Blog

COVID, App e Privacy

Posted by:

COVID, App e Privacy

La tracciabilità dei dati (casi)

Dopo l’ordinanza 10/2020 della Presidenza del Consiglio dei ministri, il Governo ha scelto l’app “Immuni”, sviluppata dall’italiana Bending Spoons di Milano, per la gestione del contact tracing, nella fase 2 dell’emergenza COVID – 19.  Altre indicazioni le troviamo nel recente DPCM e relativo allegato del 26 aprile 2020.

Il download sarà gratuito e su base volontaria (quando sarà disponibile). Andrà scaricata  dal play store Android o dall’Apple store per dispositivi iOS (il download non sarà quindi disponibile, almeno inizialmente, su Windows Phone, su feature phone e su telefoni Android sprovvisti del play store). La motivazione della scelta di Bending Spoons e dell’app-Immuni poggia su tre considerazioni:

1 – capacità di contribuire tempestivamente all’azione di contrasto del virus;
2 – conformità al modello europeo delineato dal Consorzio PEPP-PT (in effetti adottato in parte dall’app);
3 – garanzie per il rispetto della privacy.

Le ultime due, considerando che il Consorzio PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) ha sempre escluso un approccio basato su GPS per i rischi privacy connessi, confermano che Bending Spoons ha escluso un’invasiva soluzione non in linea con le linee guida europee.

L’applicazione si fonda sulla tecnologia Bluetooth Low Energy (BLE) e mantiene i dati dell’utente sul proprio dispositivo, assegnandogli un ID temporaneo, che varia spesso e viene scambiato con i dispositivi vicini.

Venendo alle caratteristiche dell’app.Immuni, questa è composta di due parti, una dedicata al contact tracing vero e proprio (via Bluetooth) e l’altra destinata ad ospitare una sorta di “diario clinico”, in cui l’utente può annotare via via i dati relativi alle proprie condizioni di salute, come la presenza di sintomi compatibili con il virus.

Quando uno dei soggetti che hanno scaricato l’app risulta positivo, gli operatori sanitari forniscono un codice con il quale questi può scaricare su un server ministeriale il data-log degli ID con cui è stato in contatto nei giorni precedenti (a un metro e per un numero sufficiente di secondi), consentendo il loro “abbinamento” agli utenti che hanno scaricato l’app.

Verosimilmente, con un “vaglio qualitativo” basato su un algoritmico dei contatti, si riduce il rischio di falsi positivi (attraverso la stima della vicinanza fra dispositivi e tempo di esposizione fra gli stessi, restituendo un valore di “rischio contagio”). Nello stesso tempo si genera un elenco di persone da avvertire tramite smartphone. Il server quindi invia una notifica ai dispositivi dei soggetti potenzialmente a rischio, sempre tramite l’app.

La notifica ha un messaggio deciso dalle autorità sanitarie e chiede di seguire un protocollo (isolamento, contattare numeri di emergenza, sottoporsi a tamponi). La trasmissione dei dati, stando allo standard del progetto PEPP-PT (cui Bending Spoons aderisce), è cifrata e firmata digitalmente, per garantire la massima sicurezza e riservatezza in questa fase di “uscita” del dato dallo smartphone del singolo utente.

Tracciabilità. Bisogna tener conto delle misure complementari a supporto dell’iniziativa di contact tracing. La soluzione tecnologica non può prescindere da ulteriori elementi di cui è composto: l’ormai noto assioma delle “tre T”, composto da Testing, Tracing e Treating. I successi riscontrati dalla soluzione adottata della Corea del Sud ne sono prova.

Essenziale il coordinamento con le autorità europee, per arrivare ad una soluzione il più possibile omogenea che consentirà, quando sarà il momento, un più rapido ripristino dei movimenti di persone all’interno della comunità. La Commissione europea, nelle proprie linee guida, oltre a precisare che la scelta tecnologica è quella di utilizzare soluzioni basate su Bluetooth, propone le indicazioni diffuse il 9 aprile scorso dall’ECDC (European Centre for Disease Prevention and Control), in un report tecnico dettagliato che contiene anche una proposta di algoritmo per gestire le segnalazioni di soggetti positivi o potenziali positivi, favorendo un progetto comune europeo.

Ad oggi, i dati sull’utilizzo delle app di tracciamento collocano queste ultime in una forbice tra l’8 % (l’App di tracciamento della Regione Lombardia, scaricata da 800 mila persone su una popolazione di 10 milioni di abitanti) ed il 18 % circa di Singapore (scaricata da un milione di abitanti ed attivata al 50%).

Il Ministro per l’Innovazione Tecnologica ha precisato che la soglia (condivisa anche dal Garante Privacy) di efficacia dell’applicativo, è l’adozione da parte di almeno il 60% degli italiani. Trattandosi di uno strumento del tutto volontario, considerando che in Italia non tutte le fasce di popolazione hanno adeguata dimestichezza con gli smartphone, sembra evidente che il problema principale sarà proprio quello di raggiungere questa soglia di adesione (determinando il successo o il fallimento dell’applicazione).

Privacy. ll GDPR (679/2016) prevede la valutazione d’impatto preventiva (DPIA, art. 35) prima di scegliere l’applicazione per una Privacy by Design (architettura del trattamento dei dati e la loro sicurezza). In questo caso ricorrono addirittura cinque condizioni che rendono obbligatoria la DPIA: 1. Soluzione tecnologica innovativa; 2. trattamento su larga scala; 3. dati sensibili e altamente personali; 4. soggetti vulnerabili; 5. monitoraggio sistematico. Sempre secondo il GDPR, sarebbero sufficienti anche solo due di queste condizioni per innescare l’obbligo. Un altro vincolo è legato alla metodologia ENISA (l’agenzia europea per la cybersecurity).

Non è stato precisato se è stata applicata la minimizzazione dei dati trattati rispetto alle finalità, a garanzia degli interessati (come richiesto dall’art.5 del GDPR). Quindi molti chiarimenti andrebbero ancora forniti, proprio per motivi di trasparenza. Sulla necessità e utilità di questa filosofia penso ci sia poco da discutere.

Con le schede “fedeltà” per ricevere premi da supermercati o marche di carburanti, l’adesione è importante, ma sono solo oggetti. Nel nostro caso stiamo parlando di salute collettiva e di diritti della singola persona: valori irrinunciabili !

Invito a far sentire la “nostra” voce anche compilando i questionari che trattano aspetti della pandemia COVID-19, come quello che proponiamo di seguito ed elaborato dall’Istituto di Medicina Legale dell’Università degli Studi di Milano (vedi PDF allegato).

BIBLIOWEB:

Presidenza del Consiglio dei Ministri Ordinanza – 10 2020 (in PDF allegato)
ECDC – Contact tracing Public health management persons including healthcare workers having had contact with COVID-19 cases in the European Union second update (in PDF allegato)
https://www.ecdc.europa.eu/en/covid-19-contact-tracing-public-health-management
Indicazioni sul Questionario La Percezione della Responsabilità  Sanitaria Correlata alla Pandemia COVID-19  – Laboratorio di Responsabilità Sanitaria dell’Istituto di Medicina Legale, Università degli Studi di Milano https://forms.gle/VxTW84i7gMEstU577
COVID 19  Misurare lo Stress http://newmicro.altervista.org/?p=7251
Old Med & COVID 19 http://newmicro.altervista.org/?p=7233
Ai Tempi del CoVID-19 http://newmicro.altervista.org/?p=7100
Coronavirus & Media http://newmicro.altervista.org/?p=7019
Cybersecurity made in Italy http://newmicro.altervista.org/?p=6833
L’oro dei Big Data http://newmicro.altervista.org/?p=6557
Dipartimento per la trasformazione digitale  http://newmicro.altervista.org/?p=6467
Buone carte per cambiare la PA (finalmente) http://newmicro.altervista.org/?p=5768
Health Literacy http://newmicro.altervista.org/?p=5677
Cibersecurity & Blockchain in Sanità http://newmicro.altervista.org/?p=4646

 LA PERCEZIONE DELLA RESPONSABILITÀ SANITARIA CORRELATA ALLA PANDEMIA COVID-19 Questionario dell’Istituto di Medicina Legale dell’Università degli Studi di Milano (PDF)

Un Click per Leggere

 Presidenza del Consiglio dei Ministri – Ordinanza – 10 2020 (PDF)

Un Click per Leggere

 Contact tracing: public health management of persons, including healthcare workers, having had contact with COVID-19 cases in the European Union – second update 8 April 2020 -ECDC (PDF)

Un Click per Leggere

 Decreto del Presidente del Consiglio dei Ministri – 26 aprile 2020 (PDF)

Un Click per Leggere

 


Articoli correlati:

0
Giovanni Casiraghi

About the Author

Email: [email protected]
Go To Top
AVVERTENZA: Questo sito web utilizza i Cookies al fine di offrire un servizio migliore agli Utenti Maggiori informazioni