• CM

App per il contact tracing e sicurezza

Da qualche tempo si parla solo di emergenza Covid-19 e uno dei temi più sentiti, probabilmente perché va a braccetto con la ‘Fase 2’ è quello dell’app di contact tracing.

Le fasi di scelta, messa a punto e introduzione di quest’app sono accompagnate da un ampio dibattito. In generale credo dal confronto stia derivando passo dopo passo un miglioramento dell’approccio, nonostante a volte certi toni e polemiche rendano assolutamente sterile il dialogo.

Il punto dolente è quello di creare un’app efficace per limitare il contagio e allo stesso tempo sicura e rispettosa della privacy.

Su questo fronte, sono già state affrontate diverse questioni. Che tecnologia utilizzare, GPS o Bluetooth? In realtà pare la risposta privacy compliant sia stata velocemente individuata nella seconda opzione, salvo poi rivalutare per alcuni aspetti anche un utilizzo parziale del GPS. Il sistema deve essere centralizzato o decentralizzato? Seguiamo l’approccio PEPP-PT o DP-3T? Qui la faccenda si fa più complessa e assume toni in qualche misura da telenovela, tra litigi e riappacificazioni dei sostenitori di ciascun sistema. Il risultato pare propendere (e secondo me giustamente) per l’approccio decentralizzato. Ma i giochi sono ancora aperti.


Sicurezza e open source

La domanda su cui vorrei spendere due parole è relativa alle modalità di distribuzione dell’app. Sarà open source o no? Ricordiamo che il punto focale dell’open source è non solo e non tanto la disponibilità gratuita dell’app ma la distribuzione del suo codice sorgente.

Fino a qui ho parlato genericamente di app, ma possiamo anche darle un nome: Immuni. L’app che Bending Spoons S.p.A. ha presentato alla fast call for contributions indetta da MISE, Ministero della Salute e Ministero per l’innovazione tecnologica per individuare soluzioni tecnologiche per il monitoraggio attivo del rischio di contagio.

L’Ordinanza del Commissario Straordinario Arcuri (disponibile qui) rimaneva piuttosto vaga sul punto, posto che nelle premesse indicava la volontà di Bending Spoons di ‘di concedere in licenza d’uso aperta, gratuita e perpetua’ l’app, salvo poi menzionare in altra premessa il proposito di acquisire il diritto d’autore sull’app e concludere con la decisione di procedere alla stipula dell’accordo di licenza gratuita (perdendo quindi l’aggettivo ‘aperto’).

Il tema sembra essersi recentemente risolto. La Ministra Pisano ha confermato che l’app sarà distribuita con licenza FOSS Mozilla Public License 2.0 (la nota del Ministero è disponibile qui).


Ma perché questo tema è stato oggetto di tanta attenzione, e in che modo è rilevante rispetto al tema sicurezza?

Distribuire sotto licenza open source significa mettere a disposizione il codice sorgente dell’applicazione, ovvero le righe del codice scritto dallo sviluppatore e che, una volta compilate o interpretate, danno le istruzioni al device (computer, smartphone, tablet, etc.) sulle operazioni da compiere per il funzionamento del programma/app.

Analizzando il codice sorgente è possibile capire il funzionamento del programma e anche eventuali bug, errori architetturali e potenziali punti deboli. Per questo motivo, c’è chi sostiene che rilasciare il codice sorgente possa costituire un pericolo per la sicurezza, perché eventuali malintenzionati possono individuare, e sfruttare, debolezze del programma. Secondo questo ragionamento, meglio tenere il codice chiuso e dare informazioni molto limitate sul suo funzionamento (c.d. ‘security through obscurity’ o ‘STO’ – qui qualche informazione in più su questo concetto).


Ma non manca – e anzi sembra essere più numeroso – chi è di opinione esattamente contraria. Il rilascio del codice sorgente genererebbe meccanismi tendenzialmente virtuosi:

  1. gli sviluppatori dell’app sarebbero incentivati a ricercare una maggiore qualità del codice e ad evitare ‘scorciatoie’ che poi terzi potrebbero individuare;

  2. una peer review più ampia, il codice sorgente non è accessibile solo ai malintenzionati ma a una platea di tecnici che tendenzialmente segnaleranno ai manutentori del software eventuali bug e possibili fixes - faith in humanity 😊;

  3. la possibilità di ‘mettere una taglia’ sui bug – offrendo un compenso a segnalazioni fondate di problemi. Esistono dei veri e propri bug hunters che vivono di questo;

  4. un incentivo a correggere i bug dato dal fatto che chi lo ha segnalato, in mancanza di collaborazione dai manutentori del software, potrebbe diffondere la notizia dell’esistenza del bug e dell’inerzia di chi dovrebbe implementare le correzioni, con possibili conseguenze anche gravi per la reputazione.


Open Source e app per il contact tracing

Tornando al tema delle app per il contact tracing, in Norvegia si è scelto di tenere chiuso il codice sorgente, sostenendo che il rilascio costituisca un rischio per la sicurezza posto che non c’è tempo per beneficiare del processo di review che di solito viene catalizzato nel caso di open source (qui il Q&A degli sviluppatori dell’app norvegese).

In Italia invece la scelta è ricaduta su una licenza open source.

Qual è l’approccio corretto o – posto che entrambi gli approcci hanno degli argomenti – l’approccio migliore? L’EDPB – European Data Protection Board nelle linee guida per l’adozione delle app di contract tracing nei Paesi UE (disponibili qui per il download), indica esplicitamente che il codice sorgente dell’app e del relativo back-end deve essere reso pubblico, insieme alle specifiche dell’app, di modo che ciascun interessato possa fare un audit e segnalare possibili correzioni, anche in un’ottica di trasparenza.


Queste app e il relativo schema di utilizzo – aperto o chiuso – saranno sottoposte a un duplice banco di prova: l’efficacia nel limitare la diffusione del virus e l’effettiva sicurezza, questo secondo aspetto anche in termini temporali medio/lunghi.


CM

  • CM

La mia regola per tutti gli interventi in ambito professionale è soluzioni e non opinioni, perché credo sia fondamentale offrire un’utilità pratica a chi legge. Questo post potrebbe essere un’eccezione: sto scrivendo più per me che per gli altri.

Il tema è quello del coronavirus, nello specifico le misure smart da adottare per ridurre i contagi. Naturalmente, mi riferisco alle basi giuridiche di queste misure.


Sento spesso il paragone con le misure adottate in Cina, in termini da escludere che qui siano provvedimenti attuabili per il diverso approccio che abbiamo ai diritti e alle libertà fondamentali. Ma è vero per tutte? La Cina ha da tempo adottato sistemi di videosorveglianza e di analisi biometrica/riconoscimento dei soggetti che farebbero pensare di essere in un episodio di Black Mirror (Human Rights Watch ne ha scritto in più occasioni, vedere qui). Al tempo del coronavirus, questi sistemi vengono utilizzati per rintracciare le persone risultate positive che si allontanassero da casa ma anche, a monte, per verificare gli spostamenti e i contatti dei giorni precedenti, in modo da adottare misure di contenimento mirate. L’approccio è stato adottato anche in Paesi dove non sono sostanzialmente presenti derive autoritarie, come per esempio la Corea del Sud e Singapore. I risultati sembrano essere validi, con la possibilità di indirizzare con maggiore precisione le misure di contenimento mentre le aree e categorie a basso rischio possono continuare a operare (ne ha scritto Wired e anche Il South China Morning Post).

Eppure, preoccupa il tema della protezione della privacy delle persone, dei contagiati in particolare: la riservatezza dei loro spostamenti e incontri.

La riservatezza è un diritto a cui viene riconosciuta rilevanza costituzionale, in quanto ritenuto parte dei diritti inviolabili dell’uomo (previsto anche dalla Carta dei Diritti Fondamentali dell’Unione Europea – art. 8), garantiti dall’art. 2 della Costituzione.

Ci sono altri diritti e libertà riconosciuti dalla Costituzione, tra cui la libertà di movimento (art. 16) il diritto di riunione (art. 17), il diritto al lavoro (art. 35) e di iniziativa imprenditoriale (art. 41). In questi giorni, queste libertà fondamentali sono state significativamente limitate nell’interesse di un valore giudicato prevalente, il diritto alla salute – del singolo e collettiva (art. 32).


Perché non dovrebbe cedere di fronte al diritto alla salute, ma anche agli altri diritti fondamentali, il diritto alla privacy?


L’ormai noto GDPR (Reg. UE 679/2016) prevede esplicitamente che dati personali, anche sensibili come quelli sanitari, possano essere trattati nel caso in cui il trattamento sia ‘necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero …[…]’ (art. 9.2.i GDPR). L’utilizzo di questi dati a scopo preventivo, in un momento in cui l’OMS ha dichiarato la presenza di una pandemia, non vuol dire acconsentire ad un utilizzo indiscriminato. I principi di limitazione delle finalità di trattamento e di conservazione, così come quello di privacy by designdei sistemi utilizzati per queste elaborazioni, insieme a tutte le altre salvaguardie previste dal GDPR, dovrebbero essere naturalmente applicate. I dati potrebbero perfino essere anonimizzati, in modo da individuare zone ad alta presenza di contagiati per l’adozione di misure di contenimento, senza necessaria identificazione dei soggetti. Sulle diverse possibilità e il loro grado di compatibilità con il GDPR, ho trovato interessante l’ultima puntata di 2024 (podcast integrale disponibile qui).


L’intento non è quello di contestare le misure adottate sin qui, ma di esprimere la speranza che dopo questa prima fase l’approccio possa ampliarsi, con accorgimenti che permettano qualche misura di continuità delle attività quotidiane.


Concludo con un’osservazione basata su questi dati:

  • sembra che ci si possa attendere che i contagi rallentino quando circa il 60/70% della popolazione avrà contratto il virus (tra i tanti, così il World Economic Forum);

  • c’è una percentuale di persone che si ammalano che ha bisogno di assistenza medica intensiva. Questo dato non sembra essere univoco, ipotizziamo un ottimistico 6%;

  • volendo anche solo considerare l’Italia come un sistema isolato, cosa che non è, siamo in circa 60 milioni di persone e abbiamo circa 6.000 posti letto in terapia intensiva.

Su questa base, a meno che non venga trovata una cura o un vaccino, se puntiamo alla soluzione della situazione per una sorta di ‘immunità di gregge’, occorre si ammalino circa 36 milioni di persone (contando il 60% della popolazione). Tra queste, avranno bisogno di cure intensive circa 2.160.00 persone (contando il 6% dei contagiati). Per ‘smaltire’ questo numero stando nei limiti gestibili dal nostro sistema sanitario, quanto tempo ci vorrà? Potremo mantenere limitazioni stringenti quanto le attuali per tutto il tempo necessario?


Mi pare evidente che – a partire dal 3 aprile (salvo estensioni delle attuali misure) – occorrerà trovare misure alternative al cd ‘blocco’. Se queste comportano una limitazione del diritto alla privacy, come la tracciatura degli spostamenti delle persone contagiate e simili, crediamo di poterlo affrontare in termini legalmente accettabili? Io dico di sì – e credo lo dica anche il GDPR.

In una situazione che vede ancora diverse incertezze, molte aziende hanno un obiettivo chiaro: cercare di mantenere l’operatività, nei limiti consentiti e/o consigliabili data la presenza del virus nel nostro territorio, per limitare i danni economici potenzialmente irreparabili.

Continuità aziendale. Tra le misure per proteggere il proprio personale molte aziende hanno implementato controlli per l’accesso ai locali, sia dei dipendenti che dei visitatori, con richieste di informazioni rispetto agli spostamenti e agli incontri dei giorni precedenti, oppure sullo stato di salute, e conseguenti limitazioni all’ingresso.


La posizione del Garante

Questo tipo di iniziative è stato commentato anche dal Garante, che il 2 marzo ha pubblicato “Coronavirus: Garante Privacy, no a iniziative ‘fai da te’ nella raccolta dei dati Soggetti pubblici e privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti” (disponibile qui).

In estrema sintesi, il Garante evidenzia come la normativa di urgenza imponga ai soggetti a rischio epidemiologico di comunicare le circostanze di tale rischio all’azienda sanitaria territoriale, che provvederà agli accertamenti e alle misure del caso. Nella visione del Garante, i datori di lavoro – sia pubblici che privati – devono astenersi da tali indagini in quanto la prevenzione della diffusione del coronavirus è affidata ai soggetti istituzionalmente deputati allo scopo. Il Garante evidenzia poi come sia obbligo del lavoratore segnalare al datore di lavoro eventuali rischi per la salute e la sicurezza sui luoghi di lavoro (inclusi quelli derivanti da possibili contagi).

La posizione primaria e incontrastata riservata alle autorità sanitarie e agli altri organismi istituzionali è assolutamente condivisibile. Mantenendo questa premessa era forse possibile fornire alle imprese qualche suggerimento costruttivo per rispondere ad una situazione di evidente, e fondata, preoccupazione.


Le tipologie di dati trattati e la base giuridica

Nel tipo di misure all’accesso ai locali accennate sopra vengono richieste due tipologie di dati personali: (i) dati personali ‘ordinari’, per esempio quelli relativi agli spostamenti; e (ii) dati personali ‘particolari’, come quelli relativi allo stato di salute proprio, o di persone vicine. I trattamenti di tutti i dati personali sono sottoposti al GDPR, ma nel caso di dati ‘sensibili’ come quelli medici/sanitari, accorgimenti ed obblighi si fanno più stringenti.

Una conseguenza pratica nel caso in esame: la raccolta e il trattamento delle informazioni sugli spostamenti di un soggetto (dipendente o mero visitatore), nella situazione particolare in cui ci troviamo, potrebbe considerarsi legittimata in considerazione di un interesse legittimo del titolare del trattamento (art. 3, comma 1, lett. f. GDPR), interesse che consiste nella protezione della continuità aziendale e della promozione di salute e sicurezza sul luogo di lavoro. In questo caso, non sarebbe richiesto un consenso dell’interessato (fermo che comunque un’informativa sul trattamento dei dati dovrebbe essere consegnata, in adempimento agli obblighi di trasparenza, artt. 12 e 13 GDPR). L’accentuarsi della situazione emergenziale rispetto al momento in cui il provvedimento del Garante è stato adottato, unitamente al DL approvato l’8 marzo con la classificazione quale ‘zona rossa’ dell’intera Lombardia e di diverse altre provincie di Piemonte, Emilia Romagna e Veneto potrebbero deporre per un maggior favore al titolare nella valutazione del suo interesse a proteggere la continuità aziendale.

Lo stesso non vale, e le maglie sono molto più strette, nel caso di raccolta e trattamento di dati di natura medica. Questo tipo di informazioni non possono essere trattate per ragioni di interesse del titolare del trattamento, ma richiedono il consenso dell’interessato o motivi di interesse pubblico. Nella maggior parte dei casi, i soggetti privati trattano questi dati basandosi sul consenso – anche se possono esserci condizioni di legittimità diverse.


Accorgimenti GDPR compliant?

Facciamo l’ipotesi che, per l’accesso ai locali, un addetto dell’azienda misuri la febbre di dipendenti e ospiti e chieda informazioni relative ai loro spostamenti e/o contatti con zone o persone a rischio, decidendo così se ammettere o meno la persona agli uffici. La temperatura viene comunicata solo al diretto interessato e nessuna di queste informazioni viene annotata.

Consideriamo l’art. 2, comma 1, GDPR, secondo cui “il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.

Quello descritto sopra non rientrerebbe nella definizione di trattamento automatizzato (neppure parzialmente) e le informazioni non sono oggetto di alcuna archiviazione. Ci potremmo trovare in una fattispecie che ricade al di fuori dell’applicazione del GDPR. Rimane comunque che una gestione accurata di questa misura vorrebbe la previsione, per lo meno, di un incarico per l’addetto dell’azienda che valuta gli accessi, accompagnato da obblighi di confidenzialità e dagli altri necessari per non far scattare l’applicazione integrale del GDPR, per esempio quello di non registrare/archiviare con nessun mezzo le informazioni raccolte. Con alcuni accorgimenti, potrebbe quindi essere una modalità che permette alle aziende di trovare protezione nel rispetto della normativa sul trattamento dei dati.


In conclusione

Le misure per la business continuity adottate per la prevenzione di contagi da coronavirus sono le più varie e comprendono smartworking, presenze ridotte e/o alternate in azienda e altre. Non per tutte le realtà, però, il lavoro remoto è una possibilità. L’industria della trasformazione, ad esempio, non vede un’alternativa alla presenza fisica del personale negli stabilimenti. Per quanto censurabili sotto molti aspetti, le iniziative a volte un po’ spregiudicate prese da alcune imprese per la protezione dei propri dipendenti, e della propria operatività, sono comprensibili e forse un atteggiamento non di mera chiusura ma di direzione e supporto sarebbe stato più costruttivo, in una situazione in cui comunque diverse realtà preferiranno non rimanere ‘inerti’ o non limitarsi a richieste di collaborazione e assunzioni di responsabilità da parte di dipendenti e altri soggetti presso i locali aziendali.

Avv. Cosetta Masi

FIscal Code MSACTT84T56L840I - VAT No. 03766790244

PEC: cosetta.masi@ordineavvocativicenza.it

registered with the Bar Association in Vicenza

Tax residence:

Via Zanella 58 - 36010 Monticello Conte Otto (VI)

© 2017/2019 by Cosetta Masi