App coronavirus: la sorveglianza digitale mette in pericolo la privacy
Distruzione dei dati alla fine del trattamento, proprietà pubblica del dato, periodo limitato nel tempo: sono tanti gli aspetti della nuova app contro il coronavirus da proteggere per evitare che venga distrutto il diritto alla privacy, così faticosamente costruito in Italia. Ecco cosa stiamo rischiando
Questo è il secondo di una serie di articoli, tutti firmati da Laura Filios e Veronica Ulivieri
L’app contro il coronavirus potrebbe arrivare presto. Mentre l’epidemia fa salire enormemente i rischi per la nostra salute e abbassare le serrande delle attività commerciali, c’è un altro interesse pubblico di cui non dovremmo dimenticarci. È il diritto alla privacy.
Il tema è stato portato nel dibattito pubblico mentre già una folla di entusiasti celebrava l’uso delle app di tracciamento, senza andare troppo per il sottile. Ma come si legge in un appello lanciato da Human Rights Watch, Amnesty International e sottoscritto da oltre 100 ong, è il momento di tenere alta la guardia:
«La pandemia Covid-19 è un’emergenza sanitaria di portata globale, che richiede una risposta coordinata e su larga scala da parte dei governi di tutto il mondo. Tuttavia, gli sforzi degli stati per contenere il virus non devono essere usati come copertura per inaugurare una nuova era di sistemi di sorveglianza digitale invasiva».
Il senso, per usare le parole di Privacy International, è chiaro: «I poteri straordinari richiedono protezioni straordinarie».
Le altre puntate dell’inchiesta:
• App Immuni: prima di tracciare i contagi ci vuole chiarezza sui dati
• App coronavirus: perché la Corea non può essere un modello per l’Italia
App coronavirus e privacy: il modello Corea
Sul come saranno usati questi dati relativi a un periodo eccezionale delle nostre vite, la domanda resta aperta. Il problema in Occidente si è iniziato a porre quando da più parti si è proposto di attuare il modello di Cina e Corea del Sud. I due Paesi, tra le varie misure di contenimento, hanno usato app per tracciare spostamenti e incontri di persone positive ed isolare i possibili contagiati, imponendo così una quarantena mirata (contact tracing ).
Un modello invasivo della privacy, poiché si basa sulla raccolta di una quantità di dati personali senza necessità di consenso (posizione attraverso segnale Gps, transazioni con carte di credito, immagini di telecamere di video-sorveglianza con riconoscimento facciale). Dati che, seppure memorizzati in forma anonima, hanno permesso in diversi casi di identificare alcuni soggetti, esponendoli talvolta ad atti discriminatori (leggi App coronavirus: perché la Corea non può essere un modello per l’Italia).
Leggi anche:
• Gdpr: il nuovo trattamento dei dati personali e la privacy nell’Ue
• Welfare digitale: quando la tecnologia minaccia i diritti
App coronavirus: possibile sbarco in Italia e tecnologie in campo
La via occidentale per l’uso governativo di grandi masse di dati, i cosiddetti big data, in fase di emergenza, è ancora tutta da scrivere. Per questo è necessario fare chiarezza sugli eventuali rischi connaturati alla sorveglianza digitale dei cittadini. Con riferimento in particolare alla modalità e alla durata della raccolta dei dati, all’anonimato, al tempo di conservazione. E ancora alla conseguente distruzione degli stessi, alla proprietà del dato e al ruolo di aziende private. Anche da noi il dibattito è aperto e la possibilità che il governo Conte rilasci già nei prossimi giorni un’app tutta italiana di ricerca di contatti è sempre più concreta.
Di app in circolazione ce ne sono diverse. In una panoramica pubblicata da Wired il 24 marzo, si trovano tecnologie di vario tipo. Le principali sono i sensori Gps e Bluetooth. Nel primo caso, spiega Marco Avvenuti, docente di Ingegneria dell’informazione dell’università di Pisa, «il modello con maggiori garanzie per i cittadini potrebbe funzionare così: se volontariamente si scarica l’app, tramite il Gps si ricostruiscono gli spostamenti della persona nelle ultime due o quattro settimane, generando informazioni che rimangono nello smartphone».
«Se l’utente dovesse risultare positivo, può acconsentire a cederle e riversarle in un server centrale in forma anonima. Queste tracce a quel punto vengono trasmesse ai telefoni di tutti gli utenti dell’app, in modo che, sempre senza dover trasmettere informazioni a un server, questa possa confrontarle con gli spostamenti dell’utente e calcolare il rischio di aver frequentato un’area di possibile contagio», aggiunge il docente.
Per quanto riguarda la tecnologia Bluetooth, Avvenuti spiega che «può servire per misurare meglio il contatto tra persone, o per rilevare con maggior precisione il passaggio in un determinato luogo». Sulla prima modalità si basa l’app Private Kit del Massachusetts Institute of Technology di Boston, mentre sulla seconda tecnologia è costruita l’app del Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), un gruppo di 130 esperti provenienti da istituti di ricerca e aziende di otto Paesi europei.
Leggi anche:
• Intelligenza artificiale: l’algoritmo anti-frode viola i diritti umani
App coronavirus e misure di prevenzione
Un gruppo di ricercatori e bioeticisti dell’Università di Oxford in un articolo pubblicato su Science afferma che «l’App dovrebbe essere uno degli strumenti tra le varie misure di prevenzione come l’allontanamento fisico, il miglioramento delle misure igieniche e delle vie respiratorie e la decontaminazione regolare».
Inoltre, per far sì che i dati raccolti possano contribuire al contenimento dell’epidemia, è necessario che il dispositivo sia usato da un numero molto elevato di utenti.
App coronavirus e stop al contagio
Al momento non è facile dire in che misura il tracciamento possa contribuire a contenere il contagio. Il professor Avvenuti spiega che «il contact tracing permetterebbe una ricerca dei contatti molto più accurata. Oggi questa fase viene condotta tramite un’intervista, ma dipende dalla memoria dell’utente e dalla sua volontà di collaborare».
Per l’Electronic Frontier Foundation «i governi non hanno ancora dimostrato che i poteri straordinari di sorveglianza della posizione darebbero un contributo significativo al contenimento di Covid-19». Osservatorio Diritti ha provato a chiedere all’Istituto superiore di Sanità quali siano le evidenze scientifiche dell’efficacia del contact tracing per limitare il contagio, ma a giorni di distanza manca ancora una risposta.
Le dichiarazioni del primo ministro di Singapore Lee Hsien Loong, che ha annunciato una parziale chiusura delle attività, sembrerebbero confermare come in questo campo non ci siano certezze e le soluzioni vadano studiate e adattate alle fasi di diffusione della malattia: «Nonostante il buon tracciamento dei contatti, per la metà dei casi non abbiamo individuato dove e da chi abbiano preso il virus».
Mentre è proprio a Singapore che l’Europa guarda per sviluppare la propria app di contact tracing. Il sistema a cui sta lavorando il PEPP-PT funziona col Bluetooth dello smartphone e dovrebbe essere, a detta di Hans-Christian Boos, fondatore della società di automazione Arago e consulente per il digitale del governo tedesco, «in piena conformità con il Gdpr (Regolamento europeo per la protezione dei dati personali, ndr) e utilizzabile anche quando si viaggia da un Paese all’altro».
Iscriviti alla newsletter di Osservatorio Diritti
App coronavirus: le garanzie necessarie per la privacy
Per attuare un tracciamento, sono necessari paletti e garanzie che tutelino il diritto alla protezione dei dati personali sancito dalla Carta dei diritti fondamentali dell’Unione europea. Secondo le indicazioni fornite in questi giorni da esperti e ong, il tracciamento dovrebbe essere oggetto di confronto e approvazione parlamentare ed essere attuato a seguito di una valutazione dei rischi, e nel rispetto delle leggi e degli obblighi esistenti riguardanti diritti umani, protezione dei dati e sorveglianza.
Inoltre, andrebbero resi chiari e trasparenti gli obiettivi del trattamento dei dati che dovrebbero essere di proprietà pubblica. Il codice dell’app dovrebbe essere open source, per garantire il più ampio controllo possibile sulle funzionalità del software.
Per il tracciamento e il trattamento dei dati così ottenuti dovrebbe essere stabilita una scadenza e prevista la distruzione dei dati alla fine dell’emergenza. Ottimale sarebbe la loro conservazione su server pubblici, per scongiurare eventuali usi impropri. Per i cittadini dovrebbe essere prevista la possibilità di ricorso e di richiesta di cancellazione dei propri dati.
Leggi anche:
• Sicurezza e privacy: il sottile confine dove vengono spiati gli attivisti
• Software spia, le nuove armi africane
App coronavirus: le aziende hanno più informazioni degli Stati
Aspetto non trascurabile rimane il coinvolgimento dei privati. «Nonostante le aziende abbiano gli strumenti e le risorse – molte infatti hanno costruito i loro modelli di business sulla base dello sfruttamento dei dati e della sorveglianza – è necessario garantire che, qualunque contributo diano, lavorino per proteggere le persone e siano tenute lontane da interessi commerciali, ora e nel futuro», dicono a Osservatorio Diritti da Privacy International. «Il Covid-19 non può essere usato come un parco giochi per fare esperimenti, lavarsi la reputazione ed evitare le regole», continua l’ong.
I dati sono una risorsa preziosa e le grandi aziende tecnologiche lo hanno capito da tempo. Oggi, infatti, hanno un quadro chiaro dell’evoluzione di molti comportamenti dei cittadini e rappresentano una fonte d’informazione primaria per le istituzioni in condizioni di emergenza come quelle attuali.
È di pochi giorni fa, per esempio, la pubblicazione da parte di Google di una serie di grafici su come sono cambiati gli spostamenti delle persone nel mondo per effetto del coronavirus, basandosi su dati aggregati e anonimizzati degli utenti. Per l’Italia, con dettaglio regionale.
I dati riguardano solo gli utenti che hanno attivato la funzione «Cronologia delle posizioni», ma delineano comunque uno scenario degli spostamenti che nessuna istituzione pubblica al momento è in grado di avere, se non acquisendo informazioni appunto da poche grandi aziende digitali.
«Nella complessa filiera in cui si articolerebbe il contact tracing, soggetti privati quali i gestori delle infrastrutture tecnologiche dovrebbero porre il patrimonio informativo di cui dispongono a disposizione dell’autorità pubblica. A quest’ultima, invece, dovrebbe essere riservata la fase dell’analisi dei dati», ha detto Antonello Soro, presidente dell’Autorità garante per la protezione dei dati personali.
Diritto alla privacy e alfabetizzazione dei cittadini
L’acquisizione di dati degli utenti tramite smartphone da parte dello Stato, su cui si concentra legittimamente il dibattito in questi giorni per definire se e come questa debba avvenire in uno stato di diritto, ha già dei precedenti importanti tra le grandi aziende tecnologiche.
Ma i cittadini non sono sempre consapevoli di come vengono raccolti e analizzati i loro dati online. Secondo una ricerca della Commissione europea del 2019, Ii 37% degli italiani non legge mai le informazioni sulla privacy dei servizi e siti online e il 43% solo in parte. Solo il 50% degli italiani dice di essere informato sulle condizioni della raccolta e gli usi successivi «almeno qualche volta» quando si trova davanti a richieste di fornire dati online. Il resto raramente, mai, o non sa.