Dal “contact tracing” alla “exposure notification”, cambio di paradigma reale o presunto?

Il dibattito circa la legittimità e la proporzionalità delle applicazioni di tracciamento dei contatti sembra già un lontano miraggio. Sulla scia delle linee guida dell’Unione Europea e vista la spinta di Apple e Google per la definizione di un modello che notifichi l’esposizione dell’utente al Covid-19, il termine “contact tracing” risulta obsoleto. Sul piano semantico il cambiamento è evidente. Quello che sarà da chiarire è se l’accettazione della “trasformazione digitale” delle nostre democrazie è un punto di arrivo, o piuttosto il punto di partenza per una nuova minaccia.

Dal “contact tracing” alla “exposure notification”, cambio di paradigma reale o presunto? - Geopolitica.info

Gli approcci della comunità tecnica

Uno dei dibattiti che nel mese di aprile ha scosso tanto la comunità tecnica, quanto la società civile, i governi e le società private, è stato quello riguardante gli standard da utilizzare nella creazione delle app di contact tracing: lo scontro virtuale “GPS versus Bluetooth”.

La pubblicazione, il 15 aprile, della toolbox dell’Unione Europea circa le “Applicazioni mobili per supportare il tracciamento dei contatti nella lotta dell’UE contro Covid-19” elaborata dall’eHealth Network dell’UE, ha confermato l’esistenza di un orientamento comune europeo. Viene infatti chiarito l’approccio delle applicazioni di tracciamento digitale che dovranno essere basate su un sistema Bluetooth, escludendo dunque la localizzazione dei dispositivi mobili tramite GPS, pratica ritenuta non proporzionale all’obbiettivo perseguito. Il 21 aprile è arrivato un ulteriore aggiornamento, per cui l’Unione Europea ha ufficialmente adottato le “Linee guida 04/2020 sull’uso dei dati sulla posizione e sugli strumenti di tracciamento dei contatti nel contesto dell’epidemia di COVID-19” disponibili sul sito dell’EDPB, l’European Data Protection Board.

Tuttavia, una volta risolto positivamente il dibattito verso l’adozione di sistemi basati sul Bluetooth, sorge alla luce un’ ulteriore problematica. La scissione tra le coalizioni di ricercatori europei PEPP-PT e DP-3T circa l’utilizzo di app, sì basate sul Bluetooth, che optino per un modello centralizzato, piuttosto che uno decentralizzato in materia di gestione dei dati personali. Si tratta di coalizioni che nascono con l’intenzione di formulare approcci standardizzati che rispettino – più o meno – ferree misure “pro-privacy”, da implementare nelle applicazioni attualmente in fase di sviluppo presso i differenti attori.

Da un lato vi è, dunque, la coalizione europea di ricercatori PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) che “attualmente considera due approcci per la tutela della privacy: “centralizzato” e “decentralizzato”, e continua ad essere aperto a ulteriori idee di miglioramento a supporto degli obiettivi PEPP-PT”, questo quanto presente sul sito del gruppo. La coalizione ha approfondito l’approccio basato sul sistema Bluetooth di stampo centralizzato, seppure tenga aperta qualsiasi opzione di miglioria di entrambi i modelli.  Il modello centralizzato prevede un server, appunto, centrale di gestione dei codici generati da ogni dispositivo mobile che abbia scaricato l’applicazione di tracciamento. Tali server saranno gestiti da un’autorità competente, che sia sanitaria o governativa, che ne curerà la manutenzione e il corretto funzionamento. Questo spiegherebbe anche perché il modello centralizzato, stando alle ultime dichiarazioni, sarebbe quello più quotato alcuni governi.

Dall’altro lato, vi è il gruppo DP-3T (Decentralized Privacy-Preserving Proximity Tracing) che si presenta come segue: “Siamo un consorzio internazionale di tecnologi, esperti legali, ingegneri ed epidemiologi con una vasta gamma di esperienze, che sono volte a garantire che qualsiasi tecnologia di tracciamento di prossimità non porti i governi a ottenere capacità di sorveglianza che mettano in pericolo la società civile.” DP-3T – qui è possibile consultare una breve overview del progetto/protocollo ad opera dello stesso gruppo – aggiunge una caratteristica in più nel protocollo di privacy, distaccandosi da PEPP-PT: la necessità della gestione decentralizzata dei dati, modello gestionale favorito, tra i tanti, anche dall’alleanza Google e Apple.  Ne segue che l’approccio decentralizzato promosso da DP-3T sia strutturato sull’archiviazione “in locale”, sui singoli dispositivi di telefonia mobile, dei codici identificativi generati dall’interazione tra i dispositivi. In altre parole, in questa tipologia di sistema la notifica della possibilità di contagio arriva “in automatico” con allegate le disposizioni da seguire, ma viene de facto lasciata al cittadino la responsabilità di applicare tali disposizioni.

Le problematiche sollevate dalla scelta di un approccio piuttosto che di un altro, riflettono sia questioni di privacy in senso stretto, vale a dire che un approccio centralizzato in cui confluiscano i dati di tutta la popolazione non solo porterebbe ad un alto rischio di de-anonimizzazione dei dati, ma fornirebbe da potenziale bacino di dati a disposizione discrezionale dell’ente che ne gestisce lo stoccaggio. Quest’ultimo aspetto solleva anche questioni di security, una base dati centrale costituirebbe un punto critico per il sistema paese, rendendolo oggetto di possibili violazioni ai danni sia del singolo cittadino, che dello Stato. L’approccio decentralizzato, d’altro canto, pur evitando le problematiche di cui sopra, porterebbe davvero un punto di svolta decisivo nella lotta al Coronavirus?  

La posizione dell’Italia

Una volta chiariti gli standard teorici da utilizzare e presa visione delle linee guida europee, l’Italia prosegue il dibattito circa l’implementazione delle misure di tracciamento digitale previste per la cosiddetta fase due della gestione dell’emergenza Coronavirus.

Dal 1° maggio è entrato in vigore il Decreto Legge del 30 aprile 2020, n. 28 in materia di “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19”. L’Art. 6 del suddetto Decreto Legge vuole andare a definire il funzionamento del sistema di allerta Covid-19, l’applicazione Immuni. Il Decreto ribadisce la volontarietà dell’applicazione, senza se e senza ma, e istituisce le misure tecniche e organizzative del sistema di allerta per dispositivi di telefonia mobile, “[a]l solo fine di allertare le persone che siano entrate in contatto con soggetti risultati positivi al nuovo coronavirus e tutelarne la salute attraverso le previste misure di profilassi legate all’emergenza sanitaria” così come riportato dal Comunicato Stampa del Consiglio dei Ministri n. 43. Più in dettaglio:

Così come da art. 13 e 14 del Regolamento (UE) 2016/679, anche noto come GDPR, viene stabilito che “gli utenti ricevano, prima dell’attivazione dell’applicazione, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazioneutilizzate e sui tempi di conservazione dei dati”. I dati raccolti devono altresì essere solo quelli strettamente necessari per eventualmente allertare chi fosse entrato in stretto contatto con “altri utenti accertati positivi al Covid-19” e col solo scopo di “adozione di misure di assistenza sanitaria in favore degli stessi soggetti”. 

Ne segue che “il trattamento effettuato sia basato sui dati di prossimità dei dispositivi, resi anonimi, oppure, ove ciò non sia possibile, pseudonimizzati. È esclusa in ogni caso la geo-localizzazione dei singoli utenti”, viene dunque ribadito ancora una volta l’abbandono di tecnologie GPS all’interno dell’app che avrebbero portato alla localizzazione degli utenti. Il Decreto vuole garantire “su base permanente” che vengano adottate misure volte ad evitare la re-identificazione degli interessati a partire dai dati anonimizzati o pseudonimizzati. 

Andando a chiarire i dubbi sorti nel mese di aprile circa l’effettiva volontarietà dell’applicazione: “il mancato utilizzo dell’applicazione […] non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento”. Così che il mancato utilizzo dell’app non precluda l’esercizio di alcun diritto fondamentale, come ad esempio la libertà di circolazione, specifica utile visto che nemmeno due settimane fa questo punto aveva generato grande preoccupazione nell’opinione pubblica.

Molti esperti, anche in linea con la coalizione DP-3T, avevano sottolineato la necessità di una “data di scadenza” sulla conservazione dei dati personali da parte dell’applicazione, oltre che -più in generale- una data di termine dell’utilizzo dei sistemi di tracciamento più in generale. Il Decreto fissa che “alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi”.

Circa le specifiche tecniche che dovrà seguire lo sviluppo dell’applicazione, il già citato Comunicato Stampa del Consiglio dei Ministri, riporta che “la piattaforma sia realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o società a totale partecipazione pubblica e i programmi informatici sviluppati per la realizzazione della piattaforma siano di titolarità pubblica”.

Stando a quanto riportato da IlSole24Ore, “Il modello italiano si appoggia a novità software già elaborate da Apple e Google”, le cosiddette “exposure notification” APIqui una panoramica del loro funzionamento. “L’autorità sanitaria saprà che il cittadino ha ricevuto la notifica solo se questi la contatterà. Sul server arriveranno le notifiche, ma senza alcuna associazione con l’identità del cittadino che le ha ricevute.”

La definizione delle modalità di interazione tra utenti, dispositivi e autorità sanitarie è ancora in divenire. Nonostante il Decreto Legge di cui sopra sia andato a colmare alcuni vuoti circa le caratteristiche organizzative dell’applicazione, rimane ancora evidente la necessità di chiarezza circa i meccanismi operativi del “tracciamento contatti”, o della “notifica di esposizione”. 

Alessia Sposini,
Geopolitica.info