Covid-19 e app di contact tracing: le linee guida della Commissione UE

Al fine di delineare una linea d’azione unitaria a livello europeo per la gestione della Fase 2 dell’emergenza Covid-19, sia l’EDPB sia la Commissione Europea si stanno prodigando nel fornire preziose indicazioni per lo sviluppo di sistemi mobili e app di contact tracing utili a monitorare il contagio: finora, infatti, tale attività di ricerca è attuata secondo protocolli prevalentemente manuali e interviste ai contagiati (inevitabilmente dispendiosi in termini di tempo e risorse).

Se da un lato, però, diviene necessario accelerare i protocolli, dall’altro lato non ci si può dimenticare di quei principi fondamentali che regolano il trattamento dei dati personali dei cittadini, evitando che vi siano fenomeni di abuso degli stessi o che questi ultimi siano esposti a rischi eccessivi.

In quest’ottica si collocano le preziose indicazioni fornite sia da EDPB sia da e-Health Network col supporto della Commissione Europea, il cui scopo è quello di guidare le Autorità e gli sviluppatori di software verso soluzioni efficaci e, allo stesso tempo, compliant, e che dovranno essere seguite anche dall’app italiana, Immuni di Bending Spoon.

Covid-19 e app di contact tracing: le indicazioni di EDPB

Sebbene la risposta fornita da EDPB (acronimo di European Data Protection Board) il 14 aprile sia solo l’embrione di ciò che è contenuto e analizzato nelle linee guida pubblicate il 21.04 (“Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19” che analizzeremo più avanti in questo articolo), essa delinea in modo chiaro quali debbano essere i requisiti imprescindibili per lo sviluppo delle app, sebbene non sia possibile individuare una soluzione che possa essere comune e omnicomprensiva per tutti gli Stati Membri e per le peculiari necessità di ognuno.

Innanzitutto, si rileva la necessità, nella fase di sviluppo delle app di contact tracing, di consultazione delle Autorità nazionali di protezione dei dati personali, per garantire che i trattamenti siano leciti e in linea con le normative nazionali ed europee.

In secondo luogo, si ricorda come non possa prescindersi dal rispetto del fondamentale principio di responsabilizzazione (accountability): questo comporta, in concreto, la necessità di svolgere una articolata valutazione di impatto prima della diffusione del sistema, che ne analizzi il funzionamento e i punti deboli, che renda consapevole e partecipe la comunità delle modalità di trattamento dei propri dati e delle misure tecniche e organizzative a loro tutela, al fine di garantire anche il rispetto dei principi di privacy by design e privacy by default di cui all’art. 25 GDPR.

Lo scopo dovrà essere quello di realizzare politiche di salute pubblica efficaci e, allo stesso tempo, quanto meno intrusive della vita privata: dovranno, dunque, essere garantite in primis la diffusione e la interoperabilità delle app.

L’app dovrà contribuire a monitorare il contagio e non mirare, invece, ad un tracking costante e permanente degli interessati, il quale non solo violerebbe il principio di minimizzazione dei dati, ma esporrebbe altresì i cittadini a enormi rischi di sicurezza e privacy, andando oltre le finalità di individuazione di eventi di contatto probabilistici oggetto dei protocolli di contact tracing (per l’appunto: tracing, non tracking).

La stessa valutazione viene condotta con riferimento alla scelta di una memorizzazione dei dati centralizzata o decentralizzata, con preferenza per quest’ultima, in quanto maggiormente rispettosa del principio di minimizzazione dei dati.

Non solo: anche l’identificazione degli utenti per mezzo di pseudonimi randomizzati e l’invio di notifiche che comunichino la possibile esposizione al virus deve avvenire secondo meccanismi che consentano di garantire, per quanto possibile, la correttezza delle informazioni.

L’esempio fornito da EDPB prevederebbe l’utilizzo di un codice monouso scannerizzabile dalla persona che viene sottoposta a test per verificarne la positività, con successivo contatto dei singoli interessati esclusivamente attraverso le autorità sanitarie e previa valutazione “di dati fortemente probanti, evitando al massimo processi inferenziali”.

A tal fine, ogni algoritmo delle app di contact tracing dovrebbe essere verificato e monitorato da personale qualificato, per evitare l’inserimento al loro interno di falsi positivi e falsi negativi, con conseguente esclusione di soluzioni basate su processi decisionali interamente automatizzati e mantenimento del contatto umano.

EDPB si sofferma, poi, sulla volontarietà dell’utilizzo dell’app, sostenendo che quest’ultima “non significhi che il trattamento di dati personali da parte di soggetti pubblici debba fondarsi necessariamente sul consenso”, ma che, invece, “il fondamento giuridico più idoneo per il trattamento dei dati risulta essere la necessità del trattamento stesso per l’adempimento di un compito nell’interesse pubblico”, senza penalizzazione dei soggetti che decidessero, comunque, di non farne uso.

“Ciò significa”, continua la lettera, “che gli interventi legislativi in oggetto non dovrebbero essere strumentali all’imposizione di un obbligo di utilizzo, e che le persone dovrebbero essere libere di scegliere se installare o disinstallare l’app”. Un appello al senso civico e alla sensibilità individuale, nonché alla trasparenza da parte delle Pubbliche Amministrazioni, che ha come scopo ultimo quello di evitare che un uso sconsiderato o “disattento” possa portare ad una compromissione dell’utilità pubblica delle app.

Ciò che i Governi dovrebbero ricordare, infatti, nel momento in cui decidono di optare per una determinata soluzione, è che queste nuove app non possono e non devono essere utilizzate come strumenti di allarmismo sociale o di stigmatizzazione: per tale ragione, è di fondamentale importanza che tutti gli algoritmi e i protocolli utilizzati non consentano in alcun modo l’identificazione degli utenti che ne fanno uso, in particolar modo ove questi siano soggetti a test le cui risultanze (dato ben più che sensibile/particolare) siano immesse nei sistemi.

Al termine dello stato emergenziale, è opinione condivisa di EDPB che si renda obbligatorio procedere alla cancellazione o alla anonimizzazione, in via definitiva, dei dati raccolti.

I requisiti essenziali della “Toolbox” europea

A seguito dell’intervento di EDPB, l’eHealth Network, operante a supporto della Commissione Europea, ha provveduto, il 15 aprile, a pubblicare la prima versione del “Toolbox” (risposta sinora fornita da EDPB), ossia dei consigli pratici per il corretto sviluppo di applicazioni mobili finalizzate alla lotta al Covid-19, parte dei quali sono già stati oggetto di provvedimenti chiarificatori da parte dei Garanti nazionali.

Il documento, articolato e supportato, dal punto di vista dei requisiti tecnici di sicurezza, da ENISA, fa nuovamente propri, già nell’incipit, alcuni requisiti essenziali che ogni app nazionale dovrebbe rispettare:

• la natura volontaria;
• l’approvazione dell’autorità sanitaria nazionale;
• la tutela della privacy e della sicurezza dei dati;
• l’interoperabilità dei sistemi anche a livello transnazionale;
• la dismissione dei sistemi nel momento in cui il trattamento non sia più necessario.

In aggiunta a ciò, si specifica che, per risultare effettivamente funzionale all’attività di monitoraggio su larga scala del contagio, le app di contact tracing dovrebbero essere adottate almeno dal 50% della popolazione, in aggiunta e non in sostituzione dei tradizionali metodi di monitoraggio che saranno ancora fondamentali per i soggetti che hanno notoriamente minor accesso ai sistemi digitali, come gli anziani o i disabili, peraltro rappresentanti soggetti maggiormente a rischio.

Nello specifico, i principali requisiti, non solo tecnici, che sono richiesti dal Toolbox, sono i seguenti:

1. Il rispetto dei protocolli di identificazione dei possibili contagi per come definito da ECDC (European Centre for Disease Prevention and Control, Centro europeo per la prevenzione e il controllo delle malattie), aggiornandone i contenuti soltanto in termini di prossimità, distanza, importanza storica della prossimità, tipo di contatto.
2. La definizione e l’osservanza di procedure chiare e trasparenti nei confronti dei cittadini sulle modalità di accesso ai dati (da limitarsi alle sole autorità pubbliche sanitarie o agli istituti che si occupano di effettuare i dovuti controlli e procedere alla conferma dell’infezione), e di notifica dell’avvenuto contatto. L’Autorità pubblica sanitaria dovrebbe anche autorizzare l’app, in caso di positività, a notificare e gestire differenti livelli di rischio, in base alla durata ed alla vicinanza del contatto, senza rivelare l’identità del soggetto positivo.
3. Le app, come noto, dovranno garantire la sicurezza dei dati ed il rispetto delle misure a tutela della privacy degli interessati, in particolare per quanto riguarda le modalità di raccolta, conservazione e comunicazione/diffusione dei dati.
4. Le app dovranno essere disabilitate una volta cessata la pandemia, ed il loro contenuto rimosso o anonimizzato.
5. La preferenza per una determinata app dovrà tenere conto anche delle tecnologie dalla stessa utilizzata. Dovrà propendersi dunque per soluzioni che abbiano un trattamento decentralizzato (con conservazione solo sui dispositivi individuali), per mezzo di identificativi generati casualmente e senza utilizzo di ulteriori informazioni personali o dei numeri di telefono.
6. L’app dovrà essere in grado di garantire l’accuratezza delle rilevazioni, specie in relazione alla prossimità, registrando quanto i dispositivi erano vicini e quanto questa vicinanza è durata. Gli ID generati dovranno essere randomici e cambiare periodicamente, al fine di garantire: accuratezza; completezza; integrità; scalabilità; sicurezza.
7. L’app dovrà seguire comuni protocolli di interoperabilità anche al di fuori dei confini regionali e nazionali, per consentire alle Autorità di gestire il contatto a livello europeo, sulla base di accordi epidemiologici tra gli Stati membri, sempre fondati sui protocolli di ECDC, che gestiscano il flusso di informazioni e diano delle definizioni comuni (ad esempio, della prossimità).
8. Le app dovranno garantire il rispetto degli standard di sicurezza indicati da ENISA, oggetto dell’allegato 1 del provvedimento, basati sulle migliori best practice relativa alla progettazione, allo sviluppo e all’implementazione di applicazioni mobili. Tutte le misure di sicurezza indicate hanno lo scopo di prevenire e scongiurare fenomeni di abuso, e ricomprendono soluzioni tecniche come la crittografia, l’autenticazione sicura degli utenti, l’adozione di protocolli di comunicazione sicuri, ed altri. Imprescindibile risulta altresì la conduzione di test indipendenti della sicurezza delle applicazioni e la redazione di una valutazione d’impatto da rendersi pubblica, come fatto per le app austriache e norvegesi, secondo un principio di trasparenza da parte delle autorità verso i cittadini, resi consapevoli e partecipi del funzionamento delle app che viene loro richiesto di far entrare nelle proprie vite private.
9. La natura del trattamento dovrà essere volontaria e temporanea, nonché in linea con i principi e le linee guida fornite dalla Commissione e dalle Autorità competenti. Tale concetto, fondamentale, viene ribadito più volte all’interno del documento, per evitare che un episodio di emergenza divenga anche fonte di abusi e stigmatizzazioni sociali a danno degli stessi cittadini.
10. I titolari del trattamento dovranno essere individuati nelle Autorità Sanitarie nazionali o, alternativamente, l’autorità nazionale competente designata ai sensi dell’art. 9 della Decisione 1082/2013 o altra autorità sanitaria individuata dagli Stati Membri.
11. Dovrebbero essere implementate, infine, delle soluzioni per garantire l’accessibilità e l’inclusività, di coloro che per svariati motivi non possono utilizzare l’app, chiamati “esclusi digitali”. In tale categoria si ricomprendono non solo gli anziani ma anche i bambini e il personale sanitario (il quale, per ovvie ragioni, non utilizza il proprio cellulare durante il turno). Tra le possibili soluzioni a supporto di queste categorie sensibili e fortemente a rischio, si enunciano dispositivi indossabili o da potersi utilizzare in via autonoma, senza il ricorso ad uno smartphone.

Elencati alcuni dei punti cardine del Toolbox in relazione ai requisiti delle app, al fine di aumentare l’efficacia degli strumenti digitali, si richiede anche agli Stati membri di porre in essere ulteriori azioni di supporto:

1. condividere informazioni epidemiologiche con le Autorità Pubbliche Sanitarie degli altri Stati e cooperare con ECDC, tramite l’utilizzo di dati anonimizzati e/o aggregati che facilitino lo studio dell’epidemia e le dinamiche di trasmissione della stessa;
2. prevenire il proliferare incontrollato di app non ufficiali che utilizzino l’emergenza per sottrarre dati sensibili agli utenti, tramite un sistema di accreditamento delle app ufficiali e una collaborazione con gli app store finalizzata alla rimozione delle applicazioni potenzialmente dannose;
3. monitorare l’efficacia delle apps tramite Key Point Indicators (KPI), ossia indici che ne verifichino, nel tempo, l’utilità e le performance;
4. Assicurare la trasparenza e la chiarezza in ogni azione intrapresa nei confronti dei cittadini, per renderli partecipi e consapevoli, alimentando un sano dibattito pubblico.

Covid-19 e app di contact tracing: le linee guida 04/2020 di EDPB

Sulla base di quanto affermato dalla Commissione, EDPB si occupa di chiarire quali possano essere i presupposti, giuridici e tecnici, per utilizzare i dati di geolocalizzazione e gli strumenti di contact tracing, rispettivamente nei seguenti ambiti:

• a supporto della pandemia tramite la definizione di modelli di diffusione del virus, per analizzare l’efficacia delle misure di isolamento e quarantena;
• per informare coloro che vengono in contatto con soggetti risultati positivi, per contenere la trasmissione del virus.

In relazione ai dati di localizzazione, EDPB rileva quanto segue:

• i dati raccolti dai fornitori di servizi di telecomunicazioni dovranno essere raccolti e trattati nel pieno rispetto degli articoli 6-9 della direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche (più comunemente nota come “direttiva e-privacy”: potranno, quindi, essere trasmessi a terzi o alle autorità competenti solo una volta che il fornitore li abbia resi anonimi o, per i dati che indicano la posizione geografica dell’hardware utilizzato dall’utente, solo previo consenso espresso di quest’ultimo;
• i dati raccolti direttamente dai telefoni o dai dispositivi elettronici, dovranno essere trattati nel rispetto dell’art. 5 della direttiva e-privacy, ossia solo previo consenso dell’utente o qualora la memorizzazione e/o l’accesso a tali dati siano strettamente necessari al servizio della società dell’informazione esplicitamente richiesto dall’utente;
• l’utilizzo dei dati raccolti da un fornitore di servizi di telecomunicazioni a fini di modellizzazione dovrà altresì avvenire solo con il consenso espresso e separato dell’utente o sulla base di una normativa Europea o nazionale che costituisca una misura “necessaria e proporzionata” a salvaguardia di uno degli interessi pubblici di cui all’art. 23 GDPR;
• la tecnica di anonimizzazione dei dati utilizzata dovrà essere analizzata e verificata alla luce di tre parametri:

1. individuabilità (singling out), consistente nella possibilità di isolare un individuo all’interno di un gruppo di soggetti, sulla base dei dati che si possiedono;
2. correlabilità, ossia la possibilità di correlare due record riguardanti la medesima persona;
3. inferenza, ossia la possibilità di dedurre, a partire dai dati in possesso, ulteriori informazioni relative ad un determinato soggetto;

• il risultato dei precedenti test relativi alle modalità di anonimizzazione dovrà essere esposto con chiarezza agli utenti, secondo un principio generale di trasparenza.

Con riguardo, invece, alle app di tracciamento dei contatti, EDPB si è occupato di delineare più approfonditamente, rispetto a quanto fatto nella lettera del 14.04. i profili legali e di funzionamento minimi che le stesse devono garantire. Tra questi si rileva, in particolare, che:

• le finalità del trattamento dovranno essere limitate ai soli scopi connessi alla gestione della crisi sanitaria causata dal COVID-19;
• sulla base dell’art. 5 della direttiva e-privacy, per le operazioni strettamente necessarie per permettere al fornitore dell’app di rendere il servizio richiesto esplicitamente dall’utente, non sarà necessario il consenso; per tutte le altre, invece, il fornitore della app dovrà acquisire il consenso espresso dell’utente;
• dovranno essere chiariti i criteri per stabilire quando la app di contact tracing dovrà essere disinstallata ed i soggetti che determineranno tale data;
• le basi giuridiche di cui all’art. 6 e all’art. 9 GDPR, in particolare il consenso e l’interesse pubblico, oltre che la conduzione di ricerche scientifiche e statistiche, non devono essere derogate ma fungere da pilastro dei trattamenti che saranno posti in essere;
• a garanzia della correttezza dei trattamenti e del rispetto del principio di responsabilizzazione, gli algoritmi utilizzati dalla app dovranno essere verificabili e sottoposti ad esame periodico da parte di esperti indipendenti del settore;
• il codice sorgente della app dovrà essere reso pubblico per assicurare la trasparenza sul suo funzionamento;
• l’app non dovrà raccogliere dati ultronei a quelli strettamente necessari, come dati anagrafici, identificativi di comunicazione, messaggi, registrazioni di chiamate, identificativi del dispositivo ecc.;
• gli ID generati dall’app dovranno essere univoci e pseudonimi, nonché rinnovati regolarmente per limitare il rischio di identificazione e localizzazione dell’utente;
• ogni server coinvolto nel trattamento dovrà raccogliere solo la cronologia dei contatti o gli ID pseudonimizzati di utenti risultati infetti a seguito di apposito test, sia esso volontariamente eseguito o effettuato dalle autorità sanitarie; in alternativa, dovrà conservare un elenco degli id relativi a utenti infetti o la cronologia dei loro contatti soltanto per il tempo necessario a informare gli utenti potenzialmente infetti dell’avvenuta esposizione, senza tentare di individuare questi ultimi;
• dovranno essere utilizzate tecniche crittografiche di ultima generazione e sistemi di autenticazione reciproca tra la app e il server remoto;
• la segnalazione nella app di utenti infetti dovrà essere svolta secondo codici monouso correlati ad un id pseudonimo e collegato a un laboratorio o ad un operatore sanitario. Ove la conferma sicura della positività non sia possibile, non potrà svolgersi un trattamento di dati, essendo lo stato dell’utente solo presunto.

Conclusioni

Svolte le dovute premesse teoriche, occorre soffermarsi su un aspetto più sostanziale, che compare più volte tra gli obiettivi di ogni Stato Membro: la trasparenza e la semplicità esplicativa delle proprie scelte.

Nonostante il roseo e ottimo proliferare di linee guida ed indicazioni in merito alle migliori strategie da adottarsi in materia di contact tracing, infatti, vi è ancora molta confusione su quali saranno i prossimi scenari e sulle modalità tramite cui queste app concretamente opereranno. Questo appalesa un problema tanto noto quanto radicato, che consiste nella primordiale mancanza di chiarezza cui le più recenti riforme normative sulla protezione dei dati personali, e non solo, tentano di porre rimedio.

Un cittadino che non conosce e che comprende solo in modo approssimativo i compiti civici a lui spettanti e le effettive funzionalità degli strumenti che dovrà “essere costretto” a utilizzare, per evitare una sanzione, vivrà nel dubbio; il dubbio, alimenterà la paura e annullerà gli intenti positivi delle azioni che oggi si vanno ad intraprendere e che potranno assurgere ad esempio del modus operandi “compliant” auspicato.

Occorre agire con lungimiranza, e prudenza, per instillare nuova fiducia nelle leggi, nella tecnologia e nelle istituzioni, e uscire da questa crisi più forti e uniti.