21 aprile 2020 - privacycontact-tracingcovid-19 Circa 0 minuti

Privacy e Contact Tracing

La Morte di Socrate, Jacques Louis David, Olio su Tela, 1787Immagine di Pubblico Dominio
21 aprile 2020 - privacycontact-tracingcovid-19 Circa 0 minuti

Privacy e Contact Tracing

In questi giorni, ma soprattutto nei giorni che verranno, si parlerà molto delle applicazioni di "contact tracing" per monitorare l'andamento dell'infezione da COVID-19 tra i cittadini.

Ho letto quanto sono riuscito a trovare sull'argomento, cercando di attenermi il più possibile alle fonti ufficiali, e mi sono reso conto che la situazione è molto più complicata di quanto non possa sembrare all'apparenza. Voglio quindi condividere qualche considerazione su quello che sta venendo fatto, cercando di mettere in ordine tutto quello che trovo sull'argomento. Spero di non scrivere inesattezze, nel caso doveste notarne o aveste delle domande mandatemi una mail.

Le App di Contact Tracing

Un'app di contact tracing (o proximity tracing) è un software che, quando installato sullo smartphone dell'utente, traccia in qualche modo i contatti di prossimità che questo utente ha con altri utenti che hanno, a loro volta, il software installato a bordo dei loro dispositivi.

Le modalità con cui queste ipotetiche applicazioni possono effettuare queste operazioni sono innumerevoli, potenzialmente infinite, ed in una situazione ideale viene scelta la modalità meno invasiva per la privacy degli utenti finali.

La situazione in Europa

Alcune soluzioni sono già state implementate in diversi paesi del mondo, e in Europa siamo al vaglio di quelle che possono essere le modalità con cui implementare tali applicazioni, nazione per nazione. L'Italia, assieme a Francia e Germania e altri 4 paesi ad oggi non noti, ha sottoscritto la proposta vagliata dal PEPP-PT, un organo indipendente fondato proprio per lo scopo di formalizzare un protocollo di funzionamento che queste applicazioni dovranno seguire per essere "privacy preserving".

Un protocollo non è un'applicazione: un protocollo specifica solo come un'eventuale applicazione dovrà funzionare, e quali sono gli schemi a cui deve attenersi per essere considerata "in regola" rispetto al protocollo stesso.

Il funzionamento previsto

Secondo quanto indicato da uno dei documenti pubblicati dal PEPP-PT, le app dovrebbero avere questo funzionamento:

  • L'utente apre l'applicazione per la prima volta e questa chiede il permesso per utilizzare il Bluetooth. Si sottolinea come, su Android, verrà richiesto anche il permesso all'uso dei servizi di localizzazione, ma l'applicazione non li userà;
  • Fornito il consenso, l'app continuerà a funzionare in background, misurando le interazioni di prossimità con altri dispositivi anch'essi dotati dell'applicazione. Viene fatto notare come interazioni più vecchie di 21 giorni saranno cancellate, e queste informazioni saranno salvate localmente sul telefono e non inviate all'esterno;
  • In caso di comprovata infezione l'utente potrà, in forma volontaria ed esplicita, caricare sul server centrale l'elenco dei contatti di prossimità registrati dall'app. Effettuata questa operazione, l'app si disinstallerà dal dispositivo e cancellerà tutti i dati raccolti;
  • Il server centrale calcolerà un punteggio di rischio per tutti i contatti raccolti e notificherà quelli aventi un punteggio superiore ad una certa soglia;

Uno dei punti salienti è che non vengono tracciati spostamenti fisici o altre informazioni strattamente personali, ma solamente la prossimità tra un dispositivo e l'altro in forma anonima. Insomma, niente GPS, solo Bluetooth. Inoltre, tramite Bluetooth non vengono raccolte le identità delle persone con cui si entra in contatto, ma solamente un loro identificativo alfanumerico che dovrebbe essere, in teoria, anonimo (ma univoco per ogni dispositivo).

Rimangono non specificate, tra le altre cose, le modalità da utilizzare per identificare i dispositivi, gli algoritmi per il calcolo del punteggio e la modalità utilizzata per certificare l'infezione.

Il funzionamento effettivo

Quanto descritto nel documento di cui sopra è una sintesi di massima che lascia diversi punti in sospeso (e non pochi dubbi) e che non trova necessariamente riscontro in quanto verrà rilasciato - stando alle informazioni disponibili - nell'app Immuni, scelta dal governo italiano a seguito di un bando pubblico.

Per quello che si riesce a capire, Immuni prevederà l'utilizzo di server centrali per la raccolta dei contatti di prossimità. Questi server conserveranno i dati solamente finché lo scopo dell'applicazione non sarà raggiunto, e questi dati saranno "anonimi", con delle condizioni non proprio chiarissime:

[...] i dati trattati ai fini dell’esercizio del sistema siano “resi sufficientemente anonimi da impedire l’identificazione dell’interessato” [cfr. Considerando 26 GDPR] tenuto conto dell’insieme di fattori obiettivi, tra cui i costi, le tecnologie disponibili ed il valore della reidentificazione almeno in condizioni ordinarie e salvo il verificarsi di eventi patologici o, almeno, pseudo anonimi previa adozione di idonee misure idonee a limitare il rischio di identificazione degli interessati

Vengono inoltre citati assieme, senza distinzione, PEPP-PT, DP-3T e ROBERT, quando ROBERT è una proposta di protezione dati di PEPP-PT, mentre DP-3T è una proposta alternativa e indipendente.

Considerazioni

  • Immuni non è ancora stata rilasciata e, a quanto detto, verrà rilasciata assieme al suo codice sorgente, per permettere a chiunque di verificarne l'operato. Se il codice sorgente rilasciato pubblicamente sarà solo quello dell'app o anche quello dei servizi utilizzati sui server, al momento non è chiaro;
  • Una risoluzione del Parlamento Europeo ha stabilito, il 17 Aprile 2020, che l'uso delle applicazioni di contact tracing dovrà essere non obbligatorio per i cittadini e che i dati raccolti da tali applicazioni non dovranno essere salvati su database centralizzati, in quanto questi sono più facilmente soggetti a data breach, ovvero esfiltrazioni di dati da parte di personale non autorizzato (punto 52 del documento);
  • La soluzione proposta dal PEPP-PT è di natura squisitamente centralizzata ed è quindi, da quello che mi pare di capire, in pieno contrasto con la risoluzione del Parlamento Europeo. Questa soluzione, inoltre, sembra basarsi sul fatto che l'autorità sia "onesta e curiosa", ovvero che ci si debba affidare al fatto che i dati anonimi possano in qualunque momento essere de-anonimizzati dal Governo (o da chi ne entra in possesso) ma che la cosa non succederà;
  • Sulla buona fede e sulla trasparenza del PEPP-PT sono stati sollevati non pochi dubbi, e alcuni membri del PEPP-PT si stanno, inoltre, tirando indietro dall'iniziativa.
  • Circa 300 ricercatori e scienziati da tutto il mondo hanno firmato una lettera aperta chiedendo un maggiore sforzo perché le applicazioni rispettino la privacy dei cittadini by design.
  • Le menzioni a soluzioni decentralizzate come DP-3T, sono apparentemente state rimosse dal sito e dalla documentazione pubblica del PEPP-PT (a detta loro per un errore, ma non sono state ripristinate). Una soluzione simile a DP-3T è quella, peraltro, proposta da Apple e Google nei giorni scorsi.

Conclusioni (parziali, temporanee)

Al momento sembra esserci un po' troppa confusione sulla questione: non si sa quali saranno, davvero, le funzionalità esposte da Immuni e come verranno salvati i dati (anche se tutto lascia pensare che seguiranno la proposta del PEPP-PT).

La soluzione proposta dal PEPP-PT non sembra essere ideale, ed è apparentemente in contrasto con quanto richiesto dal Parlamento Europeo.

Per il momento quindi stiamo a vedere come si evolve la situazione, sperando che venga scelta la soluzione meno invasiva.

Rimane comunque chiaro che l'uso dell'app sarà totalmente facoltativo e non ci saranno ripercussioni per chi deciderà di non usarla.

Aggiornamento del 23/04/2020: Il Sole 24 Ore riporta che l'app immuni seguirà il modello decentralizzato proposto da Apple e Google, quindi in linea con quanto richiesto dal Parlamento Europeo.

Domande

Che differenza c'è tra centralizzato e decentralizzato?

Un sistema centralizzato è un sistema dove esiste un attore che svolge il ruolo di coordinatore centrale, con cui tutti gli altri attori comunicano e che prende decisioni rispetto al funzionamento del sistema stesso. In un sistema centralizzato, i dati sono spesso conservati sul server centrale.

Un sistema decentralizzato è un sistema dove tutti gli attori hanno un ruolo nel suo funzionamento, e non esiste un coordinatore centrale. In un sistema decentralizzato, i dati non sono tipicamente salvati su un nodo specifico, ma sono distribuiti tra i vari nodi o replicati su ciascuno di essi.

In questo contesto specifico, il termine decentralizzato viene anche usato nei vari documenti per indicare un sistema dove esiste un nodo centrale, ma sul quale la quantità di dati salvata è minima.

Cos'è il codice sorgente?

Il codice sorgente di un software è quello che ne definisce il funzionamento. È l'insieme di istruzioni che il computer (o lo smartphone, nel caso di un'app) esegue per mostrare all'utente schermate e informazioni, raccogliere o inviare dati verso l'esterno ed effettuare tutte le altre operazioni.

Cosa vuol dire che il codice sorgente è rilasciato pubblicamente?

Quando il codice sorgente di un software è rilasciato pubblicamente, il software è detto open source. Un software open source può essere verificato da chiunque e, in base alla licenza d'uso decisa e con l'autorizzazione del suo autore originale, eventualmente anche modificato e ridistribuito.

Se un software è open source diventa molto più semplice verificare eventuali errori o problemi di sicurezza e correggerli, oppure indicare all'autore come correggerli.

Il codice utilizzato per costruire questo sito, così come il sistema operativo del server su cui è in esecuzione, è tutto open source.

Se i dati raccolti sono anonimi, come possono essere usati per violare la mia privacy?

Il fatto che un dato raccolto sia di per sé anonimo non significa che da esso non si possa risalire all'identità che lo ha originato. Per esempio, se un dispositivo contatta un server, quest'ultimo vede qual è l'indirizzo IP da cui proviene questo contatto.

È possibile aggregare più dati assieme, anche da sorgenti diverse, ed effettuare delle analisi sui dati aggregati per ricostruire non solo le identità degli utenti che li hanno originati, ma anche le loro abitudini, le loro frequentazioni ed in generale profili più o meno dettagliati delle persone coinvolte. L'uso, legittimo o meno, che verrà fatto di questi dati è poi deciso da chi li ha raccolti.

Io non ho nulla da nascondere, perché dovrei preoccuparmi?

Questa considerazione viene spesso fatta quando, in generale, si parla di privacy; viene spesso anche fatto notare come "tanto diamo già tutto i nostri dati a Facebook, Google e Apple", quindi la privacy non esiste.

Voler godere del diritto alla privacy non significa avere qualcosa da nascondere, ma poter decidere cosa mostrare, a chi, con che modalità e per quanto tempo. I dati che diamo a Facebook, Google, Apple e altri sono, in larga parte, forniti da noi in maniera volontaria; nessuno ci obbliga ad avere un account Facebook, ad usare Whatsapp, a pubblicare le nostre abitudini enogastronomiche su Instagram e così via dicendo.

Per gli usi e i trattamenti di questi dati, è stato scritto un intero framework legale chiamato GDPR, che norma come le aziende e le pubbliche amministrazioni devono comportarsi in presenza di dati sensibili e punisce severamente chi ne fa un uso improprio.

Ma quindi quest'app la installo o no?

La decisione è e rimane individuale. Se l'applicazione presenta delle possibili criticità che possono mettere a rischio la nostra privacy, è importante saperlo per poter prendere una decisione informata su cosa fare.

Ho trovato un'altra app che fa la stessa cosa, posso usarla?

Tutte le considerazioni fatte fin'ora valgono per qualunque app. Prima di installare un'applicazione sul proprio telefono (o sul proprio computer), accertatevi che faccia quello che dice, e che dica tutto quello che fa.