App di tracing, tra volontarietà dell’installazione e consenso al trattamento dati: il quadro - Cyber Security 360

INDICAZIONI OPERATIVE

App di tracing, tra volontarietà dell’installazione e consenso al trattamento dati: il quadro

Una corretta informazione sulle app di tracing in merito ai concetti di volontarietà dell’installazione e del consenso al loro utilizzo aiuta anche a comprendere le differenze tra i dati trattati da un’app che ha come scopo il monitoraggio e il contrasto di una pandemia e quelli delle tante “app social”. Facciamo chiarezza

04 Mag 2020
B
Roberto Benedetto

Avvocato, Legal consultant P4i - Partners4Innovation


La discussione sulle app di tracing infiamma ormai tutti i canali comunicativi, esorta esperti (e non) di tutte le categorie ad esprimere la propria opinione, riempie le nostre bacheche social e le chiacchierate con amici e parenti.

Soprattutto in questi casi, però, le fonti da cui partire per uno studio serio e rigoroso sono fondamentali: “Chi parla male, pensa male e vive male. Bisogna trovare le parole giuste: le parole sono importanti”, è una famosa citazione di Nanni Moretti ormai diventata mainstream ma tristemente disapplicata, che riassume in poche e lapidarie parole l’importanza di basarsi sulle fonti giuste.

App di tracing: le fonti normative

Fortunatamente sul tema app di tracing le istituzioni europee hanno fatto un lavoro eccellente.

A costruire un quadro quanto più possibile limpido della questione hanno collaborato sia le autorità di controllo (Comitato Europeo per la Protezione dei Dati, European Data Protection Superivor, Autorità Nazionali ecc.) sia le Istituzioni strictu sensu (Commissione Europea, eHealth Network ecc.).

Piccola nota a margine: il Garante Italiano ha compiuto un lavoro straordinario nel contesto Europeo, guidando la discussione sul tema nelle vesti di relatore all’interno del board dei Garanti Europei. Dovremmo andar fieri di questi risultati perché significa che oggi come in passato, sul tema dei diritti privacy & data protection il nostro Paese sa interpretare il ruolo di think leader grazie alle competenze maturate negli anni e ad un pool di eccellenze ineguagliabile.

Tornando a noi, grazie al lavoro finora svolto dal framework istituzionale UE in materia di protezione dei dati, abbiamo oggi alcuni documenti fondamentali su cui strutturare il nostro pensiero in tema di data tracing e relative app.

In particolare, ad oggi tre sono le fonti da cui partire:

Non starò qui a fare una disamina degli interventi suddetti: commentatori ben più autorevoli ed esperti di me hanno e analizzato i temi ivi contenuti e ci si aspetta che nei prossimi giorni il proficuo dialogo prosegua.

Come accennato il lavoro finora a livello istituzionale ha prodotto una serie di strumenti di “soft law” che consentono tanto agli Stati, quanto a chi si occupa ad ogni livello della materia data protection e privacy di possedere un’efficiente bussola con cui orientarsi nel non facile sentiero della materia “data tracing” applicata all’emergenza Covid-19.

I punti cardinali della metaforica bussola sono principalmente quattro:

  1. il nord, punto di riferimento di eccellenza, sono le garanzie da adottare a tutela dei diritti dei cittadini. Per renderlo possibile le app anti-covid vanno progettate, prima ancora che sviluppate, in un’ottica di aderenza dei principi generali in materia di protezione dati. Insomma, recitando uno dei mantra del GDPR: pensarle in ottica “privacy by design, privacy by default”;
  2. ad est, direzione notoriamente associata all’alba, c’è l’invito, sempre più forte, alla cooperazione tra Stati e un no deciso agli approcci frammentati;
  3. a sud, punto cardinale del Sole al suo zenit, il monito relativo ad operare una scelta accurata e trasparente in relazione a titolari e responsabili del trattamento e alle basi giuridiche scelte. I principali attori dovrebbero essere individuati nelle amministrazioni pubbliche si occupano del settore sanitario, negli esperti in ambito epidemiologico e nei tecnici del diritto e della sicurezza informatica. Trasparenza nei processi di individuazione dei ruoli soggettivi e nelle condizioni di liceità a fondamento dei trattamenti sono presupposti indefettibili per garantire efficacia e sicurezza delle app;
  4. ad ovest, direzione romanticamente associata al tramonto, si pone una granitica certezza: l’assoluta temporaneità della soluzione adottata. Le app devono seguire il destino di questo stato d’emergenza globale, e devono essere utilizzate solo a fino all’estinzione della stessa.

Il mio è un intento meno tecnico e più divulgativo – se così si può dire – vale a dire quello di invitare chi scrive, commenta e dialoga ad una più attenta scelta del wording, perché ritornando alla frase di esordio, “le parole sono importanti”.

Strumenti per lo sviluppo delle app di contact tracing

A questo punto è giusto partire da uno strumento che è stato pensato come una vera e propria cassetta degli attrezzi dalla Commissione Europea sono le ormai famose Linee Guida dell’eHealt Network. Coerentemente al loro scopo, quello di fornire istruzioni pratiche, operative, agli Stati nello sviluppo di app di contact tracing, viene descritto come un Common EU Toolbox for Member States.

Il testo è, ovviamente, denso di informazioni e indirizzi di natura tecnica. Il linguaggio è quello degli esperti e così deve essere.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

C’è però un capitolo, il IV citato nel documento dell’eHealth Network che è dedicato alla “Comunicazione” ed esordisce cosìUna comunicazione trasparente e puntuale è fondamentale per creare un clima di fiducia nei confronti dell’opinione pubblica nella lotta alla crisi di Covid-19”.

L’informazione corretta, trasparente e puntuale è di importanza cruciale per svariate ragioni e sicuramente creare un clima di fiducia è la più importante.

Nel corso di questi mesi abbiamo dovuto imparare a convivere con aspettative di ritorno alla normalità deluse, vere e proprie overdosi informative e abbiamo dovuto combattere contro una pluralità di nemici della corretta informazione partendo dal vero e proprio stillicidio di fake-news arrivando fino ai ben più gravi tentativi di attacchi informatici da parte di malintenzionati di ogni genere.

Il risultato? Quello più ovvio. Di fronte a ciò che è sconosciuto e potenzialmente pericoloso, tutti noi abbiamo la reazione comune a tutto il regno animale: proviamo paura e confusione.

Molti smettono di ragionare razionalmente e seguono l’istinto, la pancia. Atteggiamento che probabilmente nella natura selvaggia ci salverebbe la vita, ma che nella società in cui viviamo paradossalmente ci rende prede di ciarlatani e diffusori di disinformazione (consapevoli o meno).

Ovviamente il toolbox investe gli Stati e i loro apparati della responsabilità di gestire questa importantissima missione, e del resto sono gli Stati i destinatari del documento.

Ciò non significa che ciascuno di noi non possa e (in un certo qual senso) non sia tenuto a collaborare in tal senso.

App di tracing: le linee guida dell’EDPB

A questo proposito ci sono due temi, particolarmente delicati, su cui fornire un’informazione chiara, trasparente e corretta è di cruciale rilevanza.

Il primo riguarda i concetti di volontarietà dell’installazione dell’app e del consenso.

È un tema da giuristi, un sentiero irto di ostacoli, di riferimenti normativi, di questioni attinenti all’interoperabilità delle norme che regolano la materia.

Autorizzazione e consenso sono due concetti prossimi, molto simili tra loro nel lessico comune ma profondamente diversi su un piano giuridico. L’uno non presuppone necessariamente l’altro e sicuramente non coincidono.

Molte app ci richiedono l’autorizzazione ad accedere a determinati dati e funzionalità presenti sul nostro dispositivo. Questo non sempre significa che:

  1. se abbiamo dato l’autorizzazione all’accesso a quei dati/funzionalità vuol dire che abbiamo fornito anche il consenso ad utilizzarli;
  2. che per utilizzare quei dati/funzione sia necessario il consenso.

Illuminante, sotto questo profilo, sono le Guidelines dell’EDPB del 21 aprile scorso.

Perché è importante chiarire questo punto? Perché è fondamentale che l’opinione pubblica comprenda in maniera chiara qual è lo scopo delle app di tracing, perché gli Stati possono e dovrebbero adottarle e come avviene il processo di ideazione, sviluppo, diffusione e utilizzo.

Il sentiero è tortuoso, i rischi di non venir compresi sono alti ma partire da informazioni tecnicamente corrette aiuta.

Un discorso è dire alle persone “L’installazione dell’APP è volontaria, le Istituzioni useranno i tuoi dati per solo per far fronte a questa emergenza. Nella maggior parte dei casi non ti verrà chiesto un consenso perché lo scopo per cui li stanno utilizzando è quello di proteggere interessi fondamentali di tutti noi. In ogni caso stai tranquillo, caro cittadino, per poter usare i tuoi dati in questo modo ci saranno leggi e garanzie ad assicurare che i tuoi diritti siano tutelati”, un altro è dire “L’app è volontaria quindi se te la scarichi dai il tuo consenso a tracciarti”.

È una questione di lessico e di corretta informazione ma anche di contenuto.

Trattamento dati: differenze tra app di tracing e app social

Strettamente connesso al tema di “autorizzazioni e consensi” è il secondo “tema di tendenza” sui social: quello di equiparare l’utilizzo di app di tracing a quello di numerose altre app (ad esempio quelle di food delivery) o funzionalità social (come quei “test” che ci rivelano a quale ortaggio è connesso il nostro spirto guida, tanto divertenti quanto inaffidabili) che richiedono svariate tipologie di informazioni (che vanno dal nostro nome sul social in questione fino ad arrivare ai dati relativi alla nostra posizione).

Ci sono enormi, macroscopiche, differenze tra i dati trattati dall’app che ci porta il nostro sushi preferito a casa e quelli di una che ha come scopo il monitoraggio e il contrasto di una pandemia.

In nessun universo un gioco online che, partendo da una foto profilo o un nickname, ci dice a quale casata di Hogwarts apparteniamo può essere assimilato ad un’applicazione sviluppata per tracciare il diffondersi dei contagi e aiutare le Istituzioni pubbliche ad attuare le misure necessarie per salvaguardare la salute pubblica.

I dati trattati da un’app di food delivery non sono – e non dovrebbero essere – mai dati relativi al nostro stato di salute, ad esempio.

Venire a sapere dal giochino di Facebook che nell’altra vita ero “Mata Hari” non è la stessa cosa di venire a conoscenza che ho avuto un possibile contatto con una persona positiva alla Covid-19.

Nel primo caso ci faremmo tutti una grassa risata ad immaginarci sul palco dell’Olympia Theater a ballare danze esotiche vestiti di lustrini, nel secondo il pensiero di essere sottoposti ad isolamento fiduciario, di preoccuparci per la nostra salute e di quella dei familiari costretti alla convivenza avrebbe tutt’altro impatto: psicologico e giuridico.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Fornire un’informazione corretta in questo caso è un dovere morale, ne va della dignità propria e altrui.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5