L'ordinanza con la quale il Commissario Straordinario Arcuri ha ritenuto di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons s.p.a. presenta alcune criticità. Con il provvedimento indicato si dispone semplicemente l'acquisizione della concessione gratuita della licenza d'uso di un software attraverso il quale verrà trattata una mole enorme di dati sensibili senza averne la gestione esclusiva.

Diversamente infatti da quanto previsto nella parte motiva del provvedimento - nella quale si ritiene opportuno l’acquisizione del diritto di autore sul codice sorgente e su ogni altro elemento e componente necessario per il funzionamento del sistema di contact tracing digitale sviluppato dalla società autrice dell'app - il contratto dovrebbe prevedere la semplice concessione allo Stato di una licenza e l'impegno della software house alla successiva collaborazione al completamento degli sviluppi informatici che si renderanno necessari per consentire la messa in esercizio del sistema nazionale di contact tracing digitale.

D'altro canto le precisazioni giunte a mezzo stampa che riferiscono di una app open source non sono particolarmente tranquillizzanti in merito alla possibilità che la stessa possa essere il veicolo per la diffusione involontaria di dati particolarmente sensibili; si dovrà attendere quindi di conoscere il contenuto del contratto concluso tra le parti al fine di meglio comprendere quali saranno i limiti operativi e le garanzie di tutela dei dati forniti dalla suddetta app.

Ciò detto pare comunque opportuno ricordare quanto gli esperti hanno indicato quali punti di riferimento per l'utilizzo di app di tal genere al fine di evitare gravi rischi per la privacy dei cittadini.

In particolare:

- l' attivazione su base volontaria delle funzionalità delle app e dei sistemi di rilevamento;

- il trattamento del minor numero di dati e la loro anonimizzazione o mascheramento;

- l'attenzione alla sicurezza sia dei dispositivi, sia delle app, sia dei futuri archivi di questi dati (data breach);

- la totale trasparenza del processo di raccolta e di come questi dati siano trattati (machine learning?);

- la totale adattabilità a tutti i tipi di device ivi compresi quelli più datati;

- l'eliminazione totale e definitiva dei dati una volta terminata la fase emergenziale.