una sua maturità. Pensare, dunque, che i problemi endemici dell’informatica pubblica italiana si risolvano in pochi mesi perché è necessario “combattere il Coronavirus” è, dunque, una pia illusione.

Sul breve periodo non ci sono alternative. Bisogna rassegnarsi al fatto che il “sistema” funzionerà in modo tuttaltro che perfetto. Sul lungo periodo, invece, possiamo sperare che, almeno questa volta, chi deve abbia imparato che i problemi strutturali non si possono risolvere in emergenza.