Abbiamo tutti commentato come uno dei (pochi) lati positivi che la pandemia ci ha portato è una repentina accelerazione della trasformazione digitale, e in effetti molti utenti sono stati costretti a familiarizzarsi con riunioni online e scansione di codici QR. Tutto questo è sicuramente molto positivo, ma un aspetto che è legato a doppio filo con questa improvvisa accelerazione è quella della raccolta dei dati e alla loro analisi necessaria a svolgere i compiti di tracciamento. Il tema della privacy è molto caldo in questi giorni, anche a causa del DL Capienze che apre significative maglie nel tessuto di controllo del GDPR.
Le nuove aree di raccolta dati
La necessità di tracciamento dei contatti, degli accessi, e più recentemente la verifica del Green Pass, obbligatoria per praticamente tutti dal 15 ottobre. I dati sono stati raccolti spesso in modo non strutturato e registrati su documenti, file, e fogli di calcolo, privilegiando la semplicità di accesso per i controlli alle procedure previste per il trattamento dei dati. Sicuramente il flop di Immuni ha contribuito a questo proliferare di raccolte scarsamente controllate, sottolineando ancora una volta come la troppa attenzione su certi aspetti della app ha finito per favorire una dispersione del dato personale che viene custodito non sempre come meriterebbe.
D’altronde è sotto gli occhi di tutti come ciascun esercizio, sia pubblico che privato, declini secondo la propria sensibilità la raccolta dati, e in una nazione in cui non si sa mai quando una “carta” può tornare utile l’istinto porta tutti a collezionare il dato ben oltre la scadenza per cui questo si rende necessario. Nella maggior parte dei casi si tratta di dati che non vengono più trattati ma solo accatastati da qualche parte in attesa che non servano più. E non si può parlare di conservazione, perché la conservazione è un processo strutturato che richiede metadati e molti altri dettagli che queste raccolte di dati fai da te sono ben lontane da raccogliere.
Gli elementi che sono divenuti parte della raccolta comprendono:
- Informazioni relative agli ingressi presso strutture per il tracciamento
- Numeri di telefono (necessari per il tracciamento)
- Informazioni relative al Green Pass
- Informazioni relative alle condizioni di esenzione da Green Pass
- Informazioni relative agli spostamenti all’interno di una struttura
In molti casi si tratta di raccolte dati che si sovrappongono a dati già raccolti dalle organizzazioni ma non utilizzabili a causa dei vincoli imposti dal trattamento per cui vengono raccolti. In altri casi, come ad esempio nei ristoranti, la raccolta di informazioni di accesso è per lo più una novità in locali dove il trattamento dei dati è spesso limitato alla gestione dei dati dei pagamenti e non di altri aspetti di dati sensibili.
Tracciare gli spostamenti
L’annotazione di ingressi e uscite, con data e orario si è sovrapposta alla timbratura del cartellino, ma spesso per scarsa sensibilità e per precauzione i 5 giorni dopo i quali i dati andrebbero rimossi trascorrono e contribuiscono a creare un database parallelo che potrebbe un giorno influenzare scelte e comportamenti. Si tratta della magia dei big data e del data-lake, tutto a un tratto dati accumulati senza un fine preciso cominciano ad evidenziare pattern che si scoprono essere utili e a quel punto da memorizzazione si passa facilmente al trattamento.
Capita inoltre spesso che queste raccolte non siano richieste dalla governance di un’organizzazione ma siano uno scrupolo di personale con funzioni di controllo o portierato, e vengono raccolte per testimoniare lo svolgimento dei controlli richiesti. Mi è capitato entrando in un luogo dove era previsto il controllo a campione del Green Pass che, nonostante l’assenza di fila, il controllore mi dicesse “no, non serve controllare lei è il numero 3” per poi scoprire che era stato raccomandato un controllo ogni quattro ingressi.
Se poi un’organizzazione è distribuita sul territorio è facile trovare ingressi e uscite da edifici differenti che, se incrociati, forniscono informazioni sugli spostamenti.
Il Green Pass
L’obbligo di verifica del Green Pass ha complicato ulteriormente la situazione, soprattutto con l’entrata in vigore degli obblighi del suo possesso per lavorare; si tratta di uno strumento che ha sicuramente svolto un ruolo positivo relativamente alla pandemia, ma l’idea che si potessero scansionare quotidianamente decine di milioni di QR con la sola app VerificaC19 si sta rivelando un po’ naïve e i provvedimenti stanno allargando le maglie per rendere sostenibile il percorso di verifica.
Obbligo di green pass per i lavoratori autonomi: tutto quello che c’è da sapere
È facile cedere alla tentazione di memorizzare il codice QR del pass, in fondo si tratta di un’immagine difficilmente intellegibile e che può creare una falsa aspettativa sulla sua riservatezza. Con gli opportuni strumenti (che si trovano negli app store) è importante ribadire come le informazioni siano in chiaro e quindi i dati al suo interno, se memorizzati, possono essere utilizzati per acquisire numerose informazioni personali come ho già avuto modo di raccontare in passato.
Figura 1 – La codifica del Green Pass mostra come il dato sia solo compresso ma non crittografato, è quindi in chiaro.
Già per le scuole è stato previsto un meccanismo di verifica massivo usando un servizio REST messo a disposizione dal gestore del database dei Green Pass al sistema SIDI della scuola. Questo servizio consente di sapere, dato un codice fiscale, se la persona sia in possesso di un Green Pass valido in quel momento. Per evitare abusi il servizio viene invocato indirettamente dal sistema del Ministero dell’Istruzione per evitare che un malintenzionato controlli codici fiscali che non ha titolo di controllare.
Più recentemente nelle “Linee guida Funzione Pubblica – Salute per la verifica del possesso della certificazione verde” articolano ulteriormente le alternative per una verifica più efficace:
- “per tutte le amministrazioni un pacchetto di sviluppo per applicazioni (Software Development Kit-SDK) rilasciato dal ministero della Salute con licenza open source, che permette di integrare nei sistemi informativi di controllo accessi fisici dell’amministrazione, nei sistemi di controllo della temperatura o in soluzioni tipo totem, le funzionalità di verifica della certificazione verde attraverso la lettura del QR code;”
- “per tutte le amministrazioni che utilizzano la piattaforma NoiPa, realizzata dal ministero dell’Economia per la gestione del personale delle pubbliche amministrazioni, una interazione in modalità asincrona tra NoiPa e la piattaforma nazionale DGC per la certificazione verde, che sarà resa disponibile a titolo non oneroso nel portale NoiPa;”
- “per tutte le amministrazioni con più di 50 dipendenti, con priorità per quelle che non usano la piattaforma NoiPa, un nuovo servizio pubblicato sul portale istituzionale dell’Inps che, come intermediario, interroga la piattaforma DGC e consente la verifica asincrona del green pass con riferimento all’elenco di codici fiscali di propri dipendenti, noti all’Inps al momento della richiesta;”
- “per tutte le amministrazioni con almeno mille dipendenti, dotate di sistemi informativi di gestione del personale, anche con uffici di servizio dislocati in più sedi fisiche, una interoperabilità applicativa con la piattaforma DGC, previa autorizzazione e accreditamento”
In questo panorama in costante divenire è facile cadere nella tentazione di raccogliere direttamente i codici QR dei Green Pass e semplificarsi la vita, cadendo però in un eccesso di trattamento del dato personale già stigmatizzato dal Garante per la Privacy. Va inoltre detto che la memorizzazione del Green Pass può funzionare semplicemente perché il governo italiano ad oggi ha deciso di non implementare la revoca dei Green Pass, sebbene prevista dalla normativa europea, per consentire una verifica in assenza di rete del pass.
Il giusto equilibrio
All’inizio di Episodio IV di Guerre Stellari la Principessa Leia ammonisce il perfido Darth Vader che “quanto più l’impero stringerà la presa tanti più sistemi sfuggiranno tra le dita”, ed è un po’ quello che sta accadendo in un eccesso di controllo dei sistemi di verifica. Immuni prima, poi il Green Pass e tutti i dispositivi necessari al tracciamento dei contatti e dello stato delle persone hanno introdotto vincoli e paletti che, non sempre realisticamente applicabili, hanno portato al parziale o totale insuccesso di questi strumenti importanti. Ecco, quindi, che un cittadino si sente minacciato nel segnalare o ricevere segnalazioni da Immuni ma trova del tutto naturale affidare i propri dati al ristorante sotto casa.
Quando si disegnano strumenti a supporto di processi è necessario aver ben in mente come la loro applicazione possa sostenere milioni di cittadini. Quando uno strumento è poco chiaro è la declinazione che un sistema distribuito di oltre 50 milioni di persone dà alla sua applicazione a definirne la natura del trattamento di un dato potenzialmente sensibile.
In questo momento troppi meccanismi di tutela uniti alla necessità del controllo hanno spinto verso comportamenti che non sono rispettosi di quei principi che sentivamo tutti di dover difendere. Ed è poi inevitabile che la frustrazione porti alla tentazione rappresentata dal DL Capienze di indebolire le maglie per assicurare la sostenibilità di un processo (e non solo).
Privacy by design
Lo slogan della privacy by design è uno degli assi portanti del GDPR ma è largamente incompreso, esistono numerose tecniche che possono tutelare il dato senza rinunciare alla necessità di verifica. Ad esempio, una tecnica semplice per consentire di verificare se un GP è stato già verificato o meno potrebbe procedere come segue:
- All’ingresso di una struttura c’è un piccolo dispositivo dotato di WebCam
- Chi entra mostra il proprio Green Pass alla camera, il software calcola un hash del codice QR per determinare se lo ha già visto o meno
- Se è la prima volta mostra sul display un colore rosso che indica al personale la necessità di una verifica; in questo caso una volta fatta la verifica la data di scadenza viene letta dal codice e associata all’hash del codice QR del Green Pass (o per meglio dire alla sua rappresentazione testuale)
- Se l’hash è già presente nel database si verifica semplicemente la scadenza e se è successiva al momento della verifica il sistema mostra sul display il colore verde indicando che il visitatore può accedere
Questo semplice protocollo assicura, se rispettato, che si possa verificare la scadenza di un Green Pass senza la necessità di memorizzare l’identità del possessore (certo, un possibile tentativo di aggirare il controllo pieno è quello di ottenere un codice buono per ottenere il verde, ma come è prassi negli aeroporti è sufficiente che il sistema segnali rosso anche se la verifica è positiva per assicurare controlli a campione).
Si tratta di una procedura semplice (anche se non facilissima da introdurre, soprattutto in quelle situazioni in cui si disponga di un elevato numero di ingressi), ma che mostra come non sia sempre necessario memorizzare le generalità di una persona per ottenere il risultato atteso. Lo stesso vale per la memorizzazione dei dati nei database dove le funzioni hash possono contribuire a quella pseudonimizzazione raccomandata dal GDPR.
Un dato certo è che nella definizione autonoma delle organizzazioni, che si trovano a fronteggiare l’implementazione di nuovi processi dall’oggi al domani, è difficile che il principio “Privacy by design” sia rispettato.
In conclusione, cancellate i dati non più necessari
Se si sono raccolti dati necessari al tracciamento è importante che le dovute informative siano state fornite e che i dati non più necessari vengano cancellati quando non più necessari. La necessità di gestione del tracciamento e dei Green Pass ha sicuramente prodotto un’accelerazione nella raccolta di dati personali, sicuramente necessari per assicurare la sicurezza di tutti, ma che possono essere trattati in modo rispettoso senza rinunciare alla tutela della salute pubblica.
È compito quindi delle varie organizzazioni individuare la presenza di questi dati e provvedere alla loro cancellazione non appena divengano non più necessari e comunque non oltre i termini previsti dal trattamento, in tal senso indebolire il quadro normativo sembra solo una facile soluzione ad un problema complesso.
