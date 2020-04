Se avete ricevuto l’sms di Regione Lombardia, ecco come funziona l’app AllertaLom

17 Aprile 2020 – 18:03

L’sms di Regione Lombardia spedito ai lombardi per scaricare la app di autodiagnosi del coronavirusI primi sms sono arrivati nel tardo pomeriggio di mercoledì 16 aprile. Mentre il commissario straordinario del governo per l’emergenza Covid-19, Domenico Arcuri, si apprestava a firmare il decreto per assegnare a Bending Spoons lo sviluppo dell’app nazionale per raccogliere informazioni utili al contact tracing del coronavirus, Regione Lombardia sollecitava i cittadini a scaricare la sua applicazione. O meglio, quella della Protezione civile locale, AllertaLom, utilizzata per aggiornamenti su rischi meteo, valanghe e altre criticità locali, su cui da qualche settimana si può compilare un questionario sul proprio stato di salute, CercaCovid.

Le domande servono a circoscrivere Comune di residenza, abitudini di vita e lavoro, condizioni mediche generali e specifici sintomi riconducibili al Covid-19. Una sorta di diario, che si può aggiornare quotidianamente (su base volontaria, così com’è il download dell’app) e che servirebbe, nelle intenzioni di Palazzo Lombardia, a individuare eventuali nuovi focolai. I ricercatori e i medici dell’università di Pavia e dell’ospedale San Matteo useranno i dati per tracciare mappe di rischio sul contagio. Al momento la Regione ha dichiarato a Wired che l’app, sviluppata da Aria spa (società in-house del Pirellone), è stata scaricata 870mila volte dal lancio del servizio CercaCovid e sono stati spediti 1,6 milioni di questionari.

L’invio degli sms

Da mercoledì 16 aprile chi si trova in Lombardia ha iniziato a ricevere sms che invitano a scaricare l’app. Senza un link diretto al download e in un italiano in certi punti zoppicante. Non è uno scherzo: il messaggio è ufficiale e frutto di un’ordinanza regionale del 9 aprile. Il principio a cui la giunta guidata dal presidente Attilio Fontana si appella è quella dell’sms di pubblica utilità, che consente “alle amministrazioni, in situazioni di emergenza, di utilizzare sms per campagne informative e di sensibilizzazione”. Rigorosamente gratis.

Le compagnie telefoniche hanno ricevuto nei giorni scorsi il provvedimento, con il testo, e hanno avviato l’invio massivo. Come? Attraverso la geolocalizzazione mediante le celle telefoniche. Lo hanno confermato a Wired gli operatori stessi. La Regione non ha fornito liste di residenti, né ha avuto accesso, come dice l’ordinanza, ai numeri di telefono. Ha trasmesso l’sms alle compagnie, perché lo facessero rimbalzare sui telefonini agganciati alle celle telefoniche dentro i confini lombardi.

Questo spiega perché persone che si trovano in Lombardia, pur avendo altrove la residenza (indicata nei contratti sottoscritti), hanno ricevuto correttamente l’sms. Anche su numeri stranieri, in roaming con un operatore italiano. Un caso almeno è stato appurato da Wired: l’imprenditore Max Uggeri, residente in Spagna ma bloccato in queste settimane a Milano, ha dichiarato di aver ricevuto sul numero spagnolo il messaggio. In questo momento è in roaming con Tim. Così come, al contrario, lombardi che al momento sono fuori dal territorio regionale non lo hanno ricevuto.

Siccome ogni operatore si è attivato con i propri tempi per rispondere all’ordinanza, non tutti hanno già spedito gli sms. Vodafone ha spiegato a Wired di aver già provveduto all’invio. Altri stanno procedendo, come Iliad. E questo giustifica il mancato avviso ad alcune utenze. Questione di tempo.

Alcune schermata della app di Regione Lombardia AllertaLomCome funziona la app

La funzione CercaCovid dell’app AllertaLom permette di svolgere un’autovalutazione dello stato di salute del cittadino, che viene poi trasmessa “alle autorità sanitarie di Regione Lombardia”, così come si legge nelle condizioni contrattuali aggiornate a marzo 2020. Un diario clinico dunque, nel quale l’utente condivide in un modulo alcune informazioni tra cui l’età, il sesso, le condizioni di salute pregresse, il Comune di residenza ed eventualmente quello dove si lavora. Nella procedura si chiede di rispondere a una serie di domande volte a identificare potenziali sintomi rivelatori di un contagio di Covid-19. Il questionario si può compilare su base quotidiana, sempre a discrezione dell’utente, così che i dati possano essere aggregati – questa l’intenzione della Regione – per monitorare l’insorgenza di eventuali nuovi focolai del virus.

“Per avere una mappatura statistica dobbiamo arrivare a un milione di download”, ha spiegato ai microfoni di Sky Tg24 Fabrizio Sala, vicepresidente di Regione Lombardia. La campagna via sms serve proprio ad aumentare il numero di utenti. Per il numero due della giunta Fontana, “la piattaforma della nostra app si può non solo ampliare, ma è anche aperta per integrarsi con qualsiasi applicazione. Quando avremo le specifiche anche dell’applicazione nazionale potremo fornirla e integrarla”.

Alcune schermata della app di Regione Lombardia AllertaLomQuestionario anonimo?

Come ribadito anche nella comunicazione via sms, l’invio dei questionari dovrebbe avvenire in forma anonima. Tuttavia, è la stessa informativa sul trattamento dei dati personali a mettere parzialmente in contraddizione questa informazione.

Come si legge nella medesima (articolo 9, comma 2), i dati inseriti all’interno del questionario “saranno oggetto di una analisi statistica automatica avente finalità di profilazione della sintomatologia e del grado di rischio di contagio georeferenziato su scala regionale, senza aver in alcun modo la possibilità di configurarsi una profilazione di informazioni personali essendo il dato generato e conservato in forma anonima”. Diversamente, nell’articolo precedente si legge che i dati “verranno conservati in maniera da rendere identificabile l’interessato”, anche se questo si limiterebbe al solo “tempo strettamente necessario alla costruzione dei modelli statistici ed epidemiologici di riferimento”. Al fine di garantire una maggiore tutela della privacy, si legge nel documento, i dati “saranno poi resi anonimi al trascorrere di detto arco temporale”.

“Sono comunicazioni confuse e contraddittorie, che difficilmente rispondono ai requisiti su cui deve basarsi un consenso informato”, ha spiegato a Wired Stefania Stefanelli, professoressa associata di diritto privato e direttrice del Master in Data protection, cybersecurity e digital forensics dell’Università di Perugia. “Leggendo il documento viene difficile pensare che si tratti di un questionario anonimo, già solo per i continui riferimenti ai dati personali raccolti”, precisa. Ma quali informazioni potrebbero essere utilizzate dai gestori del servizio lo dice la stessa informativa, nella quale si fa espressamente riferimento al codice Imei del dispositivo (ovvero della stringa di numeri che identifica univocamente smartphone e tablet) e all’indirizzo Ip che invece permette di conoscere “l’host di rete”, e quindi di identificare la provenienza della connessione.

“Sono proprio queste informazioni che, insieme ai dati forniti nel questionario tra i quali il luogo di residenza e l’età, permetterebbero di risalire facilmente a chi ha inviato il questionario – chiarisce Stefanelli -. Dunque il titolare del trattamento dovrebbe chiarire questo: i dati nascono anonimi o vengono anonimizzati successivamente?”. E in quest’ultimo caso, sarebbe inoltre necessario chiarire chi effettua l’anonimizzazione e secondo quali protocolli di cifratura. Secondo la professoressa, “naturalmente il cittadino può anche avere interesse a contribuire al lavoro della Regione fornendo dati personali che possano consentire di identificarlo, ma dovrebbe ricevere tutte le informazioni richieste dal Gdpr e dalle norme speciali in materia”. Informazioni che devono essere “preventive, concise, chiare, e fornite in un linguaggio comprensibile a tutti i destinatari della app. Qualsiasi consenso al suo utilizzo, in assenza di tali informazioni, sarebbe da intendersi irrimediabilmente viziato”.

Alle richieste di Wired sulle incongruenze dell’informativa, la Regione ha confermato che “il questionario è totalmente anonimo”. Entrando più nello specifico, “quando nell’informativa privacy parliamo di contatto che viene reso riconoscibile durante il periodo della raccolta dati, ci riferiamo a un meccanismo per unire tra loro le risposte dello stesso cittadino nel tempo vista la natura anonima dei dati raccolti. Pertanto viene generata una chiave random che è utilizzata per raccordare le risposte dello stesso utente nei giorni differenti”, fanno sapere da Palazzo Lombardia. E aggiungono: “Non usiamo altri meccanismi di identificazione perché materialmente non raccogliamo mai informazioni personali utilizzabili per una identificazione di chi risponde”. Rispetto al codice Imei, Regione spiega che “è usato solo per poter inviare le notifiche push ed era già presente prima di CercaCovid per le finalità della Protezione civile. Quindi è usato dalla app ma noi non ne facciamo assolutamente uso nella memorizzazione delle risposte al questionario né per ricostruire chi è l’interessato”.

