Il periodo dopo Pasqua si è distinto per il proliferare di proposte legate al tracciamento degli utenti, utile a contenere e a prevenire il diffondersi del COVID-19. È necessario però tenere alta la guardia sugli aspetti legati alla privacy e al GDPR.
Da entrambe le sponde dell’Atlantico nelle ultime ore si sono diffuse molte notizie legate all’adozione di massa di App per smartphone utili al tracciamento non solo degli spostamenti degli utenti, ma anche delle loro condizioni di salute.
Perché il tracciamento degli utenti è utile?
Lo scopo è quello di mettere in relazione le autorità sanitarie con ogni contagiato, consentendo allo Stato di essere aggiornato sia sul decorso della malattia sia sull’eventuale contatto avvenuto da questi con alte persone durante la quarantena. La funzione sociale più importante è rappresentata dalla notifica che questi soggetti terzi ricevono qualora siano entrati in prossimità col contagiato.
Questo obiettivo permetterà ad un’App adottata ufficialmente da uno Stato di generare un’ enorme massa di dati, sogno di qualsiasi azienda di marketing. Se non correttamente gestita, questa massa rischia di essere un grosso problema legato alla privacy della popolazione e i legislatori locali, nazionali ed europei stanno pronunciandosi in materia, consci della sua importanza.
Sicuramente la situazione che stiamo vivendo è unica e farà emergere le differenze culturali che caratterizzano i popoli coinvolti.
I vari modelli adottati sinora
La prima considerazione è proprio legata dell’idea iniziale di App di tracciamento così come descritta. Il modello nasce in Cina, paese che per primo ha imposto l’adozione di questo approccio, con risultati apparentemente positivi nel contenimento del contagio. È però noto a tutti come sia un paese abituato ad imporre restrizioni alla privacy e a controllare in modo pervasivo e costante la vita di ognuno dei suoi cittadini. Successivamente Corea del Sud e Singapore hanno adottato il medesimo modello, arrivando al sostanziale annullamento della privacy dei contagiati.
In paesi più attenti all’argomento privacy, seppur con proporzioni diverse fra loro, lo voglia di raccogliere gli aspetti positivi di queste tecnologie ha messo in atto diversi dibattiti, coinvolgendo i più importanti attori del settore, come Apple e Google.
I due colossi hanno infatti dichiarato di voler rendere disponibili già da maggio API utilizzabili dalle singole autorità sanitarie nazionali, utili a mettere in piedi un’interscambio di informazioni anche multipiattaforma, sia su iOS che su Android. Successivamente questa funzione verrà integrata direttamente nel cuore dei rispettivi sistemi operativi, approfittando quindi della loro grandissima diffusione a livello mondiale. La privacy degli utenti viene fatta salva, a detta loro, perché l’utilizzo del Bluetooth per tenere d’occhio chi si avvicina al proprietario, farà sì che gli identificatori generati dal match vengono scambiati e salvati localmente e solo in caso di eventuale contagio condivisi con le autorità. Ma solo se l’utente accetta di condividere tali informazioni.
Pochi giorni dopo hanno iniziato a muoversi anche le autorità europee, con la Commissione che ha sposato l’approccio di Apple e Google, definendo alcune linee guida comuni nel territorio UE: le App, spiegano da Bruxelles, devono “stimare con sufficiente precisione la vicinanza” fra le persone utilizzando “il Bluetooth o altre tecniche efficaci”, ma evitando la geolocalizzazione. In particolare, per il tracciamento dei contatti, l’UE insiste sull’utilizzo di dati anonimi.
L’ultimissima notizia proviene dall’Italia, il cui Governo ha scelto fra le 319 proposte arrivate nei giorni scorsi, quella di Blending Spoons S.p.A.. Si tratta di un contratto di concessione gratuita della licenza d’uso su un software di contact tracing. Bisognerà comunque attendere fino al 31 maggio per omologare l’app a livello europeo.
L’opinione dell’esperto
Abbiamo voluto approfondire l’argomento grazie al contributo di Giuseppe Ricci, titolare di Active 121, azienda specializzata in Cyber Data Protection e leader di mercato con la soluzione di GDPR Data Governance PrivacyOS.
Si è molto parlato in questi giorni di tracciamento digitale tramite app. Qual’è l’aspetto che più ti ha colpito nell’approccio scelto a livello internazionale sino ad oggi?
Perché un’app come quella ideata in Cina prima e in Italia adesso abbia successo, essa dev’essere adottata in modo massivo. Questa tecnologia non ha senso se viene usata da poche persone: l’allarme scatta quando entrambi gli utenti in contatto fra loro hanno scelto di installare l’app, fornendo tutti i relativi consensi.
Perché sia efficace, il garante della privacy italiano e il ministro per l’Innovazione hanno osservato come sia necessario che l’app sia scaricata da almeno il 60/70% della popolazione. Però, diversamente dal modello orientale, da noi non è possibile imporre l’utilizzo di un software, dev’essere l’utente a scaricarlo ed installarlo consapevolmente. La stessa Commissione Europea lo ha sancito espressamente “They should be installed voluntarily, and dismantled as soon as no longer needed.”. Questo rappresenterà a mio avviso un grosso limite alla sua diffusione e lo renderà di fatto un grosso “esperimento sociale”.
Cosa intendi per “esperimento sociale”?
Intendo dire che ci saranno numerosi elementi da tenere in considerazione a mano a mano che l’app si diffonderà. L’obiettivo del legislatore europeo non è quello di tracciare le persone o di redarguirle ma dare un sostegno al singolo individuo, suggerendogli l’isolamento oppure no. È tutto quindi finalizzato alla responsabilizzazione del singolo individuo.
Il problema nasce quando questa “responsabilità individuale” viene meno: immagina un pazzo che decide di dichiararsi positivo ed entra in un supermercato. Entro 24 ore tutti coloro che hanno installato l’app riceveranno una notifica con l’invito ad entrare in isolamento. E con conseguenze psicologiche anche peggiori rispetto ad uno “scherzo” messo in atto dallo studente che chiama la scuola dichiarando la presenza di una bomba: quando tutti suono fuori dall’edificio, possono tirare un sospiro di sollievo. Ma nel caso del virus, la tensione calerà solo dopo aver fatto un tampone. Questi casi inoltre falserebbero completamente l’efficacia dell’ “esperimento sociale”.
Fortunatamente queste notifiche non arriveranno in tempo reale.
Se arrivassero in tempo reale sarebbero lesive della privacy dell’utente. Immagina l’esempio di qui sopra: mi dichiaro positivo ed entro in un supermercato, oltre a correre il rischio di essere linciato una volta che le notifiche arrivassero ai miei vicini, questi verrebbero a conoscere un mio dato personale e sensibile che, secondo il GDPR non è diffondibile salvo specifica richiesta dell’autorità sanitaria.
Perché secondo te è stata ingaggiata dal Governo una società di marketing (Jakala) oltre ad una software house?
Dal momento che il Garante Europeo ha espressamente vietato di imporre l’installazione dell’App, per favorirne la diffusione bisognerà lavorare sul piano della comunicazione. Di qui l’ingaggio di un’agenzia specializzata in advertising.
Corriamo il rischio di arrivare ad una sospensione della privacy come la conosciamo oggi, sul modello orientale?
Il fatto che la commissione europea abbia espressamente vietato di adottare il GPS come tecnologia di tracciamento in favore del meno invasivo bluetooth fa ben sperare in tal senso. Quindi finché il virus mantiene una mortalità relativamente bassa, dubito ci saranno interventi così profondi da noi. Certo che, se il COVID-19 dovesse mutare ed arrivare ad essere più violento sicuramente sarebbe la stessa popolazione a chiedere modifiche più invasive.
Sarà però importante che, una volta finita l’emergenza, tutto torni come prima per quanto riguarda la privacy degli utenti. L’assuefazione a una società che vive in una situazione costante di emergenza sembra essere il vero pericolo.
Assolutamente sì. Come ci dicevamo, nessuno potrà imporci di installare l’app e quindi far uscire i nostri dati dal nostro dispositivo. Se lo faremo, dovrà essere a determinate condizioni, tramite l’espresso consenso. Il GDPR su questo è molto preciso: il dato è trattabile a fronte di una finalità specifica, con relativa base giuridica. Nel caso specifico, la base giuridica è la sicurezza dei cittadini e la finalità è aiutare la persona a scegliere se restare in isolamento o meno. Il consenso quindi non può essere “a tempo indeterminato”. Una volta raggiunta la finalità, il dato dev’essere cancellato. Vedremo cosa sarà indicato nell’informativa dell’app, al momento non ancora disponibile.
È possibile approfondire l’argomento legato alla cancellazione del dato una volta raggiunta la finalità del consenso?
Terremo a breve un webinar legato proprio a questo, chi volesse iscriversi può farlo da questo link.