Diritti Digitali Post

Le linee guida del Garante europeo e i requisiti che l’App di tracciamento digitale dei contatti deve rispettare

24 Aprile 2020 16 min lettura

author:

Le linee guida del Garante europeo e i requisiti che l’App di tracciamento digitale dei contatti deve rispettare

15 min lettura

Molti paesi, tra i quali l’Italia, si stanno incamminando velocemente verso l’adozione di una App di contact tracing digitale (tranne il Belgio che la ritiene superflua). E questo nonostante il fatto che dall’esperienza degli altri paesi ancora non emergano evidenze sulla reale efficacia di tale strumento (rapporto dell’Ada Lovelace Institute). Ciò che si evince, invece, è che quei pochissimi paesi che hanno introdotto una App di contact tracing contano molto di più su altri strumenti (ad esempio la distribuzione capillare dei dispositivi di protezione con App che segnalano dove comprarli, la produzione massiva di test diagnostici e strutture per eseguirli, la realizzazione di chioschi su strada per i test veloci, ecc...) per contrastare la diffusione del contagio (Jason Bay, capo del progetto TraceTogether, la App di Sinagapore).

Dato comunque per scontato che la App si deve fare, e che si farà, si è passati direttamente a discutere su come farla e se eventualmente imporla ai cittadini (renderla più o meno obbligatoria). Questo perché tra i vari “contro” della famigerata App, l’esperienza dei paesi dell’est asiatico ci dice che se non è usata dalla maggioranza della popolazione (stime variabili tra il 50 e il 60%) sarebbe inutile. A questo proposito sorge il primo dubbio in relazione al fatto che l’uso degli smartphone in Italia è attestato su poco più del 60% (dati 2020) mentre Singapore è accreditata di oltre il 90%.

Linee Guida dell’EDPB

Il 21 aprile è intervenuto il Comitato dei Garanti europei (European Data Protection Board, un organismo consultivo indipendente composto da un rappresentante della varie autorità nazionali, dal Garante europeo della protezione dei dati, nonché da un rappresentante della Commissione). con le linee guida (Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak) per fare chiarezza sui requisiti che questa App dovrà rispettare. Comunque il Garante europeo aveva già pubblicato alcune raccomandazioni in tema, che seguivano quelle analoghe del Garante italiano, al quale occorre dare atto che è intervenuto più volte a dirimere gli aspetti più scottanti della questione. Anche la Commissione europea è intervenuta con delle raccomandazioni, e lo stesso Parlamento europeo ha pubblicato una Risoluzione. Insomma, le istituzioni nazionali ed europee hanno ampiamente chiarito come dovrà essere questo strumento tecnologico per essere conforme alle leggi vigenti in Europa e quindi rispettare i diritti fondamentali dei cittadini, cioè quei diritti che ci distinguono dai paesi autoritari.

Il Comitato dei Garanti europei premette che le soluzioni tecnologiche hanno bisogno di far parte di una strategia di sanità pubblica, nella quale devono essere presenti altri strumenti, come i test diagnostici e la tracciabilità manuale dei contatti per eliminare i casi dubbi (“subsequent manual contact tracing for the purpose of doubt removal”). Come avevamo già accennato, a Singapore la App di contact tracing digitale è stata introdotta il 20 marzo, ma nonostante essa il governo ha comunque dovuto introdurre misure di mitigazione e contenimento, finendo in lockdown ai primi di aprile.

Leggi anche >> Il caso Singapore, il sistema investigativo (non solo) tecnologico per contrastare le epidemie, e la privacy

Del resto lo stesso Jason Bay, a capo del progetto TraceTogether ha detto chiaramente che allo stato nessun sistema di tracciamento digitale dei contatti in qualsiasi parte del mondo è pronto per sostituire il tracciamento manuale.

“If you ask me whether any Bluetooth contact tracing system deployed or under development, anywhere in the world, is ready to replace manual contact tracing, I will say without qualification that the answer is, No. Not now and, even with the benefit of AI/ML and — God forbid — blockchain 😂 (throw whatever buzzword you want), not for the foreseeable future”.

TraceTogether è nato per integrare il tracciamento dei contatti “manuale”. I falsi, positivi o negativi, hanno conseguenze sulla vita reale (e sulla morte) delle persone. Un algoritmo automatizzato genera sempre sia falsi positivi che negativi. Anche un operatore umano può sbagliare, la differenza è che l’operatore umano può correggere l’errore cercando e incorporando nuove informazioni (es. essere all’aperto o al chiuso, un contatto al chiuso è sempre più pericoloso di uno all'aperto, la presenza di elementi che disturbano il segnale BLE, ecc…) per il caso specifico dubbio. Ed è proprio questo che i garanti intendono quando specificano che occorre sempre un operatore umano per eliminare i casi dubbi, cioè i falsi positivi o negativi, cosa che un sistema di intelligenza artificiale non potrà mai fare (tocchi una maniglia usata 1 minuto prima da un infetto, la App non te lo dirà mai). Singapore è l’unico paese al momento che ha una qualche esperienza in merito a questo tipo di strumento.

L’EDPB continua puntualizzando che l’uso dei dati e della tecnologia per supportare il contrasto del virus deve essere mirato a rafforzare il controllo da parte dei cittadini, piuttosto che a sorvegliarli, stigmatizzarli o reprimerli. Le tecnologie basate sui Big Data non sono neutrali e tendono a replicare forme di discriminazione sociale già presenti nella società odierna, amplificandole. Quindi occorre fare attenzione a che non si realizzino ulteriori forme di stigma e discriminazione sociale che andrebbero a impattare sui soggetti più deboli, che invece sono quelli che dovrebbero essere maggiormente protetti.

Anche qui soccorre l’esperienza di altri Stati, ad esempio la Corea del Sud, certe volte additata come “modello virtuoso” che avrebbe “sconfitto” il virus grazie alle nuove tecnologie. In realtà nella Corea del Sud il risultato è stata una esposizione eccessiva di dati dei cittadini esposti alla gogna pubblica. Al punto che la stessa Commissione nazionale per i diritti umani si è dovuta far sentire.

Leggi anche >> Coronavirus: l’uso della tecnologia, il modello coreano e la tutela dei dati personali

Due scenari

Nelle linee guida l’EDPB prende in considerazione due possibili scenari:

  • 1. Uso dei dati di localizzazione
  • 2. Uso di strumenti contact tracing digitale.

La differenziazione è importante perché, come spiegato altrove, il dato di localizzazione non è sufficientemente preciso per il contact tracing, per cui la sua utilità dovrebbe essere limitata ad altre finalità. Il Garante europeo sostiene che tali dati potrebbero essere utilizzati per realizzare modelli di diffusione del contagio, al fine di verificare l’utilità delle misure di contenimento sociale (in questo senso è più una finalità di polizia che sanitaria). È pacifico che in tale veste non occorre che i dati siano identificativi, per cui possono essere utilizzati solo dati anonimizzati (aggregati), come del resto già si fa (sia Apple che Google hanno pubblicato dei report che mostrano come la maggioranza degli italiani rispetta la quarantena nazionale).

Questo tipo di dati deve essere anonimo (o anonimizzato). Oppure se il dato indica la posizione del singolo occorre il consenso dell’utente. Parliamo della disciplina di cui al Regolamento europeo (GDPR) e alla direttiva ePrivacy (art. 5.3) dalle quali non si può prescindere. Il dato non è anonimo solo perché è estrapolato singolarmente senza una connessione con altri dati (ad esempio non è legato ad un nome), ma diventa anonimo se sottoposto ad un corretto procedimento di anonimizzazione. In genere l’anonimizzazione si realizza nel momento in cui i dati finiscono in un enorme calderone a costituire un dataset, cioè vengono trattati come dati aggregati. In caso contrario il dato, anche se in apparenza può sembrare anonimo (il dato di localizzazione alla fine è un numero) deve essere trattato come dato pseudonimo (che è sempre un dato personale e quindi soggetto alle norme del GDPR e della direttiva ePrivacy).

Requisiti della App di contact tracing

Venendo alla App di contact tracing, l’EDPB ci tiene a premettere che il monitoraggio su larga scala della localizzazione o dei contatti tra le persone è una grave intrusione della privacy, che può essere legittimata solo in base alla volontaria adozione da parte dell'utente per la specifica finalità (una finalità sanitaria è differente da una finalità di polizia). Secondo l’EDPB la App dovrebbe avere i seguenti requisiti.

1) Il titolare del trattamento dovrebbe essere l’autorità sanitaria nazionale e nel caso in cui il trattamento coinvolga altri soggetti (responsabili esterni) i loro ruoli dovrebbero essere specificamente definiti e spiegati agli utenti. Per capirci, se l’elaborazione dei dati viene appaltata a un privato i cittadini devono sapere chi è il privato, cosa fa e come lo fa. In base alle norme, il privato non potrà utilizzare i dati per finalità differenti rispetto a quelle strettamente sanitaria, quindi quei dati non potranno essere utilizzati per profilare la popolazione a fini commerciali o di altro tipo. Un eventuale riuso dei dati sarebbe ammesso solo per finalità compatibili (es. statistiche, previa anonimizzazione dei dati). In paesi come la Cina, invece, è generalmente consentito il riuso per finalità completamente differenti, in questo modo un soggetto che è in dissenso politico col regime può subire discriminazioni nella mobilità, nell’accesso ai servizi, alla previdenza, ecc…

L’EDPB esclude anche la possibilità che i dati possano essere usati per attività delle forze dell’ordine, in quanto tali attività possono essere espletate in altro modo, e l’uso dei dati così raccolti sarebbe sproporzionato e non necessario.

2) I dati trattati devono essere quelli strettamente indispensabili per la finalità stabilita, in ossequio al principio di minimizzazione. Se lo scopo perseguito è quello di tracciare gli infetti, è abbastanza evidente che l’unico dato che a noi occorre è un dato di “contatto” (proximity data come l’identificativo Bluetooth), mentre un dato di geolocalizzazione ci dice qualcosa di più (il luogo dove è avvenuto il contatto) che non è necessario. Il dato di geolocalizzazione, ad esempio, consente di conoscere nel dettaglio le abitudini di una persona, se va in chiesa, se va in ospedale, in un centro di salute specializzato, se va in una sede politica, se va dagli alcolisti anonimi, se va in una casa di appuntamenti, e così via. È un dato che consente di fare deduzioni molto precise sulla vita di una persona, e tali deduzioni potrebbero essere utilizzate per discriminarlo. Quindi è un dato non proporzionato rispetto alla finalità di contrasto al virus.

La tecnologia "Bluetooth Low Energy" è perfetta per tale compito, non implicando la necessità di raccolta di nessun ulteriore dato. Il Garante chiarisce che i dati trattati devono essere solo degli identificatori pseudonimi generati dall’applicazione e rinnovati continuamente nel tempo, in modo da impedire l’identificazione fisica della persona.

3) I dati devono essere conservati sul terminale dell’utente. Non stiamo realizzando un sistema di sorveglianza della popolazione, ma un sistema per verificare dopo che una persona è stata trovata contagiata se altri soggetti possono essere stati esposti al rischio di contagio. In questa ottica in moltissimi casi i dati raccolti non saranno mai utilizzati. Solo nel momento in cui un individuo viene trovato infetto a seguito di test diagnostico (quindi a seguito del coinvolgimento dell’autorità sanitaria) i dati di prossimità presenti sul suo terminale vengono effettivamente utilizzati, in caso contrario quei dati non devono essere esposti a nessun rischio di abuso o di perdita.

L’EDPB non prende posizione sulla questione se l’applicazione debba essere basata su un trattamento centralizzato (come dovrebbe essere il PEPP-PT, qui le ultime dichiarazioni del capo del progetto) oppure decentralizzato (come in Svizzera e in Estonia, in Austria la soluzione è ibrida al momento, ma dovrebbe passare alla soluzione decentralizzata cioè al DP-3T, in Italia la App Immuni, della quale si sa ancora troppo poco, dovrebbe adottare il modello decentralizzato di Apple/Google), anche se occorre dire che il Parlamento europeo ha invitato ad usare l’approccio decentralizzato (par. 52). L’importante è che le misure di sicurezza implementate siano adeguate. È ovvio che nel primo caso le misure di sicurezza devono essere maggiori, in quanto la centralizzazione dei dati in un server comporta maggiori rischi. Ed è per questo che il Garante precisa che sul server eventuale vanno raccolti solo gli identificatori pseudonimi dell’utente diagnosticato come infetto a seguito di un controllo delle autorità sanitarie, oppure, in alternativa, sul server potranno essere caricati una lista di identificatori pseudonimi degli utenti infetti o dei loro contatti ma solo per il tempo necessario per informare i potenziali soggetti a rischio di esposizione. In nessun caso si dovrebbe cercare di identificare i soggetti potenzialmente a rischio.

Qui l’EDPB introduce un ulteriore elemento. Un contact tracing attuato sia manualmente che digitalmente (tramite App) potrebbe portare alla necessità di raccogliere ulteriori informazioni con riferimento al solo soggetto infetto. La App potrebbe raccogliere informazioni ulteriori rispetto al dato di contatto, ma queste informazioni devono rimanere sui terminali degli utenti a meno che non vi sia un preventivo e specifico consenso dell’utente.

4) L’uso della App deve essere volontario. Questa aspetto è già stato rimarcato in precedenza dall’EDPB. Dice l’EDPB che la base giuridica preferibile in questo contesto è l’esecuzione di un compito di interesse pubblico di cui all’art. 6.1.e del GDPR, piuttosto che il consenso.

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
….
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
….

La base giuridica serve a garantire la liceità del trattamento. L’articolo 6.3 chiarisce che la base giuridica di cui al 6.1.e deve essere stabilita dal diritto dell'Unione o dello Stato membro. Cioè occorre una legge perché si utilizzi la App per l’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale legge potrebbe contenere disposizioni per adeguare le norme del GDPR al periodo dell’emergenza (solo per tale periodo), ad esempio le tipologie dei dati, le comunicazioni, le limitazioni della finalità, ecc… Tale legge in particolare dovrebbe stabilire i criteri per l’eliminazione dei dati raccolti per la finalità stabilita, assegnandone la responsabilità ad uno specifico ente (in genere il titolare, cioè il ministero della salute), al termine dell’emergenza.

In assenza di una tale legge l’unica base giuridica utilizzabile è il consenso dell’individuo (che è sempre revocabile), ma in questo caso le normali regole del GDPR non possono essere limitate. Tra l’altro, trattandosi di dati sulla salute il consenso dovrebbe essere esplicito (cioè non basta scaricare la App e attivarla) oltre che informato. Soprattutto, il consenso deve essere libero. Cioè l’interessato (l’utente dello smartphone) deve essere in grado di operare una scelta effettiva senza subire intimidazioni, né conseguenze negative a seguito del mancato conferimento del consenso. Ciò vuol dire che se il mancato uso (o installazione) della App è legato a delle conseguenze giuridiche di qualsiasi tipo che possono incidere negativamente sull’individuo tale tipo di imposizione finisce per essere in contrasto con le norme.

Il fatto che la base giuridica sia la legge non vuol dire che la App può essere imposta ai cittadini. Il Comitato dei Garanti europei precisa, infatti, che l’uso della App deve essere strettamente volontario, e non deve condizionare in nessuno modo l’accesso ai diritti garantiti dalle leggi vigenti. Cioè non è legale imporre delle restrizioni (discriminazioni) ai cittadini se non scaricano o usano la App, come ad esempio l’accesso ai test diagnostici o addirittura alle cure (se non usi la App passi in coda rispetto a quelli che la usano) o alla mobilità (se non usi la App non puoi uscire di casa) o al diritto al lavoro (se non usi la App non puoi lavorare).

Innanzitutto perché è un obbligo inesigibile. Ci sono persone che non hanno uno smartphone (perché non lo sanno usare, perché non lo vogliono usare...) e obbligarle a comprarlo non è possibile. Ci sono anche persone che non si possono permettere di comprarne uno (teniamo presente che dovrebbe essere uno a testa, in famiglie numerose può essere un problema). E non è tanto il costo dello smartphone quanto il costo del piano dati. Secondo i dati forniti dal DP-3T il traffico di dati dovrebbe variare tra 1,3MB e 600MB. Una media dovrebbe essere intorno ai 110MB al giorno. Moltiplicato per 30 giorni, se consideriamo famiglie numerose, il costo può essere proibitivo per persone che già si trovano in condizioni disagiate (un problema molto più pressante, crediamo, è di vedere come mettere in condizioni queste famiglie per consentire ai figli di seguire tutti, contemporaneamente, le lezioni da casa).

Inoltre un obbligo del genere è in contrasto non solo con la Costituzione italiana, che stabilisce che i cittadini sono tutti uguali senza distinzioni di condizioni personali e sociali, e vieta forme di restrizione della libertà personale se non in casi estremamente specifici. Il “dovere di solidarietà” di cui all’art. 2 al massimo si può configurare nell’isolarsi a casa se sai di essere contagiato, ma non dimentichiamo che la App traccia tutti indipendentemente dallo status epidemiologico (infetti e non infetti).

Infine, una App di questo tipo deve salvare dati sul terminale dell’utente. Questo tipo di attività rientra tra quelle normate dall’articolo 5, par. 3, della direttiva 2002/58 (ePrivacy) che recita così:

Articolo 5
Riservatezza delle comunicazioni
…..
3. Gli Stati membri assicurano che l'uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente interessato sia stato informato in modo chiaro e completo, tra l'altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento. Ciò non impedisce l'eventuale memorizzazione tecnica o l'accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente.

Pacificamente il trattamento in questione non rientra nell’esenzione della memorizzazione tecnica al fine di effettuare o facilitare la comunicazione. L’articolo menzionato prevede, quindi, innanzitutto una comunicazione (informativa) che sia chiara e completa sulle finalità del trattamento e la possibilità di rifiutare il trattamento. Cioè l’uso della App deve essere volontario, come del resto richiesto anche dal Parlamento europeo.

La App in questione rientra nella regolamentazione prevista dalla ePrivacy, come già chiarito in altro articolo, laddove la direttiva richiama il consenso (non essendo definito nella direttiva) di cui al GDPR (art. 4). L’art. 15 della direttiva ePrivacy prevede anche la possibilità di introdurre misure legislative a tutela della sicurezza nazionale e pubblica, purché siano (Considerando 11) “appropriate, strettamente proporzionate allo scopo perseguito, necessarie in una società democratica ed essere soggette ad idonee garanzie conformemente alla precitata Convenzione europea di salvaguardia dei diritti dell'uomo e delle libertà fondamentali” (vedi anche l’art. 23 GDPR). Le eccezioni sono possibili “soltanto in presenza di determinate condizioni e dopo essere stati resi anonimi oppure con il consenso degli utenti o degli abbonati” (Corte UE, C-203/15). Ritorniamo quindi alla legge, che però comunque non consentirebbe di imporre l’uso della App ai cittadini o di subordinare servizi pubblici essenziali all’uso della stessa.

5) Il software deve essere pubblico e deve essere sempre possibile una revisione del suo funzionamento da parte di esperti indipendenti. Il Garante non entra nel merito del tipo di licenza applicabile, l’importante è che il codice sorgente sia ispezionabile da chiunque in modo che sia verificabile il reale funzionamento della App a prescindere dalle informazioni fornite dal produttore. Insomma, massima trasparenza verso i cittadini.

6) In nessun caso l’imposizione di obblighi a carico del cittadino deve dipendere dall’esclusiva valutazione dell’algoritmo, ma deve esserci sempre una valutazione di un operatore sanitario. La App può ovviamente lanciare dei warning, degli allarmi che avvertono una persona che nell’immediato passato probabilmente è stata a contatto ravvicinato con un soggetto poi risultato infetto. Non devono però conseguire particolari obblighi a carico del cittadino se non interviene il giudizio di un operatore sanitario. Questo è un punto essenziale sul quale il Garante italiano ha aggiunto che in assenza di test diagnostici la App non avrebbe una reale utilità. Sicuramente il cittadino potrà, volontariamente, porsi in auto-isolamento, ma obblighi giuridici devono derivare solo da un operatore sanitario. Per cui occorre che il cittadino che riceve il warning abbia un accesso in tempi brevi ai test diagnostici. In assenza di tutto ciò, il rischio di porre delle limitazioni ai diritti costituzionali di un cittadino che poi risulta non infetto sono troppo elevati. Insomma, non si può e non si deve lasciare la App a svolgere da sola questo pericoloso compito, come del resto hanno sostenuto più volte i funzionari governativi di Singapore.

In questa ottica anche il caricamento di dati di un soggetto nel sistema (centralizzato o decentralizzato) deve essere sempre una conseguenza di una valutazione di un operatore sanitario, che invia un codice specifico all’utente della App, codice che sblocca l’apposita funzione di caricamento. In tal modo si evitano fenomeni di trollaggio o peggio.

7) Occorre una DPIA, cioè una valutazione di impatto del trattamento che analizzi nel dettaglio i possibili rischi e le conseguenze di ogni tipo sui cittadini, in modo da consentire l’approntamento delle misure di mitigazione del rischio, prima che inizi il trattamento stesso. E questo è pacifico trattandosi di un trattamento che potenzialmente riguarda l’intera popolazione ed è ad alto rischio.

Fiducia e trasparenza

La Ministra dell’Innovazione Pisano ha detto: «Di app ce ne sono di vario tipo, noi prediligiamo quelle volontarie. Con noi nella valutazione c'è il Garante della Privacy che ci aiuterà a definire la migliore».

Le istituzioni nazionali ed europee stanno svolgendo un ottimo lavoro nel fornire pareri e raccomandazioni su come utilizzare strumenti tecnologici estremamente invasivi contemperando i diritti in gioco. Le indicazioni del Ministero sono in linea con quanto indicato dalle istituzioni europee.

Un elemento sul quale ci è spesi fin da subito è che in un paese democratico non ci si può basare sull’imposizione e la coercizione, perché attiva forme di resistenza che alla lunga rendono lo strumento del tutto inutile. È essenziale, quindi, che l’uso dello strumento sia basato sulla fiducia individuale, senza penalizzazioni. Non dimentichiamo che, nonostante la narrativa da guerra sulla quale insiste certa stampa e certi politici, stiamo parlando di cittadini che nella quasi totalità dei casi non solo non hanno commesso alcun reato, ma non hanno posto in atto alcun comportamento lesivo di diritti altrui. Il semplice andare al lavoro, o a fare la spesa, in farmacia, ma anche lo svago, sono attività costituzionalmente tutelate, che possono essere limitate solo nella fase dell’emergenza e non oltre. Non possiamo stravolgere la nostra società comportandoci per sempre come fossero attività “pericolose”.

La fiducia si ottiene con la trasparenza e una corretta informazione, non trattando i cittadini come se fossero degli idioti ma responsabilizzandoli. Ed è esattamente quello che ha detto l’EDPB.

Leggi anche >> Pandemia, app e tecnologia: un test per le democrazie

Immagine in anteprima via Pixabay.com

Iscriviti alla nostra Newsletter

  Consenso all’invio della newsletter: Dai il tuo consenso affinché Valigia Blu possa usare le informazioni che fornisci allo scopo di inviarti la newsletter settimanale e una comunicazione annuale relativa al nostro crowdfunding.
Come revocare il consenso: Puoi revocare il consenso all’invio della newsletter in ogni momento, utilizzando l’apposito link di cancellazione nella email o scrivendo a info@valigiablu.it. Per maggiori informazioni leggi l’informativa privacy su www.valigiablu.it.
Segnala un errore