Covid Contact Tracing App

Dossier Immuni/2: decreto, dubbi e Google sull’app

Condividi:

L’incertezza sui dati raccolti, sull’anonimato e sull’uso. Forse era meglio Google?

La prima parte del Dossier Immuni è stata pubblicata il 22 aprile 2020. Alcuni dubbi lì espressi sono ancora validi ma non sono stati ripetuti. Si consiglia la lettura.

Il decreto legge n. 28 del 30 aprile 2020 doveva fugare i dubbi nati sulle prime anticipazione di stampa dell’app Immuni. Al contrario, le domande sono aumentate. Non c’è la chiarezza richiesta e si rimane nell’incertezza, si oscilla fra la sensazione di inadeguatezza degli amministratori e il dubbio di fini secondari non dichiarati. La chiarezza degli intenti avrebbe pulito il cielo dalle nuvole che si sono addensate.

Indice degli argomenti
  1. Definizione dei termini
  2. Informativa
  3. Raccolta dei dati
  4. Conservazione dei dati
  5. Durata della conservazione
  6. Elaborazione dei dati
  7. Riuso del software
  8. Conclusione e Proposta

1.   Definizione dei termini

Prima di leggere il dl chiariamo dei concetti fondamentali: pseudonimizzazione, minimizzazione ed anonimizzazione.

L’articolo 4 nr 1 del GDPR definisce l’identificabilità delle persone come la possibilità, diretta o indiretta, di risalire dai dati online ad una identità fisica. Lo scorporo dei dati dagli elementi di riconducibilità all’identità fisica, benché reversibile, è il processo caratteristico della pseudonimizzazione (art. 4 nr 5 del GDPR). I dati scorporati devono essere conservati in un luogo e su una infrastruttura differente attuando procedure tali da non permettere la re-identificazione.

La minimizzazione dei dati (artt. 4 e 5 del GDPR) avviene quando i dati sono «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati».

Quindi, il trattamento dei dati prevede la minimizzazione dei dati e, laddove non ci sia anonimizzazione, cioè la disgiunzione fisica dei dati identificati on line, questi siano conservati a parte (pseudonimizzazione).

Passiamo quindi a leggere il decreto legge nr. 28 del 30 aprile 2020.

2.   Informativa

Il dl dichiara che gli utenti «riceveranno chiare e trasparenti informazioni al fine di raggiungere una piena consapevolezza». Proprio in questa ottica sono evidenziati alcuni punti critici su cui vorremmo maggiore delucidazioni. Ci auguriamo di non essere annoverati nel numero dei contrari o, peggio, dei sabotatori dell’app. Se avrete la pazienza di leggere fino alla fine, sarà chiara la nostra posizione e la proposta di una gestione migliore.

3.   Raccolta dei dati

L’articolo 6, comma 2, punto b si riferisce alla natura dei dati e la loro raccolta. Si dice che, secondo l’art. 25 del Regolamento EU 2016/79, i dati personali sono «esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19». Teoricamente, sono necessari solo l’ID del contatto stretto e un flag “Positivo SI/NO”. Il problema di anonimizzare i dati diventa semplice e la privacy è facilmente garantita.

La continuazione del punto b porta alla formulazione dei primi dubbi: «nonché ad agevolare l’eventuale azione di misure di assistenza sanitaria in favore degli stessi soggetti». Quali sono i dati aggiuntivi che permettono questa adozione? Quali sono le “misure di assistenza sanitaria” da agevolare? Chi non utilizzasse l’app, riceverebbe la stessa assistenza?

Il punto c dichiara che i dati saranno «resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati». Come abbiamo visto la pseudonimizzazione è un procedimento (reversibile) con cui vengono separati i dati dai loro riferimenti all’identità fisica, che devono essere ugualmente protetti e conservati in luoghi distinti. I dati pseudonimizzati sono ancora soggetti a privacy. Il seguente punto d chiede garanzie per il rispetto di queste norme.

Tutta Europa userà delle app interconnesse con infrastrutture di diversa tipologia. Cosa succederà ad un cittadino italiano in trasferta di lavoro in Francia o nel Regno Unito, dove sarà in uso un sistema centralizzato, cioè con dati su server centrali anziché sul cellulare?

4.   Conservazione dei dati

Il comma 5 dell’art. 6, afferma la titolarità pubblica della piattaforma e garantisce che le infrastrutture sono localizzate nel solo territorio nazionale. Nella sua audizione del 30 aprile 2020, la Ministra Paola Pisano ha reso noto il coinvolgimento di Sogei e PagoPa per la funzione di conservazione dei dati e sviluppo applicativo.

Se torniamo indietro al comma 2 punto e, possiamo leggere: «i dati relativi ai contatti stretti siano conservati anche su dispositivi mobili degli utenti», affermazione confermata dalla Ministra nell’audizione (con tanto di sottolineatura della congiunzione “anche”). Anche rimanda ad una differente e contemporanea memorizzazione: i dati sono conservati da qualche parte ed anche sul dispositivo digitale. Dove?

Dobbiamo parlare di infrastruttura.

Come affermato a voce dalla Ministra Pisano nell’audizione, il sistema italiano ha adottato il modello PEPP-PT e scelta l’opzione di conservazione dei dati decentralizzata. La stessa Ministra Pisano, in audizione, ha ricordato di aver adottato il modello Apple / Google. I due colossi hanno adottato un approccio di totale garanzia della privacy, memorizzando tutti i dati sul cellulare. Il netto rifiuto di cambiare questo approccio per aprirsi al sistema centralizzato, ne ha determinato l’esclusione dal consorzio PEPP-PT. All’interno di questo consorzio, l’approccio di totale sicurezza era promosso dal DP-3T che, con l’uscita di Apple / Google, è scomparso clamorosamente dal sito PEPP-PT come partnership (Wired ne ha ricostruito una storia che non ho ancora verificato). Di sicuro DP-3T non è  più un riferimento del PEPP-PT e, ricordando che questo è il riferimento italiano, ci domandiamo cosa rimane dei criteri di sicurezza e privacy .

In conclusione, il dl ed il Governo da un lato affermano l’adozione della soluzione decentralizzata, dall’altro lo negano de facto dichiarando:

  1. La pseudonimizzazione: dove sono conservati i dati identificativi?
  2. Dove sono anche conservati i dati raccolti?

5.   Durata della conservazione

I dati saranno conservati «per il periodo strettamente necessario al trattamento e sarà il Ministro della Salute a stabilirne la durata, quando i dati saranno cancellati automaticamente» (punto e).

Il comma 6, invece, dice che il sistema sarà «spento alla data di cessazione dello stato di emergenza» (31 luglio 2020) e «comunque non oltre il 31 dicembre 2020». Allo spegnimento i dati «devono essere cancellati o resi definitivamente anonimi».

Sembra di capire che la raccolta dei dati cesserà, in ogni caso, entro il 31 dicembre 2020, la loro conservazione non andrà oltre questa data a meno di essere resi “definitivamente anonimi”. Il Ministero della Salute, però, deve quantificare il tempo necessario al trattamento prima di cancellare automaticamente i dati.

Non risultano chiari alcuni aspetti:

  1. Quali dati usa il Ministero della Salute? Se usa li stessi dell’app allora non può decidere la data di cancellazione soggetta alla fine dell’emergenza o della dead line del 31 dicembre 2020. Solo se usasse dati differenti (copie? Ulteriori dati?) allora potrebbe decidere fin quando usarli indipendentemente dalla cancellazione. Ultimo caso, solo gli stessi dati ma anonimizzati così da permetterne l’uso anche post cancellazione. In questo caso, che senso a cancellarli a fine trattamento?
  2. Perché i dati non sono anonimizzati subito anziché aspettare la fine? Se non era possibile anonimizzarli in fase di raccolta, come è possibile farlo dopo (vedi sopra)?

6.   Elaborazione dei dati

Abbiamo già detto dei dubbi sulla “misure di assistenza sanitaria” (vedi sopra).

Il comma 3, in riferimento ai dati raccolti, autorizza l’«utilizzo in forma aggregata o comunque anonima, per i soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica». Tralascio le conseguenze del fatto che era già stato detto che la forma “anonima” non sarà sempre possibile (vedi sopra) e mi limito alla “forma aggregata”.

Nel momento in cui i dati vengono caricati su un server, ad esempio per aggiornare le liste dei positivi o per copiare le liste dei contatti stretti a rischio, si apre una criticità per la sicurezza e per la privacy a causa dei log files (il diario delle attività dei server), degli IP address e dei MAC address (identificativi come Codice Fiscale o Partita IVA), tipo di query (consultazioni o segnalazioni). La forma aggregata include questi dati che, con chiavi random, possono portare a l’identificazione dell’utente. Questo si evita solo con un sistema decentrato, che l’Italia non ha adottato, o con la completa anonimizzazione dei dati trattati anziché con la pseudonimizzazione.

7.   Riuso del software

La Ministro Pisano, in audizione, ha detto che il software sarà open source ed il codice rilasciato insieme all’applicazione. Open Source significa che tutti potranno accedere ai sorgenti dell’app e, ad esempio, farne una nuova versione. Questa operazione, benché di trasparenza lodevole, è sempre vincolata alla scelta del produttore di cosa voglia condividere.

Il riuso è la pratica stabilita per la Pubblica Amministrazione per mettere in comune il software utilizzato. È possibile, quindi, che l’app sia utilizzata da altre Istituzioni per usi diversi da quelli stabiliti originariamente e senza le garanzie di sicurezza e privacy oggi reclamate.

In ultimo una curiosità. Sembra che il contratto con Bending Spoons preveda 10.000 ore di sviluppo e manutenzione. Come saranno utilizzate ed a quale scopo se sono coinvolte Sogei e PagoPa?

8.   Conclusione e Proposta

L’utilizzo di un’app per controllare il disagio è necessaria, ma non può essere la scusa per promuovere azioni più o meno lecite in modo così subdolo.

Non sarebbe stato più semplice e trasparente dichiarare subito le intenzione di tracciamento e elaborazione? Anzi, dovevamo coinvolgere Google e stringere una partnership, considerando che gli abbiamo già data il consenso a geolocalizzarci (sia attraverso Google Maps sia attraverso Android) e per il trattamento dei dati personali, (guardate i dati di geolocalizzazione, ad esempio).

Speriamo che alla fine, almeno funzioni bene.

Condividi:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.