Normative europee

Immuni e altre app di contact tracing: pericoli e opportunità

Qualsiasi app sviluppata per il contrasto alla diffusione del Covid-19 dovrà attenersi ai principi di consenso e di minimizzazione del GDPR, trovando sempre il punto di equilibrio tra il diritto alla libertà e riservatezza dell’individuo e il diritto alla salute di tutti

24 Giu 2020

Francesco Rampone

Associazione Blockchain, La Scala

Le misure di distanziamento sociale potranno solo rallentare la diffusione del Covid-19 e molto probabilmente dovremo imparare per un certo periodo a convivere con la minaccia permanente di nuovi focolai di infezione, almeno fino a quanto non sarà scoperto un vaccino, una cura o quantomeno uno strumento diagnostico rapido e sicuro[1].

Dobbiamo quindi immaginare che un’App caricata sul nostro smartphone – non esiste solo la tanto discussa Immuni e il mercato è aperto alla concorrenza – ci avvertirà se abbiamo avuto contatti con una persona infetta, se stiamo entrando in un’area ad alto tasso di contagio o se in nostra prossimità staziona una persona che è stata in contatto con soggetti infetti. La stessa app ci potrebbe avvisare di nuove disposizioni legislative in tema di mobilità e servizi, oppure allertarci se i nostri spostamenti abituali devono essere modificati per seguire percorsi meno affollati o a minor rischio di infezione. Infine, potrebbe ricordaci di fare controlli di temperatura, pulsazioni e altre condizioni fisiche comunicando i dati direttamente al nostro medico curante. Non solo i nostri spostamenti potrebbero essere monitorati, ma anche le nostre frequentazioni potrebbero far parte di un programma di rintraccio dei contatti umani avuti dalle persone infette nei giorni precedenti il manifestarsi dei sintomi.

Questa mole di dati, poi, può essere trattata in forma aggregata dalle strutture e istituzioni sanitarie per pianificare misure di contenimento dei contagi e apprestare le opportune risorse sanitarie per tempo.

Tutto questo può rassicurare o spaventare, a seconda dell’orientamento politico e filosofico di ciascuno di noi. Sta di fatto che, come vedremo tra poco, la Commissione Europea si è mossa per tempo prefigurando questo scenario di “contact tracing” massivo (il tracciamento della popolazione via smartphone), promuovendo un approccio integrato e coordinato tra tutti i Paesi europei rispettoso del diritto alla riservatezza e alla protezione dei dati personali, nei limiti ovviamente di un bilanciamento con il preminente diritto alla salute.

Pandemia e tecnologia digitale

Praticamente ciascuno di noi porta sempre con sé un dispositivo mobile costantemente connesso alla rete Internet. Oggi, quindi, abbiamo un formidabile strumento monitorare e contenere crisi epidemiologiche come quella che stiamo vivendo e applicare politiche sanitarie assai efficaci.

In particolare, gli smartphone possono essere di aiuto per svolgere meglio le seguenti funzioni:

  1. informare e avvisare i cittadini sulle corrette regole da seguire per il rispetto dei provvedimenti dell’autorità;
  2. fornire all’utente strumenti di autodiagnosi per allertare le strutture sanitarie e prepararle ad un intervento immediato in caso di sintomi gravi e circostanziati;
  3. verificare il rispetto della quarantena e il divieto di assembramenti;
  4. allertare le persone che sono state in contatto con soggetti risultati positivi al contagio;
  5. verificare il rispetto delle misure di isolamento e quarantena per impedire l’insorgere di nuovi focolai;
  6. ricostruire gli spostamenti e i contatti dei soggetti infetti prima del loro confinamento[2].

Non va poi trascurato il fatto che l’uso diffuso di applicazioni correlate all’epidemia è un ottimo modo per mantenere vigile la coscienza sociale e prevenire l’allentamento delle misure restrittive imposte alla popolazione naturalmente propensa all’adozione nel tempo di condotte sempre più lassiste.

L’efficacia di queste soluzioni software è tuttavia apprezzabile solo laddove la percentuale della popolazione che le adotta (cittadini che effettuano il download e attivano l’app dando il consenso al trattamento dei loro dati) sia considerevole e se i dati da loro raccolti possano confluire all’occorrenza in un unico centro di elaborazione per compiere analisi di big data. Naturalmente, tutto questo in un quadro di estrema attenzione alle adeguate misure di sicurezza e alla verifica della necessità o opportunità dei trattamenti.

La stessa Commissione Europea, infatti, con Raccomandazione dell’8 aprile scorso, pur riconoscendo che le app possono essere assai utili, ci ricorda che allo stato non è comprovato quale sia l’effettivo vantaggio nel loro uso.

I pericoli connessi all’uso indiscriminato delle App

WEBINAR
Network e Security Automation: i vantaggi per le aziende
Sicurezza
Software

Non dobbiamo dimenticare che il GDPR nasce proprio dall’esigenza, avvertita prepotentemente nel secondo dopoguerra, di difendere il singolo cittadino, la sua identità e unicità – i suoi diritti fondamentali –, dal potere dell’autorità centrale e dal perseguimento indiscriminato degli obiettivi di profitto delle imprese.

In tale prospettiva, il trattamento dei dati personali, soprattutto di quelli a carattere particolare (es.: dati relativi alla salute), è soggetto ad una serie di prescrizioni affinché sia compiuto solo con il consenso informato dell’interessato ovvero, in assenza di questo, ridotto al minimo indispensabile per il perseguimento di obiettivi apprezzabili di tutela, da valutare caso per caso. Si tratta del c.d. bilanciamento di interessi dove su un piatto della bilancia si tutela il diritto alla libertà e riservatezza dell’individuo, sull’altro il diritto alla salute di tutti.

È quindi bene ribadire che qualsiasi app sviluppata per il contrasto alla diffusione del Covid-19, dovrà attenersi ai principi di consenso e di minimizzazione, trovando sempre il punto di equilibrio tra i diritti su indicati.

Questo equilibrio è presto trovato in caso di consenso dell’individuo. Più difficile è invece stabilire quando, a prescindere dal consenso dell’interessato, il trattamento dei suoi dati personali è ciò nondimeno legittimo per la tutela di interessi generali superiori. L’art. 9.2 del GDPR consente infatti il trattamento «per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero». In termini più specifici si esprime il considerando 46 del medesimo Regolamento: «Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando […] è necessario per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione».

La Raccomandazione della Commissione Europea

L’accennata Raccomandazione della Commissione Europea ha l’obiettivo di indirizzare il mercato verso lo sviluppo di soluzioni informatiche di contact tracing evitando tuttavia che il trattamento dei dati personali, sia da parte di governi nazionali, sia da parte di aziende private, si risolva in una diffusa violazione della privacy, della security e della riservatezza dei cittadini[3].

Benché la Raccomandazione sia solo un atto di indirizzo, non vincolante per gli stati membri, essa segue il protocollo indicato nel 2013 dalla Decisione 1082/2013/UE del Parlamento e del Consiglio del 22 ottobre 2013 che ha stabilito che tutti i paesi devono reagire in modo unitario «in materia di sorveglianza epidemiologica, monitoraggio, allarme rapido e lotta contro le gravi minacce per la salute a carattere transfrontaliero, compresa la pianificazione della preparazione e della risposta in relazione a tali attività» (art. 1). Obiettivo del documento è quindi quello di coordinare le iniziative dei singoli paesi in modo da garantire interoperabilità tra le varie soluzioni e rispetto dei diritti fondamentali dell’individuo.

Sulla base delle indicazioni fissante nella Raccomandazione, la Commissione ha proseguito il suo lavoro attraverso l’eHealth Network – organo già operativo e istituito dalla Direttiva 2011/24/EU concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera – producendo due atti di carattere esecutivo. Dei veri e propri toolbox, ovvero guide che forniscono chiare e dettagliate indicazioni su come realizzare le app di contact tracing per limitare e proteggere quanto più possibile il trattamento di dati personali ed evitare in particolare che siano utilizzati per fini estranei al contrasto dell’epidemia (es.: fini commerciali o di intelligence). Si tratta del:

  • Mobile applications to support contact tracing in the EU’s fight against COVID-19 del 15 aprile 2020 (qui); e del
  • Interoperability guidelines for approved contact tracing mobile applications in the EU del 13 maggio 2020 (qui).

In sintesi, tali documenti individuano le misure di sicurezza tecniche per garantire la condivisione a livello europeo dei dati fornendoli all’ECDC (l’European Centre for Disease Prevention and Control) affinché valuti l’efficacia di algoritmi predittivi ed elabori strategie di contenimento di più ampio respiro.

Il primo documento in particolare, indica inoltre le regole e i principi generali di legittimo trattamento prescrivendo che:

  1. le app di contact tracing devono essere utilizzate su base volontaria e approvate dall’autorità sanitaria nazionale;
  2. i dati di prossimità e di geolocalizzazione, ove richiesti, possono essere raccolti solo in modo anonimo e aggregato;
  3. deve essere programmata la periodica revisione dei tempi e finalità di trattamento al fine di interromperlo non appena raggiunto lo scopo della raccolta;
  4. vanno implementati specifici protocolli di cancellazione definitiva dei dati raccolti, salvo i casi di interesse pubblico per cui i dati possono essere conservati in via eccezionale.

I toolbox (e gli altri atti che eventualmente seguiranno) sono soggetti a costante aggiornamento, attingendo, quanto agli aspetti più tecnici, al lavoro già svolto dalla ENISA (European Union Agency For Network and Information Security, un’agenzia decentrata dell’Unione Europea che svolge compiti di consulenza per la sicurezza informatica) su Privacy and Data Protection in Mobile Applications (qui).

Le App per convivere con il virus

Il lavoro della Commissione favorirà lo scambio di informazioni e tecnologie tra i Paesi membri per il raggiungimento dell’obiettivo comune di sconfiggere il virus il prima possibile, o almeno di tenerlo sotto controllo. In questo modo sarà possibile mappare e prevedere la diffusione dei contagi e far fronte con buon anticipo alle necessità dei sistemi sanitari locali.

In questa partita, le app anti Covid-19 saranno comuni sui nostri smartphone e forniranno informazioni immediate non solo ai cittadini, ma anche ai medici e istituzioni che devono intervenire. Se diventeranno obbligatorie come in alcune città della Cina, cosa che non credo, dipenderà solo da quanto saremo bravi a contenere le infezioni.

Uscire dalla crisi sanitaria non sarà facile e non avverrà dal giorno alla notte. Sarà piuttosto questione di tempo, tenacia e soprattutto rispetto delle regole da parte di ciascuno di noi, in attesa che la ricerca scientifica approdi a qualche risultato. Fino ad allora, faremo uso in qualche misura di tecnologie di sorveglianza massiva, anche al costo di comprimere alcune garanzie fondamentali di cui siamo giustamente orgogliosi in Occidente[4].

Il pericolo che, una volta superata l’emergenza sanitaria, la cultura del controllo rivendichi in modo permanente una sua dignità ordinamentale è dietro l’angolo[5]. Solo il tempo ci dirà se le nostre società di stampo liberale e democratico hanno sviluppato sufficienti anticorpi contro il modello del panopticon digitale. Un virus assai più letale del Covid-19.

  1. Il Presidente della Commissione Europea Ursula von der Leyen ha dichiarato il 12 aprile scorso che le persone più anziane potrebbero essere costrette a rimanere in regime di quarantena fino a dicembre 2020!
  2. Al momento, l’app Immuni si limita alla sola funzione del punto 4.
  3. Sul diverso e specifico piano della protezione dei dati personali si pone il lavoro dello European Data Protection Board che il 21 aprile scorso ha emanato le Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19 (qui).
  4. Abbiamo già visto che la privacy recede di fronte ad esigenze di salute pubblica. Lo stesso vale per la libertà personale. Le misure di lockdown non hanno comportato alcuna illegittima sospensione dei diritti costituzionali. È infatti la stessa Costituzione che prevede all’art. 16 che: «Ogni cittadino può circolare e soggiornare liberamente in qualsiasi parte del territorio nazionale, salvo le limitazioni che la legge stabilisce in via generale per motivi di sanità o di sicurezza».
  5. Note sono in USA le polemiche del regime praticamente perpetuo assunto dal Patriot Act, provvedimento adottato in un momento di pretesa emergenza di sicurezza nazionale sorta dopo l’attacco alle torri gemelle e mai più superato del tutto dopo quasi venti anni (il Patriot Act è stato per lo più esteso anche a marzo di quest’anno).
FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

@RIPRODUZIONE RISERVATA
R
Francesco Rampone
Associazione Blockchain, La Scala
Argomenti trattati

Approfondimenti

C
coronavirus
C
covid-19
G
GDPR

Articolo 1 di 5