Alfredo Visconti è il Presidente nuove tecnologie e intelligenza artificiale dell’ANDIP, Associazione Nazionale per la Difesa della Privacy. Ha esperienza nella gestione di progetti critici nell’area ICT e lavora soprattutto nel campo dell’informatica giuridica; è anche consulente esperto di Privacy per molte aziende private.
La tecnologia fa sempre più parte della nostra vita quotidiana e ad essa affidiamo i nostri dati sensibili. Il dibattito sulla riservatezza dei dati e sulla privacy si è acceso con la diffusione di Green Pass e lavoro telematico, conseguenze della pandemia di Covid-19 che stiamo vivendo. Vediamo, in questa intervista ad Alfredo Visconti, quali provvedimenti sono stati presi dalle istituzioni e quali ripercussioni possono avere sulla vita privata dei cittadini.
Recentemente quattro persone hanno impugnato il DPCM 17 giugno 2021 relativo al sistema di prevenzione, contenimento e controllo sanitario dell’infezione SARS-CoV-2, tramite l’impiego della certificazione verde, lamentando la lesione del loro diritto alla riservatezza sanitaria, il rischio di discriminazioni nello svolgimento di attività condizionate al possesso del Green Pass, il pregiudizio economico derivante dalla necessità di sottoporsi a frequenti tamponi. Come si è conclusa la vicenda e in che modo il green pass rispetta la privacy sanitaria?
Al di là della gestione prettamente legale rispetto all’impugnazione del DPCM 27 giugno 2021 su cui potremmo discutere a lungo ma non porterebbe assolutamente a nulla occorre però chiarire che secondo l’ordinanza n. 5130/2021 del Consiglio di Stato, il decreto del Presidente del Consiglio dei Ministri 17 giugno 2021, che prevede l’impiego della certificazione verde COVID-19 (cd. “Green pass”) non viola il diritto alla riservatezza sanitaria. I soggetti che si dichiarano contrari alla somministrazione del vaccino, nel pieno esercizio dei loro diritti di libera autodeterminazione, non subiscono lesioni del diritto alla riservatezza sanitaria in ordine alla scelta compiuta, dal momento che l’attuale sistema di verifica del possesso della certificazione verde non sembra rendere conoscibili ai terzi il concreto presupposto dell’ottenuta certificazione.
In relazione al punto precedente, sarebbe stato lecito per le scuole stilare elenchi degli insegnanti vaccinati per non dover controllare i loro Green Pass ogni giorno?
A mio parere c’è poco da mettere in relazione: una cosa è il DPCM e le sue regole che comunque vanno rispettate, un’altra cosa è la possibilità di stilare elenchi con i dati delle persone vaccinate. Tra l’altro ci sono tanti modi non pericolosi e di facile attuazione per effettuare i controlli senza dover per forza salvare le notizie. Comunque deve essere chiaro che a prescindere da tutto, e le scuole non ne sono esenti, non è possibile creare elenchi rispetto ai dati sulle vaccinazioni.
Quali provvedimenti potrebbero essere presi per rassicurare la cittadinanza sui problemi della privacy legati al Green Pass?
A dire il vero dobbiamo riscontrare che a fronte della poca conoscenza in termini di privacy, rispetto alla gestione del Green pass e delle vaccinazioni l’utenza ha ben chiaro che questi dati sono riservati e gestiti in modo adeguato, per assicurare l’utenza sulla protezione di questi dati occorrerebbe una seria campagna di informazione che spieghi cosa fa l’ente con questi dati, purtroppo dobbiamo anche recuperare la gestione della app Immuni che si è dimostrata poco sicura ed ancor meno attendibile.
Il 15 ottobre il Green Pass verrà esteso anche al lavoro in azienda, ci saranno problemi riguardo al tema della privacy e delle discriminazioni?
Dovremmo avere già verso la fine del mese dei dati per poter verificare l’accaduto, non sembra però che i privati si stiano preoccupando più di tanto, forse visto che parliamo di privati è chiaro il concetto molto stretto che esiste tra produzione e gestione delle attività per cui qualche sacrificio lo si compie con “pazienza” al fine di evitare ipotesi di quarantene e chiusure anche temporanee di aziende.
Sui social si vedono diversi utenti pubblicare le immagini dei QR-code di chi possiede il Green Pass, perché è pericoloso per la propria privacy condividere tali dati?
La pericolosità dei social non la scopriamo oggi in regime di pandemia, né tantomeno scopriamo oggi la faciloneria con cui molti dati vengono esposti, va però fatto capire che una condivisione senza protezione come potrebbe essere la pubblicazione di un green pass è cosa troppo pericolosa in quanto quel QR code contiene informazioni personali e sanitarie, non visibili ma potenzialmente leggibili e utilizzabili da chiunque. Del resto che ci sia un pericolo per la privacy anche molto grave nel mostrare in pubblico il proprio certificato è ormai cosa risaputa tanto che dal momento in cui si è iniziato a rilasciare i certificati, subito pericoli e regole sono stati resi pubblici e disponibili sul sito della Commissione Europea.
Con l’inizio dell’emergenza sanitaria molti lavoratori hanno lavorato e continuano a lavorare in via telematica. Quali sono i settori in cui i titolari hanno avuto maggiore necessità di trattare dati sensibili dei lavoratori?
Qui potenzialmente si apre un mondo, il vero problema è che nessuno ha pensato di gestire questa nuova tipologia di lavoro attraverso un serio piano di sicurezza informatica e ciò ha portato con sé la creazione di falle nei vari sistemi produttivi. Per rispondere a questa domanda dovremmo uscire dal concetto di settore e capire che gli attacchi sono ormai globali e prendono dati da più “settori” riuscendo poi a metterli insieme per passare dai dati all’informazione. Il telematico ha messo a dura prova la nostra sicurezza informatica e soprattutto ne ha scoperto le falle mai gestite. È ormai chiaro che i pochi investimenti in sicurezza informatica dei sistemi, hanno creato un vantaggio competitivo molto forte per chi cercava e riusciva a prendere i dati. Dovendo però rispondere a questa domanda sembra che i settori più colpiti siano i settori pubblici (dove la sicurezza informatica in alcuni casi era inesistente o quasi), oltre alle varie APP nate sull’onda lunga della pandemia e che non hanno risposto in termini di sicurezza informatica.
