Introduzione e aggiornamenti degli ultimi giorni

Per sconfiggere la pandemia di Covid-19 dovremmo essere pronti a tutto. Ma se ci dovessero chiedere di cedere informazioni sul nostro stato di salute e fosse necessario renderci tracciabili in ogni momento attualmente non in molti accetterebbero.

Il tema dei dati personali e del loro uso è molto complesso e ha suscitato nuovamente grandi polemiche da quando il Garante per la protezione dei dati personali ha dato il via libera all’uso del contact tracing digitale in Europa e poi in Italia.

Per contact tracing digitale si intende l’uso di applicazioni per dispositivi mobili per il tracciamento dei soggetti entrati in contatto con le persone infette. I dati che si potrebbero usare nelle app sono relativi agli spostamenti, ai contatti con le altre persone e potrebbero includere anche il diario clinico della persona.

Spesso mettiamo i nostri dati personali a disposizione dei social, più o meno consapevolmente e per scopi il più delle volte leggeri. Altre volte sono necessari per poter accedere ad un certo servizio, come quelli di trasporto pubblico quando chiediamo a che ora passa il prossimo bus nella nostra fermata, e quindi concediamo l’uso della nostra posizione. Tutto è regolato da norme severe che obbligano il fornitore di un servizio a rendere il dato anonimo e permettere all’utente di ritirarsi in qualunque momento. Inoltre l’utente deve essere informato di quali dati personali vengono raccolti e usati, e dare il consenso per la loro raccolta e quella specifica finalità d’uso.

I dati che verranno raccolti e utilizzati da queste applicazioni per il contenimento della pandemia saranno molto preziosi, e chi ne avrà la custodia sarà vincolato ad utilizzarli solo per le finalità accettate dagli utenti prima della raccolta e dovrà garantire la privacy. Per questo più che in altri momenti il Garante per la Privacy opera per assicurare la trasparenza in tutte le fasi di creazione di queste app, già a partire dai requisiti. 

Da poco ad esempio è partita la collaborazione tra Apple e Google per la realizzazione di funzionalità per il tracing dei contatti che permette ai telefoni di funzionare come dei beacon, e che è stata rilasciata proprio in questi giorni. Si tratta di una serie di API (Interfacce di Programmazione per lo sviluppo di applicazioni) che sfruttano funzioni integrate nei sistemi operativi iOS e Android per rilevare la prossimità di altri dispositivi, e presto anche la loro distanza, risolvendo molti degli ostacoli che attualmente stanno incontrando gli sviluppatori di app per il tracing digitale e l’interoperabilità tra le due piattaforme. Il prossimo passo è stato quello di integrare lo strumento direttamente nei due Sistemi Operativi per semplificare lo sviluppo di queste app, ma sempre garantendo al singolo utente la possibilità di disattivare la rilevazione automatica dei dati.

Come abbiamo fatto notare nel nostro precedente articolo, in ogni paese le persone attribuiscono valore diverso ai propri dati personali, in base alle abitudini culturali. Ad esempio negli Stati Uniti e in alcuni paesi d’Oriente si tiene poco alla privacy sui dati sanitari, mentre in molti paesi europei la tutela della privacy è uno dei requisiti base per lo sviluppo di qualsiasi sistema informatico.

L’app per il contact tracing in Italia

L’app che Bending Spoons sta sviluppando per il contact tracing in Italia si chiama Immuni e farà uso del Bluetooth, che per le sue caratteristiche è risultata molto adatta per registrare i contatti nel rispetto della privacy delle persone. L’app sarà adottata a livello nazionale, permettendo l’uniformità degli strumenti di monitoraggio e allontanandoci dalla frammentazione che si stava prospettando tra le Regioni. Questo strumento seguirà i requisiti fondamentali dettati dalle linee guida della Commissione Europea: garantirà l’anonimato, non userà il GPS, userà la connessione Bluetooth Low Energy e non sarà obbligatoria. Sarà composta da un diario clinico (da aggiornare con alcune informazioni utili nel caso la persona si ammali di Covid-19) e da un tool di rilevazione dei contatti avvenuti negli ultimi giorni. 

Il funzionamento è molto semplice e l’app sarà utilizzabile da tutti. In questi giorni sono state pubblicate alcune schermate e la documentazione è stata rilasciata sulla piattaforma GitHub.

Come funziona Immuni

Per capire come funziona si può fare un esempio: due persone hanno l’app installata nei loro smartphone. Queste due persone parlano per qualche minuto e nel frattempo i loro telefoni iniziano a scambiarsi messaggi anonimi e casuali con la tecnologia BLE, salvando sia i messaggi ricevuti sia quelli inviati. La quantità di messaggi è proporzionale al tempo che si trascorre con quella persona. Il GPS non viene utilizzato, quindi nei dati non ci sarà alcun riferimento al luogo dell’incontro, a dove la persone vivono o cosa stanno facendo. Entrambi i telefoni salvano i messaggi ricevuti / inviati degli ultimi 14 giorni.

Se a uno dei due proprietari di quegli smartphone viene confermato il contagio da Covid-19, questo può segnalare i suoi codici, usando una password fornita dal medico, al server per la diffusione degli avvisi alle altre persone (solo i casi positivi confermati potranno farlo).

Il telefono dell’altra persona nel frattempo ogni tanto contatta il server per controllare se i codici che ha ricevuto nei giorni precedenti, dalle persone con cui ha avuto un contatto, sono nella lista dei pazienti infetti. Se trova codici che rientrano in questa situazione, allerta il proprietario, consigliandogli di stare in quarantena, per interrompere la catena di diffusione.

Sarà comunque necessario un forte senso civico. Perché sia efficace la raccolta dei dati, Immuni dovrebbe essere utilizzata da almeno il 60% della popolazione, altrimenti si potrebbe prospettare una situazione simile a quella che si è verificata a Singapore, non riuscendo a fare un tracing efficace.

L’Europa

Dato che dodici stati si stanno già adoperando per mettere a disposizione dei cittadini app per il controllo della diffusione del Covid-19, la Commissione Europea e il Comitato Europeo per la privacy (EDPB) cercano di fare ordine mettendo delle condizioni molto severe riguardo alla privacy per lo sviluppo di app per il contact tracing, riguardo al tracciamento e all’analisi dei big data. Questi sistemi dovranno essere ad uso volontario, nel rispetto delle norme sulla protezione dei dati personali (che dovranno essere presi in forma anonima e aggregata), sviluppati in trasparenza con la collaborazione con le autorità nazionali, e devono poter essere disattivati non appena la crisi sanitaria finisce. Le app dovranno interferire il meno possibile con la vita privata delle persone.

Una parte importante del dibattito nello stilare queste regole era legata alla scelta di adottare o meno una soluzione decentralizzata. La differenza è enorme per la modalità con cui i dati possono essere conservati e processati. 

La Germania userà il bluetooth e probabilmente la sua soluzione prevederà un database centralizzato. La soluzione centralizzata ha ricevuto commenti negativi anche dalla Chaos Computer Club, la più grande comunità di hacker europea, per l’estrema facilità di compromissione della sicurezza.

Cipro utilizzerà la geolocalizzazione e il bluetooth, con un’app basata sull’infrastruttura Tracer, sviluppata al MIT. La Polonia lancerà un’app che traccia i contatti tra le persone con il BLE, molto simile alla soluzione italiana. Anche l’Austria utilizzerà il BLE e, per migliorare i risultati, farà anche uso di tecnologie come Google Nearby e il peer-to-peer. La Repubblica Ceca usa una strategia basata sui dati rilevati dalle celle telefoniche, tralasciando i problemi legati alla privacy, ma si sta anche dotando di un’app open-source che usa il bluetooth, attualmente disponibile solo per Android. La Spagna per ora ha un’app per fare l’autodiagnosi, mentre per reperire informazioni possono usare il sito ufficiale Covid19.es o alcuni chatbot, anche su Whatsapp. 

Conclusioni

Considerando che oggi siamo “tracciati” per l’uso di tanti altri servizi, spesso anche meno vitali, speriamo che il senso civico delle persone non venga meno, perché contaminato dai dubbi che potrebbero venire sul fatto che queste app siano sicure.

L’uso di questa tecnologia, il Bluetooth Low Energy, per effettuare il contact tracing automatico oltre che necessario, ci sembra molto sicuro, perché prende le giuste precauzioni suggerite dal Garante per la Protezione dei Dati Personali e segue le linee guida dettate dalla Commissione Europea già dalla fase di progetto. 

L’Italia sta andando nella giusta direzione per vincere la battaglia contro un virus, che si è rivelato e si sta rivelando più pericoloso di quanto prospettato all’inizio, mettendo al primo posto l’importante bilanciamento tra il diritto alla salute, il diritto alla privacy e alla libertà stessa delle persone. Ma come abbiamo visto in altri paesi, la collaborazione di tutti sarà cruciale per l’efficacia dei sistemi che verranno messi in campo, perché l’eventuale rifiuto del suo utilizzo per paura di intromissioni nella propria vita privata potrebbe farci ricadere in una nuova e catastrofica ondata di contagi.