lotta al coronavirus

Immuni, i presupposti perché sia efficace e pro-privacy

Sorvegliare e minimizzare sono le chiavi per il successo dell’app anti-covid-19 scelta dal Governo. Esaminiamo come funziona nel dettaglio Immuni, quali dati tratta; come (e perché) l’app ha le chance per rispettare sia i requisiti di efficacia (lavorando con Apple e Google) sia quelli di privacy europei

24 Apr 2020
Antonino Polimeni

Avvocato, Polimeni.Legal


Le app di prossimità o di “contact tracing” potrebbero salvare molte vite e diventare un pilastro per arginare ogni forma di pandemia a livello globale: vanno quindi messe più al centro dell’attenzione perché potrebbero essere la base per un piano emergenziale pandemico mondiale.

Tuttavia, allo stato la confusione sotto il cielo è molto grande e c’è il rischio che le mosse del Governo italiano vadano verso il flop, per vari motivi già elencati qui.

La buona notizia è che ci sono i presupposti ancora per il successo: qualcosa in più di semplici indiscrezioni fanno intuire che l’app Immuni scelta dal Governo, abbia finalmente deciso quale sistema adottare. Si va verso una decentralizzazione completa dei dati ricalcando praticamente alla lettera le specifiche di funzionamento previste da Google e Apple. E questa è una buona notizia perché il sistema dei colossi americani sembra essere il migliore in quanto a efficienza del sistema e rispetto dei principi europei di privacy, come indicato dalle linee guida della commissione Ue la scorsa settimana.

Del resto, la scelta sembra ormai obbligata e imposta da Apple che, non consentendo il funzionamento del Bluetooth in background, ha dichiarato che fornirà delle API solo per il funzionamento dalla stessa proposto, di concerto con Mountain View. Il consorzio Pepp-pt ha provato a convincere i big a virare verso un modello ibrido o semi-centralizzato, ma, a quanto pare, senza successo.

L’app immuni e il Gdpr

Partiamo da una prospettiva che potrebbe stupire qualcuno. E se l’app Immuni, così come pensata e raccontata in questi giorni, non effettuasse in realtà alcun trattamento di dati personali ai sensi del Gdpr?

Premesso che condivido pienamente i dubbi e le perplessità espresse da alcuni colleghi sulla poca trasparenza dell’operazione, sulle scarse informazioni presenti nell’ordinanza, sull’assoluta necessità di chiarezza e sulla grande attenzione che dev’essere posta nella generazione dei protocolli, voglio comunque provare a dare un punto di vista differente, una provocazione. Voglio provare a smontare e rimontare le tesi.

Un preambolo è necessario: come già detto in premessa, sebbene si sappia poco delle procedurale che verranno adottate, questo articolo si baserà sul sistema scelto da Bending Spoons e quindi sul Contact Tracing Bluetooth Specification v1.1 di Apple e Google, tenendo comunque sott’occhio anche l’ordinanza 10/2020 del Commissario Straordinario Arcuri, la raccomandazione del 08 aprile 2020 della Commissione Europea, il PEPP-PT’s mechanisms, e le altre esperienze a cui Immuni dovrebbe ispirarsi, come l’app open source e senza scopo di lucro del fondo InReach.

Come funziona Immuni, i motivi tecnici pro privacy

Nella specie, l’app Immuni, a quanto pare, appena installata genererà una Tracing Key univoca che dovrà essere originata in modo casuale e completamente anonimo (non dovrà contenere, per esempio, nemmeno il codice IMEI del dispositivo o il deviceID, che in ogni caso potrebbero essere utilizzati come token per la generazione della Tracing Key, visto che comunque non ci sarebbe relazione al rovescio). Da questa chiave di base verrà creata ogni giorno una Daily Tracing Key da cui, a cascata, deriveranno dei Proximity ID che, stando ai protocolli Apple-Google, cambieranno ogni 15 minuti e che verranno sparati in chiaro tramite Bluetooth per essere letti da chiunque sia in ascolto nelle vicinanze, senza essere mai essere associati ad una specifica persona fisica.

L’app quindi, da un lato collezionerà tutte le Daily Tracing Key (da cui derivano i Proximity ID) generate per sé stessa e dall’altro tutti i Proximity ID dei dispositivi con cui si incontra via Bluetooth, formando una lista che rimarrà all’interno dello smartphone, probabilmente per un tempo calcolato sul periodo di incubazione del virus, e poi cancellata in conformità al principio di limitazione della conservazione, senza avere alcun contatto con il server madre.

Solo nel caso in cui il possessore/portatore dello smartphone diventasse positivo al virus, allora “qualcuno” (forse il personale sanitario) darà al contagiato un codice, anch’esso anonimo e non associato al paziente (ci si augura), tramite il quale inviare al server tutte le proprie Daily Tracing Key. Solo quelle, solo le proprie.

L’app quindi si autodenuncerà al server: “il mio padrone, che non so chi sia, è positivo al virus e queste sono le Daily Tracing Key che ho generato per me stessa”. Il server, a quel punto, invierà a tutti gli altri dispositivi italiani le Daily Tracing Key provenienti dall’app del contagiato.

Tutte le altre app presenti sugli smartphone dei cittadini riceveranno questo dato dal server, esclusivamente con operazioni di download e non di upload (se non presumibilmente dei get periodici per richiedere gli aggiornamenti dei positivi), ed effettueranno un’operazione di matching con le proprie liste di Proximity ID “incontrati” presenti solo sul proprio dispositivo, per capire se uno di questi è compatibile con la Daily Tracking Key (che possiamo paragonare a una matrice) ricevuta.

In caso di compatibilità, prima attiveranno un algoritmo (sempre in locale) che valuterà il rischio di contagio in base alla durata dell’esposizione e, in caso di valutazione positiva, emetteranno una notifica del genere “sarebbe meglio se andassi a fare un tampone”.

In realtà, la notifica avrà un messaggio deciso dalle autorità sanitarie e chiederà di seguire un protocollo (isolamento, contattare numeri di emergenza per tamponi), i cui dettagli sono ancora da definire.

I proximity ID sono dati personali?

Bene. Se questa effettivamente dovesse essere la procedura, se questi dovessero essere gli unici dati interessati, se all’utente davvero non verrà chiesta alcuna registrazione (sarebbe da pazzi) allora varranno le mie seguenti considerazioni in tema privacy.

Innanzitutto, gli unici dati che verrebbero trattati sarebbero le Daily Tracking Key dei contagiati. Si è già detto che nessun dato arriverà al server fino a quando un soggetto non scopre di essere positivo. L’attenzione si sposta quindi solo sugli ID di una persona che scopre di avere il virus. I suoi ID verranno quindi acquisiti, conservati, processati, comunicati a tutti: in una sola parola “trattati”.

Il trattamento che effettuerà Bending Spoons sarà quindi esclusivamente indirizzato alle Daily Tracking Key provenienti da soggetti positivi al virus.

Ma queste Daily Tracking Key, che vengono trattate, sono dei dati personali?

L’art. 4 del GDPR stabilisce che è un «dato personale» qualsiasi informazione riguardante una persona fisica identificata o identificabile.

La Daily Tracking Key non consente in nessun modo di identificare una persona, nemmeno indirettamente. La Daily Tracking Key è un dato totalmente anonimo.

Il considerando 27 del Regolamento spiega che i principi di protezione dei dati non dovrebbero applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire l’identificazione dell’interessato. E chiosa “Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime”.

Colpo di scena: il GDPR non si applica?

La Daily Tracking Key non sembra essere un dato personale, nemmeno sotto forma di pseudonimo.

I dati personali sottoposti a pseudonimizzazione hanno necessità di una tabella di conversione. Una Daily Tracking Key può essere considerata uno pseudonimo solo se, da qualche parte, anche in altri luoghi o con altri trattamenti si ha un’associazione della stessa Daily Tracking Key a una persona fisica, in modo univoco. Serve quindi una informazione aggiuntiva, perché una Daily Tracking Key possa essere considerata pseudonimo.

Lo stesso GDPR, sempre nell’articolo relativo alle definizioni, stabilisce che, perché si parli di “pseudonimizzazione”, il trattamento dei dati personali dev’essere implementato in modo tale che i dati possano essere attribuiti a un interessato con l’utilizzo di informazioni aggiuntive (che devono essere conservate e protette separatamente). Queste informazioni aggiuntive, necessarie per tradurre la Daily Tracking Key non esistono.

La Daily Tracking Key quindi non è uno pseudonimo. La Daily Tracking Key non è un dato personale.

Si può quindi sostenere che l’app Immuni non effettui alcun trattamento di dati personali e quindi che l’impatto privacy sia pari a zero?

No, non si può, ma il dato personale non è di certo la Daily Tracking Key, almeno nella configurazione proposta. Brending Spoons processerà numerose Daily Tracking Key di persone contagiate provenienti da app installate su dispositivi che non si sa a chi appartengano e non c’è modo di saperlo.

È l’indirizzo IP il vero dato personale

In realtà in questi giorni abbiamo semplicemente sbagliato focus.

Un dato personale, uno solo, tra le funzioni di Immuni, c’è e viene raccolto. È un dato molto significativo nel contesto in cui viene utilizzato.

Ogni positivo, infatti, come detto, sarà sollecitato ad inviare al server i propri Proximity ID anonimi, per

Ogni positivo, infatti, come detto, sarà sollecitato ad inviare al server i le propre Daily Tracking Key anonime, per consentirne la diffusione. Questa procedura genera una chiamata al server, una chiamata particolare e diversa dal semplice get che forse eseguono gli smartphone dei non positivi (finalizzato solo all’aggiornamento delle liste). Questa chiamata viene registrata dal server e ha un’impronta indelebile ed ineliminabile: l’indirizzo IP.

Eccolo il dato personale. L’indirizzo IP, associato a data e ora è un dato assolutamente univoco. Ed è uno pseudonimo. Esiste infatti una tabella tramite la quale indirizzo IP, data e ora, se messi assieme, possono tirare fuori un nome e un cognome. In grado di compiere questa operazione sono gli Internet Service Provider, il gestore telefonico. Ecco la tabella di conversione, ecco l’identificazione certa della persona fisica.

Nei server di Bending Spoons, dunque, ci sarà un elenco di log con indirizzi IP di positivi (anche in caso di presenza di VPN, ci saranno i dati di traduzione) associabili ad un nome ed un cognome.

Che l’indirizzo IP sia un dato personale è pacifico. Oltre ad averlo più volte ribadito sia il Garante della Privacy che il WP29, se ne è occupata anche la Corte Giustizia UE (si veda per esempio la sentenza n.582 del 19/10/2016). Non serve soffermarsi sul punto.

Tuttavia, perché Bending Spoons possa accedere ai dati anagrafici del titolare di un indirizzo IP dovrebbe farne richiesta ad un’autorità giudiziaria. Questa sarà chiamata a fare un bilanciamento tra l’interesse che spinge l’azienda a richiederlo e l’interesse dell’individuo a non essere svelato, individuo che presta il consenso al provider telefonico per la sola finalità dell’espletamento del servizio richiesto e per la fatturazione. Sono notissimi i casi Peppermint e Techland del Tribunale di Roma.

In definitiva, il quadro rende quasi impossibile per la società appaltatrice accedere al dato anagrafico.

Il ruolo dello Stato

Ma lo Stato? Che ruolo avrà? Questo non è chiaro ed è su questi aspetti regolamentari che sarà necessario fare chiarezza.

È ovvio che allo Stato non interessa l’identità del positivo che manda il pacchetto di Daily Tracking Key al server utilizzando il proprio indirizzo IP, per un solo motivo: lo Stato già lo sa chi sono i positivi, ovviamente! E se è vero che i dati di prossimità (chi ha incontrato chi) rimarranno sui device, allora non c’è altro da scoprire e lo Stato potrebbe e dovrebbe restare fuori dall’operatività dell’app (ma non dalla sorveglianza).

A maggior ragione alla luce del fatto che non sorge in capo al cittadino alcun obbligo, visto che l’app non sarà imposta e la scelta di fare l’upload delle proprie Daily Tracking Key, nonché quella di recarsi a visita se arriverà la notifica, sarà completamente volontaria.

Il grande limite dell’operazione contact tracing

Già, la volontarietà, la non obbligatorietà.

È proprio questo, a mio parere, il grande limite di tutta questa operazione. A Singapore, dove è stata adottata una soluzione simile e facoltativa, il tasso di download non ha superato il 18%. Di questi solo il 50% ha attivato l’app. Un fallimento vero e proprio.

Né la task force italiana, messa su in fretta e furia, né il Ministero dell’Innovazione hanno dato alcuna spiegazione su quale sia la strategia che potrebbe garantire un successo all’iniziativa.

È vero che, quanto al carattere facoltativo dell’utilizzo dell’app da parte dei cittadini, si è seguita pedissequamente la raccomandazione della Commissione Europea. Tuttavia il quadro privacy sembra realmente rassicurante, sicuramente più rassicurante della gestione dei dati sanitari attuata da molti ospedali. Si poteva osare.

Gli ospedali e i protocolli (inesistenti) per le indagini epidemiologiche

Ora vorrei proprio fare un parallelo con quello che accade oggi nelle strutture sanitarie, di cui nessuno si è nemmeno minimamente preoccupato. Il tracciamento di contagi non nasce con l’app ma viene costantemente effettuato (non solo per il coronavirus) dalle strutture preposte. Si chiamano indagini epidemiologiche, hanno esattamente le stesse identiche finalità dell’app e non esistono regole o protocolli per svolgerle. Per esempio, il DGR n. 344 del 17 marzo 2020 della Regione Veneto, una delle più colpite dal Covid-19, prevede semplicemente che dalla ricerca puntuale e sistematica di tutti i casi confermati, sarà possibile per i Servizi di Igiene e Sanità Pubblica (SISP) dei Dipartimenti di Prevenzione avviare le conseguenti inchieste epidemiologiche ed intervenire con le disposizioni di isolamento domiciliare fiduciario e quarantena. I primi soggetti da screenare saranno i contatti di caso famigliari, lavorativi, sociali/occasionali con criterio di contatto e di geolocalizzazione”.

Evidenzio e sottolineo: contatti famigliari, lavorativi, sociali e occasionali con criterio di contatto e di geolocalizzazione. Come deve avvenire tutto questo? Non esistono dei protocolli uniformi, in alcuni casi non esistono proprio dei protocolli. Alcune Aziende ospedaliere a fine giornata compilano una scheda cartacea con tutti i dati personali sensibili dei nuovi positivi e la inviano via fax (sì, via fax) ad ASP e Prefettura. Le indagini epidemiologiche vengono effettuate con una intervista all’utente che, spontaneamente, comunica nomi, cognomi e numeri di telefono delle persone che ha incontrato negli ultimi giorni (per il Veneto sono 48 ore), dati di cui poi si perde traccia.

Quindi, di che parliamo? Cosa stiamo cercando di frenare oggi con tanti articoli tragicomici nei vari blog di settore?

La sorveglianza delle autorità, chiave per una corretta gestione dei dati

Il metodo scelto sembra davvero quello migliore e, almeno potenzialmente, sembra in grado di affrontare serenamente una DPIA, contenendo i rischi connessi al dato trattato e conseguentemente l’impatto sui diritti e le libertà degli individui. E non di certo per merito della super task force ministeriale che non è stata in grado di aggiungere nulla alle linee guida europee e al trend internazionale nella materia.

Certo è che tra il dire e il fare ci sono di mezzo un bel po’ di cose: lo sviluppo effettivo, i protocolli da implementare e soprattutto la sorveglianza da mettere in atto in modo serio e concreto.

Ecco la chiave sta lì, nella sorveglianza da parte delle autorità (perché si faccia realmente quello che si è promesso in tema di gestione dei dati), ma anche della community, visto che Immuni sarà un software open source e l’esperienza ci ha insegnato che pubblicare il sorgente delle app permette che queste siano paradossalmente meno soggette a bug e intrusioni, visto l’apporto della community nell’individuarli.

Eppure, a pensarci bene, quanto ho appena affermato in merito all’open source, non è altro che la conseguenza di una completa mancanza di fiducia nei confronti delle competenze di chi deve sorvegliare. Un software che tratta dati sensibili dovrebbe essere closed source per definizione, previa verifica seria e responsabile da parte di chi di dovere. Non dovrebbe essere la community a sorvegliare, ma le autorità preposte. Tuttavia ci fidiamo più della community che delle task force, la sola in grado di monitorare ogni scambio di pacchetto dati e comprendere che persino nello stack trace di un crash report di un’app è possibile svelare informazioni sanitarie riservate.

Serviva quindi la collaborazione dei grandi player mondiali, era chiaro. Probabilmente, al netto di tutte le valutazioni politico-economiche, si potrebbe auspicare l’implementazione di un sistema di tracing nei principali OS per smartphone, lasciando agli utenti la scelta di attivarli o meno (ricordandoci comunque che, per motivi di interesse pubblico, un’attività del genere si può sempre rendere obbligatoria, almeno in Europa).

I casi studio hanno dimostrato che la fiducia dell’utente nei confronti dei big mondiali è superiore a quello che si ha in una app governativa. La user experience degli utenti Apple e Google porta la maggior parte degli stessi a storare dati di posizionamento, dati sanitari (l’app Salute di IOS salva i dati, crittografati, in cloud, ma anche tante app di fitness e alimentazione conoscono le nostre patologie) e tanti altri presso i server degli stessi colossi, senza porsi alcun problema di privacy.

Richiedere la fiducia per una gestione decentralizzata sarebbe ancora più facile. La chiave poi sta tutta lì: sorvegliare. Sorvegliare e minimizzare, sfruttando i canali che più renderebbero utile la diffusione di app del genere, come fa il Wireless Emergency Alerts (WEA) che negli Stati Uniti avverte le persone di gravi rischi in base alla posizione delle stesse. Senza alcun consenso: è successo anche a me.

Quanto alla seconda funzionalità di Immuni, il diario sanitario, al momento non sappiamo nulla. Si dà quasi per scontato che i dati vengano salvati in locale e che l’app sia in grado di riconoscere, processandoli sempre localmente, la necessità di un controllo medico, mostrando empiricamente agli operatori sanitari la propria storia clinica degli ultimi giorni. Si vedrà.

Una sola osservazione, infine. Se il sistema dovesse essere totalmente decentralizzato, per entrambe le funzioni, nulla verrà salvato sui server dell’app e nessun account personale (neanche anonimo) verrà creato, sembrerebbe scontato che, cancellando l’app si perderebbe tutta la propria cronologia di “incontri” e la propria storia clinica. Questo aspetto rimane accettabile e con un impatto residuale considerando che comunque il “ciclo di operatività” dell’app non dovrebbe superare un lasso di tempo limitato calcolato tenendo conto del periodo di incubazione dei virus.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3