coronavirus e privacy

Contact tracing vs il coronavirus, dove va l’Europa: le app dei diversi Paesi

Anche in fase di emergenza, i Governi non devono sottovalutare i rischi di un’adozione frettolosa di sistemi intrusivi della privacy. L’auspicio anzi è che questa sia occasione per dimostrare la validità di tutti gli strumenti atti a realizzare gli obiettivi di sicurezza pubblica nel pieno rispetto dei diritti dei cittadini

15 Apr 2020
Marina Rita Carbone

Consulente privacy


AncheI principali Paesi europei procedono verso soluzioni e app per tracciare i contagiati dal coronavirus. Finora vanno in ordine sparso e certo, come suggerito dalla Commissione europea, bisognerebbe convergere verso una strategia comune. La Commissione la indicherà in aprile.

Già però, a un’analisi dell’esistente, si può percepire che l’Europa sta cercando una strada diversa da quella “orientale”, abbracciando la sfida di contemperare privacy e salute. Questa tensione si evidenzia anche in molte delle soluzioni ideate nei diversi Paesi.

Tuttavia, un simile compito non è affatto semplice da realizzare, in particolare tenendo conto del fatto che tutti i dati che tale sistema andrà a trattare saranno dati ipersensibili, legati non solo allo stato di salute ma anche alla posizione di ogni singolo individuo, notoriamente considerati tra i dati a più alto rischio quando si parla di privacy e cybersecurity.

Gli obiettivi del contact tracing

Ricordiamo che il contact tracing (con app e non solo) contro il coronavirus serve a gestire la fase 2, di parziale riapertura delle attività. Obiettivo, isolare non tutti indiscriminatamente ma concentrarsi su chi è davvero potenzialmente o realmente contagiato.

Il Centro europeo per la prevenzione e il controllo delle malattie, o “ECDC” (European Centre for Disease Prevention and Control), studiando un possibile protocollo di identificazione degli infetti e del raggio di diffusione del virus, si è occupato di definire per quali obiettivi ed entro quali limiti l’attuazione di misure tecniche di contact tracing debba avvenire.

Lo scopo ultimo, infatti, deve essere quello di identificare e gestire i contatti di soggetti che siano positivi al Covid-19 o che abbiano elevate probabilità di esserlo, in quanto possibili casi secondari che andrebbero esponenzialmente ad aumentare le possibilità di trasmissione del virus. Tale risultato può essere raggiunto tramite:

  • la tempestiva identificazione dei soggetti con i quali i possibili infetti o i positivi siano entrati in contatto;
  • l’attuazione di misure per contattare i soggetti fornendo loro informazioni su come porsi in auto quarantena, sulle modalità corrette di igienizzazione delle mani, ed altro;
  • la sottoposizione tempestiva a test che consentano di rilevare se il soggetto è positivo o meno, nel caso in cui lo stesso manifesti i sintomi della malattia e/o il soggetto, sebbene asintomatico, sia da qualificarsi quale contatto ad alto rischio di esposizione.

Tali obiettivi possono essere raggiunti tramite indagini condotte per mezzo dei dispositivi elettronici mobili, sia per mezzo di app che per mezzo di strumenti online che aiutino le Autorità pubbliche a monitorare la situazione nazionale e consentano di contattare gli interessati anche per mezzo di notifiche automatiche che li informino, sms, o telefonate per il tramite di call center istituiti ad hoc.

I dati ottenuti per mezzo degli strumenti di contact tracing dovrebbero, secondo ECDC, essere raccolti ed analizzati a livello locale e nazionale per accelerare i tempi di risposta delle Autorità e acquisire maggiori informazioni, a livello clinico, sul Covid-19, come ad esempio gli effetti delle misure di mitigazione come il distanziamento sociale e i maggiori luoghi e modalità di contagio.

Fig.1: algoritmo per la gestione dei contatti (© ECDC, “Contact tracing: Public health management of persons, including healthcare workers, having had contact with COVID-19 cases in the European Union – first update”)

ECDC, in chiusura, fa rimando allo strumento Go.Data, sviluppato dall’Organizzazione Mondiale della Sanità e già utilizzato nella prevenzione dell’epidemia di Ebola, sostanzialmente un database destinato alla fruizione di epidemiologi e professionisti del settore, avente la finalità principale di raccogliere e visualizzare i dati relativi alla trasmissione della malattia e studiare possibili risposte. Tale strumento è pensato anche per permettere alle Autorità nazionali, in base ai dati contenuti nello stesso, di reagire con più prontezza a livello legislativo, valutando e stimando il rischio di diffusione dei virus più velocemente.

Salute e privacy: binomio imperfetto?

In soccorso alle Autorità, nello svolgimento della delicata attività di bilanciamento degli interessi e di adozione di misure di contenimento del contagio che possano risultare efficaci, EDPB ha fornito delle linee guida inerenti proprio al trattamento da parte delle Autorità pubbliche di dati personali nel contesto di una emergenza sanitaria globale come quella attuale.

L’aspetto fondamentale dell’intervento di EDPB consiste nell’affermare che la tutela della salute e la tutela della riservatezza possono coesistere all’interno dell’attuale panorama normativo, senza alcun bisogno di “sospendere la privacy”, slogan impietoso diffusosi negli ultimi giorni. Anzi, è proprio all’interno di una tale emergenza che i Governi, nell’attuare misure di contrasto, devono tenere ben a mente quali siano i limiti da non valicare a tutela dei propri cittadini.

Il GDPR, infatti, consente alle autorità competenti in materia di salute pubblica (e ai datori di lavoro, sulla base di determinati presupposti) di trattare dati personali, purché nel rispetto dei principi generali e delle condizioni contenute nel testo di legge, sia nazionale che europeo.

Si tratta di un trattamento basato su ragioni di sostanziale interesse pubblico, notoriamente previste e disciplinate anche nella nuova versione del D.Lgs. 196/03 o Codice Privacy, per come novellato dal D.Lgs. 101/18.

webinar, 28 maggio
Modern Application: tutti i passi per gestire il cambiamento in modo efficace
Cloud
Datacenter

Non solo: anche con riguardo al trattamento di dati inerenti alle telecomunicazioni, come la posizione dell’individuo, le leggi nazionali devono rispettare quanto previsto dalla Direttiva ePrivacy. La Direttiva, in linea di principio, consente il trattamento di dati di localizzazione da parte degli operatori esclusivamente quando gli stessi siano resi anonimi o l’interessato abbia prestato specifico consenso al trattamento degli stessi. Ad ogni modo, l’art. 15 della stessa normativa autorizza gli Stati membri a introdurre misure legislative di urgenza a salvaguardia della sicurezza pubblica, che costituiscono l’eccezione ai limiti del trattamento, pur tuttavia nell’unico caso in cui tali misure siano necessarie, appropriate e proporzionate, in accordo con i diritti fondamentali garantiti dalla Carta dei diritti fondamentali e dalla Convenzione europea sui diritti umani. L’adozione di tali misure ed il relativo trattamento, inoltre, non possono proseguire oltre il tempo strettamente necessario per la gestione dell’emergenza.

L’uso dei dati mobili

EDPB, con specifico riferimento all’uso dei dati provenienti dai dispositivi mobili, allerta le Autorità sulle misure di sicurezza da applicare agli stessi affinché il trattamento non sia lesivo dei diritti personali e non costituisca un rischio sproporzionato. A tal fine, i dati di localizzazione dovrebbero essere raccolti in modo anonimo (ad esempio, tramite la raccolta di dati aggregati in modo tale da non consentire ai singoli di risalire all’identità di un determinato soggetto, come successo invece in Corea del Sud), con l’elaborazione di report sulla concentrazione alta o bassa di soggetti in un’area determinata.

Qualora non sia possibile trattare soltanto dati anonimi, gli Stati membri, al pari di quanto previsto per gli operatori, sulla base del disposto normativo del sopracitato art. 15 della Direttiva ePrivacy, avranno l’obbligo di attuare misure di sicurezza adeguate al rischio, come il diritto ad ottenere un risarcimento in via giudiziale.

Si applica al trattamento di tali dati anche il principio di proporzionalità: nel momento in cui lo Stato deve decidere quale soluzione adottare, deve sempre preferire quella che consente di ottenere uno specifico obiettivo per mezzo della minore intrusione nella sfera personale dei cittadini. Misure particolarmente invasive, come il tracciamento costante dei cittadini per mezzo di dati storici non anonimizzati dovrebbe essere considerato proporzionale soltanto in circostanze estremamente urgenti ed eccezionali, nonché soggetto a misure di sicurezza rigorose che limitino i diritti degli interessati per il minor tempo possibile e per specifiche e limitate finalità.

Lo stesso Antonello Soro, nell’intervento pubblicato su Agendadigitale.eu, conferma quanto detto da EDPB, affermando che “la chiave è nella proporzionalità, lungimiranza e ragionevolezza dell’intervento, oltre che naturalmente nella sua temporaneità. Il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole dal modello coreano a quello cinese, scambiando la rinuncia a ogni libertà per l’efficienza e la delega cieca all’algoritmo per la soluzione salvifica. Così, una volta cessata quest’emergenza, avremo anche forse imparato a rapportarci alla tecnologia in modo meno fideistico e più efficace, mettendola davvero al servizio dell’uomo”.

Le soluzioni al vaglio dei diversi Paesi europei

Sulla base di queste premesse, le Autorità europee hanno iniziato a valutare quali potessero essere le possibili soluzioni per limitare efficacemente il contagio e garantire l’effettività del contact tracing per mappare lo sviluppo della malattia sul territorio senza, però, comprimere eccessivamente il diritto alla riservatezza dei cittadini.

Un primo passo è stato fatto da Google, il quale ha messo a disposizione un’enorme quantità di dati resi anonimi, al fine di tracciare la diffusione del coronavirus sulla base degli spostamenti rilevati dalle app installate sui dispositivi mobili individuali. Questo enorme sistema di ricerca è stato messo dalla Big Tech a disposizione dell’Università di Southampton, la quale, in collaborazione con ECDC, ha fatto tesoro dei dati aggregati e anonimizzati per studiare i modelli di movimento all’interno dei Paesi nell’arco di tempo nel quale il Covid-19 si è diffuso, in modo da analizzare quali possano essere i collegamenti tra tali spostamenti e il tasso di trasmissione del virus. Allo stesso tempo, tale database fornisce un primo importante elemento di mappatura e gestione dell’efficacia delle misure di lock-down adottate dagli Stati Europei.

Tuttavia, sebbene questo abbia rappresentato un primo passo verso una gestione sicura dei dati degli individui, molteplici azioni e strumenti sono stati utilizzati dalle Autorità per avere un controllo su quanto sta succedendo. L’organizzazione no-profit Europea noyb si è occupata di elencare tutti gli strumenti che sia i governi che i privati stanno adottando o sviluppando a tal fine, raggruppati in 7 macro-categorie, cui si va ad aggiungere una categoria di misure “miste”:

  • App o framework decentralizzati di contact tracing: l’idea alla base di tali sistemi è quella di allertare gli individui con i quali un soggetto positivo è entrato in contatto e consentire loro di adottare le misure di auto-quarantena. Due sono gli approcci principali adottati da queste app: l’utilizzo di dati di geolocalizzazione (GPS) per individuare in quale momento e in che luogo le strade dei due soggetti si sono incrociate, o l’utilizzo di sistemi peer-to-peer (Bluetooth e ultrasuoni) che consentono, con l’utilizzo di dati anonimizzati, di identificare i possibili contatti dei soggetti positivi per il mezzo di comunicazioni dirette fra i due dispositivi mobili. Questo consentirebbe anche di conservare i dati sugli stessi dispositivi senza dotarsi di appositi server;
  • Sistemi di contact tracing centralizzati, al pari di quelli utilizzati in Corea del Sud o in Israele, che hanno consentito ai servizi segreti, per mezzo di sistemi di sorveglianza di massa diffusi anche tramite software spia, di raccogliere i dati dei dispositivi mobili per identificare le persone che sono entrate in contatto con soggetti positivi al Covid-19;
  • Sistemi di tracking misto per consentire il rafforzamento delle misure di lock-down;
  • App per assicurare il rispetto delle misure di lock-down individuali, che fanno un uso misto di GPS e foto in tempo reale;
  • App per poter consentire ai singoli cittadini di valutare in autonomia le probabilità di essere infetti: è il caso della Spagna, di cui si parlerà più avanti, che ha adottato misure finalizzate soprattutto al decongestionamento delle linee di emergenza e all’informazione dei cittadini;
  • Progetti di mappatura nazionale degli spostamenti, al pari del “modello coreano”;
  • Sistemi di analisi statistica, basati su gruppi aggregati di dati provenienti dagli operatori di telefonia.

Tra queste si citano, a titolo esemplificativo:

  • Il progetto Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), sostanzialmente un’app che analizza i dati scambiati tramite Bluetooth tra dispositivi mobili, dotata di sistemi di crittografia ed anonimizzazione dei dati personali, al fine di garantire il rispetto dei principi di minimizzazione dei dati ed un approccio sicuro alla raccolta degli stessi. I dati non sarebbero conservati in un unico server ma all’interno degli stessi telefoni degli interessati, ed automaticamente cancellati al termine dei fatidici 14 giorni entro i quali la malattia si manifesta. L’accesso a tali dati è garantito alle Autorità sanitarie soltanto nel caso in cui al contatto consegua un contagio, per mezzo di una chiave che permette alle stesse di notificare i soggetti con i quali il soggetto positivo è entrato in contatto. A tale progetto hanno preso parte otto Stati membri, inclusa l’Italia;
  • Le app austriache “Stopp Corona” e “NOVID20”, una pubblicata dalla Croce Rossa ed una da un’associazione di professionisti del digitale, entrambe basate su tecnologie Bluetooth: la prima associa ad ogni utente un ID, inviando una notifica allo stesso se nelle ultime 48 ore è entrato in contatto con un altro soggetto infetto, senza tuttavia fare menzione dell’ID di quest’ultimo; la seconda individua in quale area geografica vi sia un minor rischio di essere infettati, al fine di proteggere soggetti particolarmente a rischio;
  • L’app tedesca “GeoHealthApp”, che fa largo uso dei dati relativi agli spostamenti storici di ogni utente, per ricostruire nel tempo il contagio ed i possibili contagi secondari;
  • L’app in fase di sviluppo in Norvegia che consente all’istituto di Salute Pubblica di raccogliere dati di geolocalizzazione e custodirli in un server cloud crittografato. Qualora un utente sia confermato quale soggetto infetto, sarà da tali dati possibile ricostruire con quali soggetti lo stesso può essere venuto a contatto ed inviare a questi ultimi una notifica per consentire loro di adottare le dovute precauzioni;
  • In Grecia, è possibile per i cittadini, al posto di compilare una certificazione, inviare un messaggio al Segretariato Generale della Protezione Civile per informare di essersi allontanati da casa, completo dei propri dati personali e delle ragioni per le quali si sta uscendo. La finalità del trattamento, secondo la Privacy Policy pubblicata dal Segretariato, è quella di monitorare il rispetto delle misure di contenimento. Una volta che l’interessato riceve un sms di conferma in risposta al proprio, i dati raccolti sono eliminati o resi anonimi e conservati solo a fini statistici;
  • L’app spagnola “CoronaMadrid, che, come anticipato, è finalizzata principalmente ad aiutare i singoli cittadini a capire se possono o meno essere a rischio. Tale app è figlia di apposita legge d’urgenza che prevede la possibilità, per le autorità spagnole, di trattare i dati di geolocalizzazione in modo aggregato ed anonimo al fine di monitorare gli spostamenti di un soggetto positivo nei giorni che hanno preceduto il contagio. Sebbene l’app raccolga numerose categorie di dati personali (dati anagrafici, di contatto, sanitari, di residenza, e di posizione) per finalità di interesse pubblico, analisi statistiche e ricerca scientifica, consente, in cambio, agli utenti di usufruire di strumenti di autovalutazione dei sintomi e di assistenza. Stando a quanto contenuto nella Privacy policy la conservazione dei dati raccolti sarà limitata alla durata dell’emergenza sanitaria in accordo ai principi di minimizzazione e limitazione del trattamento, per poi essere anonimizzati e/o cancellati;

A ciò si aggiunga anche l’utilizzo, da parte delle Autorità, dei dati forniti dagli operatori telefonici, secondo modalità aggregate e anonime, utilizzati a fini statistici e di ricerca.

E l’Italia?

Il ministero dell’innovazione sta vagliando varie app e poi sarà il Governo a decidere con un provvedimento ad hoc. Non ci sono date e dettagli di funzionamento ufficiali, ma da varie fonti trapela che si propenderà per una soluzione bluetooth contro il coronavirus.

La ministra in audizione alla Camera l’8 aprile ha chiarito alcuni punti fermi. Come la volontarietà, la gestione pubblica e il codice open.

(1) che sia prevista la volontarietà della partecipazione. In primo luogo perché, l’efficacia dello strumento richiede la collaborazione attiva del singolo, il quale va reso consapevole che l’uso dell’ applicazione qualora venisse adottata può contenere il contagio (proprio e altrui).

(2) È indispensabile, a tal fine, che il singolo possa confidare nella trasparenza e nella correttezza delle caratteristiche del servizio nonché nell’assenza del perseguimento di scopi ulteriori e incompatibili con la finalità di prevenzione sanitaria.

(3) che l’intero sistema integrato di contact tracing sia gestito da uno o più soggetti pubblici e che il suo codice sia aperto (ossia in modalità open) e suscettibile di revisione da qualunque soggetto indipendente voglia studiarlo;

(4) che i dati trattati ai fini dell’esercizio del sistema siano “resi sufficientemente anonimi da impedire l’identificazione dell’interessato”

(5) che raggiunta la finalità perseguita, tutti i dati ovunque e in qualunque forma conservati, con l’eccezione di dati aggregati e pienamente anonimi a fini di ricerca o statistici, siano cancellati con conseguente garanzia assoluta per tutti i cittadini di ritrovarsi, dinanzi a soggetti pubblici e privati, nella medesima condizione nella quale si trovavano in epoca anteriore all’utilizzo della app di contact tracing;

(6) che la soluzione adottata – nelle sue componenti tecnologiche e non tecnologiche – possa essere considerata, almeno in una dimensione prognostica, effettivamente efficace sul piano epidemiologico perché, qualora non lo fosse, diverrebbe difficile giustificare qualsivoglia, pur modesta e eventuale, compressione di diritti e libertà fondamentali equiparabile a quella imposta dalle limitazioni nei movimenti di cittadini in queste settimane.

(7) che la soluzione adotti misure tecniche ed organizzative che minimizzino i rischi di reidentificazione in ogni fase di vita del sistema (a titolo esemplificativo con variazione periodica e casuale dell’ID anonimo dell’applicazione).

I rischi connessi al tracing e le prime impressioni sui sistemi proposti

Sebbene sia le numerose proposte avanzate dai privati che le soluzioni che i governi stanno adottando siano molteplici ed eterogenee, nonché fondate su tecnologie differenti (soprattutto GPS e Bluetooth), facenti più o meno affidamento anche sul senso civico individuale, permane, nel prendere visione delle stesse, la netta sensazione che tali misure, specialmente in quanto adottate in tempi molto brevi e in una situazione di emergenza, possano essere la culla di numerosi data breach, che nel caso di specie andrebbero a coinvolgere una quantità di dati sensibili da capogiro.

Ciò traspare in primo luogo da un approccio approssimativo e/o parziale nella descrizione delle esatte modalità tecniche di funzionamento delle stesse, nella maggior parte dei casi, o da policy non chiarissime, che non danno modo a chi legge di comprendere quali e quante siano le misure di sicurezza a protezione dei dati dei cittadini, prevedibilmente la prossima preda dei criminali informatici. Si pensi solo all’eventualità nella quale i dati raccolti e conservati nel server centralizzato siano diffusi a seguito di una falla nei sistemi: maggiori saranno i dati raccolti, anche ove anonimizzati, maggiore sarà il rischio ad essi collegato e la possibilità che gli stessi consentano a soggetti terzi non autorizzati di ricostruire a quale interessato gli stessi appartengono.

Sono tutti scenari ben noti, in special modo nell’ambito sanitario e pubblico (due dei settori più a rischio), dei quali si possono solo immaginare le conseguenze negative, soprattutto a livello sociale, in una situazione globale così tesa.

Conclusioni

Sebbene nel mezzo di una situazione emergenziale, non bisogna dimenticare che le odierne legislazioni nazionali si occupano di fornire dei principi e delle linee guida tali da orientare le decisioni dei Governi nella giusta direzione e consentire di adottare le dovute accortezze, in quanto figlie del proprio tempo e perfezionatesi negli anni in modo tale da adeguarsi alle necessità proprie di un mondo sempre più digitale, specialmente con riguardo alle materie della cybersecurity e della privacy.

Si auspica dunque che non siano sottovalutati dai Governi i rischi legati ad un’implementazione frettolosa di sistemi altamente intrusivi della sfera privata del singolo cittadino, in un’ottica di “sospensione della privacy”, ma che questa sia l’occasione per dimostrare il funzionamento di tutti quei principi fondamentali che pongono nelle mani di tutti i “Titolari”, anche pubblici, le soluzioni per poter realizzare i propri obiettivi nel pieno rispetto delle singole individualità.

LIVE STREAMING ORE 15:00
Emergenza e attività in difficoltà? Affronta le nuove sfide con l'Intelligenza artificiale
Intelligenza Artificiale
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 4