Ieri mi trovavo nella ennesima conference call quando il mio telefono squilla con una notifica della ricezione di un SMS. Il messaggio proviene da REGIONELOM e dice:
Regione Lombardia-CercaCOVID: scarica app AllertaLOM e compila ogni giorno il questionario anonimo sul tuo stato di salute. Aiuterai a tracciare mappa contagio.
L’iniziativa è buona tutto sommato ma lo stai facendo male. Perché non mettere un link al download della applicazione nelle sue versioni iOS e Android? Perché scrivere in un Italiano imbarazzante.
Verrebbe da dire perché si voleva contenere le dimensioni del messaggio… Mandarne più di uno pareva brutto?
Lasciamo stare. Al termine della mia conference call scarico l’applicazione con la curiosità dell’antropologo che ha scoperto una nuova, e sconosciuta, tribù amazzonica.
A questo punto lancio l’applicazione e la prima cosa che mi viene chiesta è di accettare i Termini e Condizioni d’uso. Sono paziente e prima di accettarli me li scarico sul PC e me li leggo. Quattro pagine di legalese puro che in alcuno punti mi lasciano perplesso.
Uno per tutti:
11. Cessione
L’Ente si riserva la facoltà di cedere, anche parzialmente, a terzi, il presenta accordo, e i diritti e gli obblighi dallo stesso derivanti, in qualsiasi momento, e senza alcun specifico consenso da parte Sua.
A parte l’errore di grammatica, per quale motivo dovrei concederti di cedere i diritti e gli obblighi del presente accordo a terzi? E, sopratutto, quali terzi?
Oltre a questo il paragrafo 4 Dati, informazioni e contenuti connessi all’impiego dell’App e del Servizio non fa nessun riferimento ai dati che vengono collezionati e trasmessi dalla applicazione. E’ ben evidente che il documento fa riferimento ad una versione pre COVID-19 e quindi tratta solo dei dati che l’applicazione fornisce all’utente e non il caso contrario.
Lasciamo stare. Procedo.
A questo punto mi viene chiesta l’accettazione della informativa sulla Privacy. Stesso processo. La scarico e me la leggo.
Bene, cominciamo.
L’inizio è buono:
Il Titolare non tratterà i suoi dati identificativi diretti, quali il nome, il cognome, il Codice Fiscale o la sua residenza.
Peccato che subito dopo:
Utilizzando l’App e accedendo al relativo Servizio, taluni dati di natura prettamente tecnica (quali, a titolo esemplificativo, il codice IMEI identificativo del Suo dispositivo mobile, le informazioni relative alla versione del sistema operativo ivi installato, l’indirizzo IP identificativo dell’host di rete, ecc.) potranno essere acquisiti, in modo del tutto automatizzato, dai sistemi informatici interrogati dal Suo dispositivo, all’atto di prelevare i dati e le informazioni resi disponibili all’interno dell’App.
Se acquisisci il mio indirizzo IP ed inferisci i dati la mia residenza la ottieni facile.
Continui così:
Il trattamento sarà effettuato con l’ausilio di strumenti elettronici o comunque automatizzati, in conformità ai principi di necessità e minimizzazione del trattamento. Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza idoneo rispetto alla tipologia di dati trattati ed al contesto del trattamento.
Niente da eccepire se non fosse che dopo il mirabolante caso dei sistemi di INPS a me qualche brivido lungo la schiena viene leggendo questo paragrafo. Concediamo il beneficio dell’inventario.
Seguono altri errori di grammatica che mia mamma avrebbe sottolineato tre volte con la matita blu.
Poi scrivi questo:
I dati raccolti ed elaborati non saranno trasferiti presso società o altre Enti siti al di fuori del territorio dell’Unione Europea.
Che non torna con quanto hai dichiarato nel documento dei Termini e Condizioni. Decidi. Li cedi o non li cedi?
Alla fine accetto anche questo e proseguo.
Mi vengono chiesti dei dati personali come il comune di residenza ed il comune presso il quale lavoro. Ora, io sono quello che in gergo si chiama “frontaliere” e quindi lavoro in Svizzera. Così come me ci sono almeno altre 65000 persone che vivono in Lombardia. Perché non mi viene offerta la possibilità di dichiarare che lavoro all’estero? Mistero.
Alla fine mi viene richiesta una serie di informazioni sul mio stato di salute ed infine confermo l’invio dei dati.
Alla fine non sono granché eccitato. Io ti fornisco dei dati utili e tu in cambio non mi dai nulla se non la consueta conferenza stampa delle 18.00. In passato abbiamo condotto progetti che riguardavano la richiesta e l’utilizzo di dati personali, anche sensibili. Una delle cose più importanti che scoprimmo durante la fase di User Research fu che gli utenti sono anche disponibili a cedere informazioni, ammesso che ne ricevano qualcosa in cambio. Qui non accade.
Insomma, capisco l’urgenza e la necessità ma si poteva fare meglio e comunque mi nasce il sospetto che stai cercando scorciatoie per fare in modo di non testare tutti i cittadini in relazioni al virus con metodi scientifici.
In tarda serata leggo un articolo che annuncia che è stata scelta dal Governo l’applicazione per tracciare i contatti di prossimità. Mi sembra una buona notizia.
Confesso che la prima idea che mi ero fatto è che fossero stati scelti gli amici degli amici e che ci saremmo trovati di fronte alla consueta porcheria. Invece leggo che l’applicazione scelta è sviluppata da Bending Spoons e faccio i salti di gioia. Quei ragazzi non sono bravi, sono stellari. Ben fatto!
Faccio una considerazione personale. A me piacerebbe che il codice della applicazione e, sopratutto, il codice dei sistemi di backend venisse reso pubblico in modo che sia possibile fare un audit. Questo per capire quale reale anonimizzazione dei dati viene applicata e quali sono gli algoritmi che vengono utilizzati per la valutazione dei rischi.