Covid-19 Da Apple e Google una piattaforma smart per le app dei sistemi di allerta

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest
Share on telegram
Telegram

Lo sviluppo di un’applicazione di tracciamento dei contatti sociali come possibile strumento per la lotta al Covid-19 risponde, specialmente nella delicatissima “fase 2” della pandemia, alla forte esigenza di informare tempestivamente i soggetti eventualmente entrati in stretto contatto con persone positive al virus, prima ancora che possano, a loro volta, essere veicolo di contagio per altri individui. Nelle ultime settimane il dibattito si è incentrato sulla necessità di individuare soluzioni tecnologiche innovative, efficaci e in linea con i principi e le regole europee sulla protezione dei dati personali (per approfondimenti: qui).

In questo contesto i due giganti della rete, Apple e Google, hanno aderito allo spirito di collaborazione che sta animando Governi, autorità sanitarie, università e istituzioni di tutto il mondo nella lotta tecnologica al coronavirus. Hanno deciso infatti di offrire il proprio contributo congiunto al fine di realizzare e di mettere a disposizione dei governi e delle autorità sanitarie uno strumento diverso da un’applicazione di tracciamento ma di fondamentale importanza per la sua operatività e per la sua efficacia.

La soluzione prospettata da Apple e Google consiste in una piattaforma di supporto per l’avviso di esposizione al rischio di contagio (“Exposure Notification Service”) e comprende delle interfacce di programmazione di applicazioni (API) che consentiranno l’interoperabilità tra le applicazioni sanitarie installate sia su smartphone iOS che su smartphone Android, per lo scambio delle chiavi anonime di prossimità rilevate via Bluetooth dai dispositivi. Questo contributo risponde a pieno al requisito tecnico dell’interoperabilità prescritto dall’e-Health Network europeo nella rassegna, pubblicata il 15 aprile 2020, sui requisiti minimi e sulle funzionalità necessari per lo sviluppo e l’impiego delle misure digitali (per approfondimenti: qui). Le API inoltre verranno costantemente aggiornate e adeguate in base ai riscontri delle autorità sanitarie.

È evidente dunque che il loro contributo al contact tracing, così come viene prospettato, non è di poco conto, in quanto stanno elaborando la tecnologia del sistema operativo sottostante alle applicazioni di tracciamento che invece verranno realizzate dagli sviluppatori incaricati dalle autorità competenti e la stessa app italiana Immuni si appoggerà alle novità software delle due aziende. Principio oramai inderogabile, e acquisito in risposta alle raccomandazioni della Commissione europea, poi condiviso dal Comitato europeo per la protezione dei dati (EDPB), è la partecipazione assolutamente volontaria al sistema (opt-in). Infatti, sarà una scelta che “dovrebbe essere fatta dai singoli come segno di responsabilità collettiva”, “l’adozione volontaria è associata alla fiducia individuale” e da ciò deriva l’importanza dei principi di protezione dei dati personali.

Chiunque abbia interesse potrà aderirvi in un primo momento e disinstallare l’app oppure disattivare il Bluetooth o la funzione di notifica dell’esposizione a propria discrezione. Il progetto non porterà, inoltre, ad alcuna forma di monetizzazione per le due aziende che, coerentemente con i principi consolidati della privacy, intendono ridurre al minimo i dati utilizzati dal sistema. La conservazione delle informazioni, comprese quelle relative alle operazioni algoritmiche per il calcolo delle corrispondenze tra le esposizioni, verrà affidata al singolo dispositivo. Il protocollo di Apple e Google infatti pone al centro della sua progettazione la privacy degli utenti, la cui protezione sarà garantita dall’utilizzo della tecnologia Beacon basata sul Bluetooth, dall’emissione di identificatori di prossimità in continua rotazione, dalla trasparente e volontaria adesione al sistema di notifica dell’esposizione e dall’eventuale consenso per la condivisione degli identificatori da parte dell’utente infetto.

Il 10 aprile 2020 le aziende hanno anticipato che l’implementazione del piano si sarebbe articolato in due fasi. È in primo luogo necessario infatti il rilascio delle API (anche dette “librerie software”) utili allo sviluppo delle app e solo successivamente gli utenti, effettuati i necessari aggiornamenti dei propri dispositivi, potranno scaricare dai rispettivi App store le applicazioni ufficiali. Quando l’applicazione mobile sarà pronta per l’installazione, prima dell’attivazione del sistema, gli utenti potranno prestare il proprio consenso ai termini e alle condizioni e se la medesima tecnologia verrà implementata su entrambi i sistemi operativi, non si incontreranno limitazioni legate alla piattaforma in uso. Questa settimana Apple e Google hanno rilasciato agli sviluppatori le piattaforme in versione beta 3 di iOS 13.5 affinché questi possano cominciare a testare le applicazioni di tracciamento e a valutare il loro impatto sui dati che verranno raccolti. Attualmente però sembrerebbero esclusi dal sistema alcuni dispositivi Android, come Huawei e altri commercializzati in Cina, e gli smartphone iOS lanciati negli ultimi quattro anni.

La seconda fase del piano invece verrà realizzata nei prossimi mesi. Apple e Google rilasceranno per i rispettivi sistemi operativi degli aggiornamenti per il tracciamento dei contatti sociali ma senza richiedere l’installazione di un’applicazione sul dispositivo. La funzione di notifica dei contatti infatti verrà eseguita direttamente dallo smartphone, il quale suggerirà anche l’applicazione ufficiale da scaricare per informarne le autorità sanitarie degli eventi sospetti.

I due giganti dell’informatica condividono l’approccio decentralizzato fatto proprio dal progetto europeo DP-3T (“Decentralized Privacy-Preserving Proximity Tracing”) il cui principale obiettivo è promuovere la salute mediante una diagnosi tempestiva della potenziale esposizione al virus senza raccogliere dati sulla posizione e senza monitorare il rispetto delle misure di quarantena, di confinamento o di distanziamento sociale cui sarebbero tenuti gli individui. Allo stesso modo chi risulta positivo al virus non verrà tracciato né sarà protagonista di meccanismi volti a garantire il rispetto degli ordini medici: “l’obiettivo dell’app è quello di evitare che utenti asintomatici diffondano inconsapevolmente una malattia” (Per approfondimenti: qui).

Il sistema utilizzerà la tecnologia Bluetooth Low Energy (BLE) che per la raccolta di segnali, presenti nel raggio di azione di circa due metri, consumerà una percentuale di batteria dei dispositivi mobili molto bassa e permetterà ai telefoni di generare, trasmettere e di registrare localmente dei codici identificativi unici (e casuali) che cambieranno ogni 15 minuti circa (“Rolling Proximity Identifiers”). Le specifiche tecniche del protocollo sulla “notifica di esposizione” prevedono che venga generata crittograficamente e per il singolo smartphone una “Temporary Exposure key” valida per 24 ore e che, a sua volta, genera la Rolling Proximity Identifier key e la Associated Encrypted Metadata key per la cifratura dei metadati trasmessi, insieme agli ID, dagli smartphone.

I cellulari registreranno e conserveranno per 14 giorni i segnali, o meglio i codici crittografati, trasmessi nelle vicinanze conservandoli nella lista di contatti interna. La tecnologia scaricherà quotidianamente dal server le “Diagnostic Keys”, ossia il complesso di “Temporary exposure Keys” dei soggetti diagnosticati positivi al virus (“lista di diagnostica”) e il singolo dispositivo mobile verificherà eventuali corrispondenze tra i beacons registrati localmente e quelli presenti nella lista dei positivi del server e, in caso di conferma, riceverà la notifica e le indicazioni sui successivi passi da compiere. L’autorità sanitaria autorizzerà l’utente diagnosticato positivo, che abbia prestato il proprio libero consenso, ad inserire un codice casuale e monouso sul server back end  e a nessuno sarà possibile risalire al codice segreto o all’identità degli utenti e nessun tipo di dato, personale o di localizzazione, verrà raccolto o reso disponibile agli altri utenti né alle aziende stesse che, al contrario, hanno evidentemente scelto un sistema che mira a garantire standard della privacy molto alti.

Al fine di assicurare che i calcoli algoritmici vengano eseguiti solo ed esclusivamente sullo smartphone, e che i relativi risultati siano conservati sullo stesso, il sistema si servirà dell’Advanced Encryption Standard (AES), un algoritmo di cifratura a blocchi particolarmente efficiente.

Le funzionalità del sistema costituiscono una perfetta risposta alle sollecitazioni del Toolbox europeo per la salvaguardia dell’identità personale e nel rispetto della riservatezza attraverso le tecniche della crittografia e della pseudonimizzazione, al fine di escludere rischi di stigmatizzazione delle persone infette o con esse entrate in stretto contatto. A tal proposito si è già pronunciata Andrea Jelinek, presidente dell’EDPB, che ha ribadito la necessità di evitare la stigmatizzazione grazie all’impossibilità di re-identificare qualsiasi soggetto coinvolto, sia infetto che non. L’EDPB inoltre “suggerisce vivamente di non memorizzare alcun dato identificativo diretto nel dispositivo dell’utente e di cancellarlo in ogni caso il prima possibile” (per approfondimenti: qui).

Le autorità sanitarie saranno competenti anche per la definizione dei parametri relativi alla durata e alla distanza approssimativa del contatto sociale definendo una soglia di intensità, superata la quale dovrebbe attivarsi la funzione di notifica dell’app per segnalare all’utente l’avvenuta esposizione al virus. Neppure questo sistema potrebbe però escludere con certezza che vengano rilevati falsi positivi o falsi negativi poiché molteplici sono i fattori ambientali che potrebbero incidere sull’intensità del segnale Bluetooth.

Sull’iniziativa di Apple e Google si è espressa, il 17 aprile 2020, l’Autorità Garante privacy inglese (ICO) pubblicando un parere con particolare riferimento al protocollo pubblicato dalle due aziende il 10 aprile e contenente alcune considerazioni in merito al “Contact Tracing Framework” (CTF) ( Per approfondimenti: qui). Nel documento, rivolto specialmente agli sviluppatori delle applicazioni mobili di tracciamento e a tutti quei soggetti interessati a partecipare allo sviluppo dei sistemi di tracciamento della prossimità, si riconosce espressamente che, in linea di massima, sono rispettati i principi di privacy by design e di privacy by default e che il protocollo è in linea con il già menzionato approccio decentralizzato del DP-3T. Si garantiscono, in primo luogo, la minimizzazione e l’anonimizzazione dei dati degli utenti.

Pur condividendo tale approccio l’ICO invita le aziende ad assicurare che:

  1. tra dispositivi non vi sia scambio di informazioni relative all’account o al nome utente;
  2. i calcoli algoritmici per il rilevamento delle prossimità vengano effettivamente eseguiti esclusivamente dallo smartphone e che le relative informazioni rimangano nel dispositivo;
  3. non sia necessario l’utilizzo di dati relativi alla localizzazione per le funzionalità essenziali delle applicazioni che useranno i nuovi sistemi operativi;
  4. non vi sia alcuna condivisione tra dispositivi né alcuna conservazione nel sistema.

Alcuni aspetti del protocollo, presentandosi poco chiari e poco dettagliati, avevano suscitato qualche perplessità sotto il profilo della riservatezza e della sicurezza informatica. Nello specifico, l’ICO ha ritenuto opportuno notare che, sebbene l’installazione dell’applicazione sia volontaria “l’API della CTF farà parte del sistema operativo di ogni dispositivo mobile. Ciò significa che anche l’utente di un dispositivo mobile che rimuove o disattiva un’app non sarà in grado di rifiutare o rimuovere facilmente gli aggiornamenti del sistema operativo che continuano a fornire l’API CTF, che consente alle app di utilizzare questi dati” e andrebbe chiarito anche come poter facilitare la raccolta e la gestione del consenso dell’utente per il caricamento del codice sull’host dell’app o quale sarebbe l’impatto della revoca del consenso sull’efficacia del tracciamento digitale e sulle notifiche agli altri utenti successivamente alla diagnosi positiva.

L’autorità inglese osserva come la scelta dell’utente di disabilitare il Bluetooth dello smartphone in qualsiasi momento non possa in alcun caso essere condizionata dal timore di essere rintracciato. A tal proposito, è stato già anticipato che per le funzionalità essenziali delle applicazioni che useranno i nuovi sistemi operativi non sarà necessario raccogliere dati di localizzazione. Tuttavia, nella documentazione CTF si precisa che questa regola generale, valida per la tecnica di funzionalità standard delle app, potrebbe subire eccezioni e dunque non può escludersi a priori che simili o aggiuntive informazioni si rendano necessarie.

L’ICO a tal proposito suggerisce che venga assicurata la legittimità di qualsivoglia trattamento di dati aggiuntivi da parte degli sviluppatori delle app e riconosce che ciò potrebbe rivelarsi necessario “per sostenere l’utilità di un’applicazione di tracciamento per la sanità pubblica e ciò dovrà essere valutato caso per caso. Ad esempio, può essere necessario per l’elaborazione dei dati per limitare il caricamento delle chiavi di diagnosi degli utenti, per garantire che il sistema non sia inondato da falsi positivi.”

È stato evidenziato infine che, a lungo andare, potrebbe configurarsi il fenomeno definito “scope creep”. Esso consiste nella possibilità che:

  1. gli sviluppatori di applicazioni di terze parti, abilitate dai nuovi sistemi operativi, possano creare funzionalità che comportano utilizzi nuovi di informazioni già esistenti oppure la raccolta di dati;
  2. vi sia una rapida espansione o un abuso di applicazioni. Il rischio che vengano usate oltre lo scopo del tracciamento dei contatti sociali per combattere la pandemia è molto alto.

I dati trattati per scopi diversi e ulteriori rispetto a quelli perseguiti nel CTF, in caso, dovranno ricevere idonea protezione e il responsabile del trattamento, valutato l’impatto sulla riservatezza, dovrà garantire agli utenti un trattamento trasparente e conforme a tutti i principi della privacy.

Chiara Sgambati
Ughi e Nunziante Studio Legale

Chiara Sgambati

Chiara Sgambati

Laureata in Giurisprudenza presso l'Università degli studi Roma Tre con una tesi sulla simulazione negoziale nelle dinamiche successorie. Trainee presso lo studio legale Ughi e Nunziante, è particolarmente interessata alla protezione dei dati personali e ai diritti di proprietà intellettuale.

Ultimi

In primo piano