La Camera,
   premesso che:
    l'articolo 6 recante «Misure per l'introduzione del sistema di allerta Covid-19», istituisce presso il Ministero della salute una piattaforma per il tracciamento dei contatti tra le persone che installino, su base volontaria, un'apposita applicazione per dispositivi di telefonia mobile complementare; la piattaforma è intesa a consentire la gestione di un sistema di allerta, in relazione alle persone che siano entrato in contatto stretto con soggetti risultati positivi al virus COVID-19. Compete allo stesso Ministero della salute, sentito il Garante Privacy, l'adozione delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi per i diritti e le libertà degli interessati. La disposizione chiarisce che i dati raccolti non possono essere trattati per finalità diverse da quella specificate, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica, e il mancato utilizzo dell'applicazione non comporterà alcuna conseguenza in ordine all'esercizio dei diritti fondamentali dei soggetti interessati. Si prevede infine che la piattaforma venga realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla Sogei (società a totale partecipazione pubblica) e tramite programmi informatici di titolarità pubblica. L'utilizzo di applicazione e piattaforma, nonché ogni trattamento di dati personali, devono essere interrotti alla data di cessazione dello stato di emergenza. Entro tale ultima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi;
    il Comitato parlamentare per la sicurezza della Repubblica (Copasir) in un documento di sedici pagine, ha espresso tutte le sue perplessità in merito all’app e che dovrebbero trovare una soluzione entro la data prevista per il lancio del servizio di notifica delle esposizioni, prevista il prossimo 29 maggio;
    il Comitato raccomanda che «l'attuazione della piattaforma avvenga con criteri univoci sul territorio nazionale, evitando la possibilità di interpretazioni restrittivo o comunque differenziate da parte delle Regioni ed Enti locali, tali da introdurre ingiustificate limitazioni alla libera circolazione dei cittadini»;
    il riferimento è al fatto che «il mancato utilizzo dell'applicazione [...] non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento». Una formulazione giudicata insufficiente da parte del Comitato, secondo a quale tale disposizione potrebbe «risultare insufficiente a escludere eventuali provvedimenti più restrittivi, da parte di soggetti istituzionali o da privati, volti a selezionare l'accesso delle persone (a luoghi, zone territoriali, locali pubblici o privati eccetera), sulla base dell'utilizzo o del mancato utilizzo dell'applicazione»;
    una delle principali regole informatiche è che un sistema aggiornato è anche più sicuro. Questo deriva dal fatto che ogni aggiornamento, sia per i sistemi operativi che per i singoli software, di norma viene rilasciato per correggere errori o apportare migliorie al sistema, rendendolo più sicuro a nuove vulnerabilità che potrebbero venire scoperte nel tempo. Secondo quanto previsto dall'ordinanza firmata dal commissario per l'emergenza, Domenico Arcuri, sarà Bending Spoons, la società che sviluppa Immuni, a farsi carico degli aggiornamenti della piattaforma per almeno sei mesi. Una circostanza per la quale il Copasir «esprime preoccupazione», dal momento che questo determinerebbe una «potenziale dipendenza» dell’app da una società privata, senza che sia chiaro quale sarà il ruolo di PagoPa, società pubblica che ha l'incarico di affiancare Bending Spoons nello sviluppo dell’app di tracciamento;
    il Comitato esprime preoccupazione anche «per il fatto che dopo l'entrata in esercizio della app Immuni, che dovrà comunque essere preceduta da fasi di test, la Bending Spoons, secondo quanto previsto dal contratto, continuerà la sua attività di aggiornamento dell'applicazione per un periodo di sei mesi, determinando quindi una potenziale dipendenza del sistema posto in essere da tale sviluppo tecnologico, affidato anche in questo caso a una società privata. Sul punto non risulta chiaro se fattività di aggiornamento della app da parte di Bending Spoons possa svolgersi in sovrapposizione e/o congiuntamente con fattività di PagoPA»;
    per quanto riguarda la Cybersecurity non si deve sottovalutare «il rischio tecnologico, anch'esso difficilmente mitigabile, almeno nel breve periodo, consistente in possibili attacchi di tipo informatico da parte di hacker o altri soggetti o in possibili truffe ai danni degli utilizzatori della app. La tecnologia Bluetooth risulta infatti particolarmente vulnerabile a intrusioni i cui effetti, in questo contesto, potrebbero essere tali da diffondere allarme ingiustificato nella popolazione, ad esempio mediante rinvio di messaggi falsi o fraintendibili, relativi, inter alia, allo stato di salute o al possibile contagio dei destinatari»;
    dalle audizioni svolte, infine, «non sembra praticabile una interoperabilità con le soluzioni adottate, o in via di adozione, da parte degli altri principali Paesi europei, considerato anche che non è stata decisa una linea comune a livello di Unione europea. Questo aspetto appare decisivo per la piena funzionalità del sistema, soprattutto in un Paese a vocazione turistica come il nostro, che dovrebbe assicurare la libera circolazione delle persone all'interno dell'Unione europea»;
    il tema della proiezione dei dati più rilevanti e delicati in termini di cybersecurity va considerato nella sua interezza. Qualunque server è vulnerabile, anche i più importanti, perciò va fatta una verifica generale. Tenga presente che i dati sulla salute valgono doppio dal punto di vista economico e della privacy. Nel mercato nero dei dati quelli sulla salute sono i più preziosi,

impegna il Governo

a valutare gli effetti applicativi delle norme contenute all'articolo 6 per un periodo di sperimentazione di 3 mesi, durante il quale il garante della privacy verifichi le eventuali criticità comunicandole al Governo, e a disporre, in caso di risultanze negative in termini di privacy, con proprio provvedimento, la sospensione dell'applicazione e della piattaforma, nonché ogni trattamento di dati personali effettuato.
9/2547/26. Turri, Tateo, Di Muro, Bisa, Cantalamessa, Marchetti, Morrone, Paolini, Potenti.