soluzioni

App contro il coronavirus, ecco le tecniche per la privacy

“Covid Anonymous Tracker” monitora i dispositivi vicini al proprio in maniera anonima; l’app del Centro Medico Sant’Agostino segue gli spostamenti di una dalla persona positiva al Covid-19 e avverte tempestivamente coloro che gli sono stati vicino, così come “private kit” del MIT di Boston. Vediamo di cosa si tratta

31 Mar 2020
Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza


Sì, è possibile tracciare i contagiati e tutelare la privacy, minimizzando e persino azzerando l’impatto sui dati personali per combattere la pandemia Covid-19: ce lo chiede il Garante Privacy, il Consiglio d’Europa e ce lo permettono alcune soluzioni, basate su app, già disponibili, alcune delle quali ora allo studio del ministero dell’innovazione per l’adozione in Italia.

Un’idea ricorrente tra queste soluzioni anti coronavirus è usare

  • il gps – più invasivo – solo per avere dati aggregati utili a identificare nuovi focolai e, al limite, studiare il rispetto delle misure da parte della popolazione in generale (un po’ come hanno fatto Regione Lombardia e Lazio; ma per il Garante queste iniziative andavano gestite centralmente e con oversight pubblica);
  • il bluetooth per tracciare in modo più individuato le persone, ma con tecniche di pseudonimizzazione e crittografia, in modo da proteggerne l’identità (che può restare ignota anche al Governo).

Come funziona il contact tracing

Chiariamo prima, brevemente, come funziona il contact tracing (traducibile con “tracciamento dei contatti”): con tale soluzione, una volta che un paziente è risultato positivo al virus, si lavora per identificare chiunque abbia avuto con esso uno stretto contatto nel periodo in cui è risultato contagioso o potenzialmente tale.

Tale strumento potrebbe funzionare, ad esempio, come segue: coloro che risultano positivi, come nel caso del presente periodo – al Covid-19, si rivolgono ad esempio a un medico che raccoglie informazioni dettagliate sui luoghi visitati e sulle persone con cui si è entrati in stretto contatto da quando si sono ammalati o, nel caso di soggetti di rientro da viaggi internazionali, da quando sono tornati “in patria”. In questo modo si costruisce un quadro molto specifico delle persone che devono essere contattate (cosiddette “a stretto contatto”), come i familiari, i colleghi o i compagni di viaggio.

Nel caso in cui un paziente si sia recato di recente in un altro paese, le autorità sanitarie pubbliche di quel paese vengono informate per indagare su potenziali contatti e prendere provvedimenti per prevenire ulteriori casi. Allo stesso modo, la comunicazione rimane aperta con altre parti del mondo per scoprire se qualche paziente oltreoceano può aver trascorso del tempo in Italia, richiedendo un’indagine che coinvolge le persone con cui l’interessato ha avuto contatti.

Il contact tracing è un approccio collaudato e affidabile utilizzato per molti anni da alcuni paesi per prevenire la diffusione dell’infezione e per contenere e fermare le epidemie o le pandemie (come nel caso del Covid-19). La ricerca dei contatti è una parte importante dell’indagine epidemiologica e della sorveglianza attiva. Ad esempio, viene utilizzata per indagare casi e focolai di tubercolosi. Il punto fermo è che tali principi si applicano a qualsiasi malattia infettiva. Il Contact Tracing è applicabile alle diverse fasi dell’epidemia/pandemia, come:

  • il “contenimento”, ossia la fase iniziale in cui si cerca di contenere la diffusione rintracciando rapidamente i pazienti e fornendo il trattamento appropriato;
  • il “ritardo”, ossia l’adozione di misure che ritardino il picco dell’epidemia, misure che potrebbero includere anche la riduzione degli assembramenti nei diversi luoghi;
  • la “mitigazione”, ossia la fornitura della migliore assistenza possibile a coloro che si sono ammalati, con la fornitura dei beni e dei servizi essenziali.

Vediamo allora di seguito alcune soluzioni per un contact tracing “privacy friendly”.

La soluzione “coronavirus outbreak control”

Proposta da un team internazionale e promossa dall’esperto di Intelligenza Artificiale presso la Commissione europea Stefano Quintarelli (vedi suoi articoli qui), “Coronavirus Outbreak Control” mira ad un monitoraggio “a stretto contatto” delle persone infette. Tale soluzione “in formato APP”, chiamata “Covid Anonymous Tracker” mira a monitorare i dispositivi vicini al proprio in maniera anonima; in soldoni, una volta che si è risultati a stretto contatto con una persona infetta, verrà inviata una notifica al proprio dispositivo con una spiegazione sui prossimi passi da seguire. “Covid Anonymous Tracker” fa in modo che ogni dispositivo mobile abbia un unico ID anonimo, che può essere installato a distanza usando la tecnologia Bluetooth. Stando così le cose, “Covid Anonymous Tracker” esegue una scansione continua dei dintorni e raccoglie l’ID del dispositivo che sta vicino al proprio, memorizzando l’ID in un unico database centralizzato e sicuro in modalità cloud: non sono necessarie interazioni tra gli utenti e l’app. Proseguendo, la rete di medici certificati “Covid Anonymous Tracker” aggiorna ogni giorno i dati con l’ID dei dispositivi appartenenti a individui infetti (confermati) da Covid-19.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Cosicché, se l’interessato risulti essere stato in prossimità di una persona infetta durante gli ultimi 14 giorni (tempo della quarantena), sarà informato ricevendo un’istruzione chiara sui passi da seguire, anche a partire dal momento dell’esposizione al virus.

A differenza di larga parte delle soluzioni “sul tavolo”, “Covid Anonymous Tracker” non adotta una tecnologia GPS – che avrebbe una precisione che va da 10 a 60 metri; bensì utilizza una misurazione ad alta precisione a breve distanza mediante l’uso di una tecnologia basata sul Bluetooth LE (Low Energy, a basso consumo energetico), preciso anche con distanze inferiori a 3 metri, e rientrante alla perfezione nel “raggio” di contagio fisico.

Sul lato pratico si compone di due tipologie di appP, una per l’utenza, l’altra per il medico certificato, ai quali “fa capo” un server centralizzato. Dal punto di vista “privacy” – fulcro del presente articolo – “Covid Anonymous Tracker” garantisce l’anonimato nonché la conformità al GDPR, visti entrambi come priorità dagli sviluppatori. Il sistema si basa su dati anonimi, come l’ID utente, la durata in secondi dell’interazione tra utenti (“stretto contatto”), la distanza in metri dei diversi dispositivi di rilevamento, nonché il momento in cui il sistema è più vicino a ogni interazione. Il tutto senza l’utilizzo di dati personali “sensibili”. L’obiettivo del progetto è quello di permettere alle persone di localizzare i pazienti infetti, ma anche di dare alle Autorità Pubbliche la possibilità di portare avanti la migliore strategia per limitare la diffusione del Covid-19 e delle potenziali future epidemie, permettendo di implementare soluzioni su larga scala e sul lungo periodo. [1]

La soluzione del centro medico Sant’Agostino

La soluzione del Centro Medico Sant’Agostino (con la consulenza dell’avvocato nostro autore Giuseppe Vaciago), a differenza della precedente “soluzione Bluetooth”, riguarda un’app che utilizza sia il GPS sia alcuni sensori presenti sui dispositivi, affinché possano essere tracciati nuovi focolai di Covid-19. L’app è in grado di monitorare gli spostamenti effettuati dalla persona che risulterà positiva al Covid-19 e di rintracciare e avvertire tempestivamente coloro che gli sono stati vicino nei giorni prima del contagio. Il tutto con “anonimato” e con il consenso all’installazione dell’app da parte dell’utente.

L’app del Centro Medico Sant’Agostino funziona mediante “l’incrocio” dei dati acquisiti mediante GPS/sensori dello smartphone con i dati statistici forniti dall’Istat. Come afferma il CEO del Centro Medico Sant’Agostino Luca Foresti, supponendo che l’utente che abbia installato l’app risulti positivo al Coronavirus, si può risalire alla cronologia dei suoi spostamenti cosicché il sistema avvisi tempestivamente coloro che hanno avuto contatti con quella persona, invitandoli a mettersi in quarantena “volontaria”, affinché si prevenga, per quanto possibile, l’eventuale insorgere di un nuovo focolaio e, quindi, l’espansione dei contagi. Inoltre, l’app va al di là di un “semplice” monitoraggio. Infatti, può essere utilizzata – sempre volontariamente – come una sorta di “diario clinico” nel quale annotare le proprie condizioni di salute riportandovi i propri sintomi. Il tutto “condito” da una chat dedicata ove richiedere informazioni e servizi ad hoc.

Per quanto attiene la protezione dei dati, il CEO Luca Foresti ha affermato che l’app non richiede né nome, né cognome, né numero di telefono cellulare, richiedendo i soli username e password. Questi ultimi obbligatori al solo fine di registrazione e di utilizzo dell’APP.

La soluzione di AIxIA

Utilizza il bluetooth e tecniche di (pseudo)anonimizzazione anche l’app di AIxIA, Università di Pisa e BeeApp.

L’idea originale è che non è necessario fare installare app a tutti i cittadini, ma si sfruttano nodi distribuiti sul territorio (“nodi attivi”). Consiste di una app residente e sempre attiva, che scansiona l’area al suo intorno, per rilevare la presenza di nodi passivi. L’idea è che sia presente in tutti i luoghi pubblici, locali e aziende, mezzi pubblici, mediante una app gratuita fornita dall’autorità sanitaria che ciascun esercente cura di mantenere attiva. L’esercente espone un cartello, indicando che al suo interno è attiva la funzione di raccolta presenze anti coronavirus. Un QRCode esposto al pubblico riporta i dati del locale e le condizioni di trattamento dei dati. I cittadini possono pure diventare “nodi attivi” e installare quest’app, ma non è necessario per il funzionamento del sistema.

I cittadini sono tracciati non con l’app, ma con un qualunque dispositivo mobile dotato di Bluetooth, da un semplice bracciale/orologio di fitness fino a uno smartphone (“nodo passivo”) in loro possesso. Il tracciamento, senza scambio di dati personali, avviene ogni volta che il suo nodo passivo entra in contatto con un nodo attivo.

I cittadini risultati positivi al virus devono fornire i propri ID bluetooth (in anonimato), che andranno così a popolare una mappa con ore e luoghi dove sono stati. Questa mappa è pubblica: tutti i cittadini possono consultarla, facendo una ricerca con il proprio ID bluetooth, in modo da scoprire se ci sono stati possibili contatti.

 1Ogni volta che un nodo si avvicina a un nodo attivo, si verifica un evento di contatto2Il nodo attivo legge l’UID dell’altro nodo e registra l’evento

3Periodicamente il nodo attivo invia gli eventi all’autorità sanitaria e li cancella4Se una persona risulta infetta, fornisce il proprio UID all’autorità sanitaria
5Ogni cittadino verifica su una pagina web se il suo UID è stato nelle vicinanze di un contagiato6Se risulta un rischio di contagio, gli vengono fornite istruzioni su cosa fare

La soluzione “Private Kit” del MIT di Boston

L’ultima soluzione in esame è quella Massachusetts Institute of Technology (MIT) di Boston (USA). A differenza della soluzione “full Bluetooth + cloud” del “Coronavirus Outbreak Control”, e di quella “GPS-Sensoristica” del Centro Medico Sant’Agostino, la soluzione del MIT risulta una combinazione di GPS e Bluetooth che avvisa l’utente nel caso di “incontro” con una persona positiva, garantendo al contempo la protezione dei dati, i quali rimangono sul dispositivo. La APP “Private Kit” (questo è il nome scelto dal MIT), che è stata sviluppata da un team del quale fanno parte tre brillanti ragazzi italiani, ha come sua punta di diamante proprio la protezione dei dati. Dichiarano dal MIT che i dati dei movimenti non vengono salvati in un server centralizzato (come per esempio fa Google o, nel caso esaminato precedentemente, “Coronavirus Outbreak Control”), ma sul dispositivo, cosicché nessuno potrà mai sapere dove si è stati e con chi.

Il suo funzionamento è decisamente intuitivo. Come afferma uno dei ricercatori italiani, Francesco Benedetti, dopo l’installazione l’app inizia a registrare la posizione GPS sul dispositivo, fornendo all’utente l’opzione (su base volontaria) di importare le geolocalizzazioni di Google per capire dove è stato negli ultimi 28 giorni. I dati sono importati come punti cardinali. Quando il paziente positivo dà il consenso all’accesso dei dati salvati sul dispositivo mobile, per esempio a un medico o a un operatore della sanità pubblica, queste informazioni vengono caricate su un server in modo criptato. Il server – continua Benedetti – a questo punto inoltra le geolocalizzazioni in forma aggregata ai dispositivi che hanno scaricato l’APP. Solo chi ha incontrato una persona positiva riceverà una notifica che avvertirà l’utente di aver incontrato un portatore sano e per quanto tempo. Cosicché, chi non ha incontrato nessun positivo, non riceve alcun avvertimento.

Il punto di vista del garante privacy

In un recentissimo articolo su agendadigitale.eu Antonello Soro, Presidente del Garante per la protezione dei dati personali, ha ribadito ulteriormente la posizione dell’Autorità in merito al Contact Tracing, sottolineando sia il ruolo “proattivo” della privacy, sia il ruolo “temperato” della geolocalizzazione nel tracciamento degli individui. In merito al primo punto, Soro afferma la protezione dei dati personali “può essere uno strumento utilissimo nell’azione di contrasto dell’epidemia, quando quest’azione sia fondata su dati e algoritmi, dei quali va garantita esattezza, qualità e revisione umana”.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Dati e algoritmi che portano, inevitabilmente, al ruolo della geolocalizzazione “per meglio analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi”. Per il Presidente dell’Autorità bisognerebbe procedere per gradi, valutando dapprima le soluzioni meno invasive possibili, ossia quelle che si “affidano” a dati anonimi. Tuttavia, lì dove ciò non fosse possibile o ci fosse una volontà diversa, l’acquisizione di dati identificativi necessiterebbe di una previsione normativa ad hoc limitata nel tempo, nonché di adeguate garanzie e la conformità al principio di proporzionalità. Soro spinge per l’effettuazione di “un’analisi preliminare dell’effettiva idoneità della soluzione scelta a conseguire risultati utili nell’azione di contrasto” al Covid-19, nonché per una preventiva “valutazione relativa alla geolocalizzazione quale strumento di ricostruzione della catena epidemiologica [che] non può prescindere da un’analisi circa la fase, che dovrebbe ragionevolmente conseguirne, dell’accertamento sanitario dei soggetti così individuati quali potenziali contagiati”. Infine il Presidente del Garante sottolinea come sia importante che “i soggetti privati quali i gestori delle infrastrutture tecnologiche dovrebbero porre il patrimonio informativo di cui dispongono a disposizione dell’autorità pubblica.” E questo non è assodato che accada.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3