I TechDispatch sono rapporti pubblicati periodicamente dal Garante Europeo della protezione dei dati (European Data Protection Supervisor - EDPS) allo scopo di spiegare gli sviluppi delle nuove tecnologie emergenti. Il recente TechDispatch del 7 maggio 2020 sintetizza le principali questioni concernenti la protezione dei dati personali nelle c.d. attività di tracciamento dei contatti (contact tracing) eseguite tramite applicazioni mobili, volte al contenimento dell’emergenza COVID-19.
Durante le epidemie di malattie infettive, come il COVID-19, è importante abbassare il numero di nuovi casi di infezione e fermare la catena di trasmissione dei contagi. La possibilità di tracciare gli spostamenti degli individui con App per smarthpone può supportare il processo ma comporta il trattamento di categorie particolari di dati personali, riguardanti la salute degli interessati. Il TechDispatch del 7 Maggio del Garante identifica le implicazioni più importanti dal lato della protezione dati, come la possibile sorveglianza su larga scala, la trasparenza e minimizzazione del trattamento, la centralizzazione e decentralizzazione dei dati, l’accuratezza e la sicurezza delle informazioni ai sensi del Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 – GDPR.
L’EDPS definisce contact tracing quel processo che identifica gli individui che sono entrati in contatto con persone infette e specifica che per stabilire il rischio di esposizione al virus, "sono rilevanti informazioni quali la distanza e la durata del contatto”. Per questo motivo, quando una persona scopre di essere infetta, deve comunicare con chi è entrata in contatto in modo che questi soggetti possano essere identificati, informati ed eventualmente isolati anche prima che i contagiati vengano a conoscenza di essersi ammalati. Nei Paesi Membri dell'Unione Europea, il processo d’identificazione delle persone entrate in contatto con individui infetti (c.d. casi conosciuti) è di pertinenza dalle diverse Autorità nazionali competenti in materia di salute, si pensi ad esempio alle ASL italiane.
Il Centro Europeo per la prevenzione e il controllo delle malattie, identifica il contact tracing tradizionale nel colloquio tra l’infetto e le Autorità nazionali competenti in materia di salute e individua i passaggi chiave per la raccolta delle informazioni volte a ricostruire la catena dei contagi di ogni singolo caso conosciuto. Spetta dunque alle Autorità nazionali “raccogliere la storia clinica del malato e identificare le persone con le quali è entrato in contatto in un determinato lasso temporale" al fine di "informare queste ultime, verificare il loro stato di salute" e prendere i provvedimenti adeguati. I contatti più vicini ad alto rischio d’infezione, quali ad esempio i conviventi, potrebbero essere sottoposti a procedure differenti rispetto ad altri gruppi di persone entrate in contatto con l’interessato. In un contesto eccezionale e limitato nel tempo, come quello di una pandemia, a "supporto e complemento” del contact tracing tradizionale, si può fare uso di quello digitale. Il tracciamento digitale dei contatti o digital contact tracing permette di tracciare automaticamente i c.d. contatti significativi grazie ai sensori a onde radio presenti negli smartphone, già utilizzati per il Wi-Fi, il Bluetooth e funzioni quali la geolocalizzazione, permettendo, così, di ricostruire immediatamente la catena dei contagi. Gli smatphone possono essere usati per registrare quando due persone sono “sufficientemente vicine per un tempo necessario tale da comportare un alto rischio di contagio” di COVID-19 (c.d. contatti significativi). Possono, inoltre, essere dotati di nuove funzionalità, nonchè implementate quelle già esistenti, tramite scaricamento di Applicazioni (App) o aggiornamenti del sistema operativo, allo scopo di contenere il virus. Si pensi ad esempio alla geolocalizzazione, possibile grazie a sistemi globali ed europei di navigazione satellitare. “Se i possessori di smatphone registrassero la loro posizione a un servizio centralizzato di un’autorità sanitaria, potrebbero essere calcolati i contatti significativi avvenuti nell’area” (digital proximity tracing) – esclusi quelli avvenuti in negozi e trasporti pubblici. Le App, sostiene Luca Ferretti, ricercatore senior al Big Data Institute dell’Università di Oxford ,"possono ridurre la diffusione del virus anche se le usa una bassa percentuale della popolazione". Tuttavia, si rileva che sebbene le recenti ricerche sull’efficienza del proximity tracing diano parere positivo, gli stessi risultati indicano che essa è garantita solo “se sussistono altre condizioni, quali la capacità dei test d’infezione e un ampio uso delle tecnologie” (L. Ferretti et. al Scienze mag - Marzo 2020). Le nuove tecnologie svolgono, quindi, un ruolo importante nel contenimento del COVID-19 ma il tracciamento digitale deve essere inteso come strumento ulteriore e temporaneo, a disposizione delle Autorità competenti, da affiancare o inglobare alle procedure tradizionali e agli strumenti sanitari standard.
Che si tratti di contact tracing tradizionale o digitale, il quadro giuridico di riferimento colloca questo tipo di trattamento di dati personali in un contesto sfidante per il settore stesso. l dati che riguardano le persone infette, in quanto relativi alla salute, sono dati particolari e richiedono una protezione speciale (Art.9 GDPR). Il tracciamento digitale prevede, inoltre, la registrazione preventiva di un numero molto elevato di persone (sorveglianza su larga scala), in luoghi sia pubblici che privati. Bisogna considerare, infatti, non solo l'elevato numero di casi conosciuti o di potenziali infetti ma che i contatti di un singolo individuo possono includere diversi gruppi di persone quali ad esempio la famiglia, i vicini, i colleghi di lavoro. Questi dati, associati ad altri data set ricavabili dal web, ad esempio dai social network, possono rivelare il nome, la residenza, il luogo di lavoro. Il numero di contatti e la frequenza, possono svelare le abitudini sociali e la religione che “associati ai dati che rintracciano la posizione (location data) tramite GPS possono raffigurare un quadro dettagliato della realtà quotidiana” di un vasto numero di interessati. Queste sono le ragioni che portano l'EDPS a constatare che le App di contact tracing possono presentare un “elevato rischio per i diritti e le libertà delle persone fisiche" e quindi richiedono sia una valutazione d’impatto dei trattamenti (data protection impact assessment) da eseguire prima della loro diffusione (Art.35, GDPR) che “misure tecnologiche volte a minimizzare l'uso di dati identificativi” (c.d. privacy enhancing technologies-PETs). Rivolgendosi a tutti i soggetti coinvolti nello sviluppo delle App dedicate al contenimento dell’emergenza COVID-19 - si pensi ad esempio alla App italiana “Immuni” - l’EDPS puntualizza che per adempiere alla propria funzione, le Applicazioni “non necessitano di dati quali l' identificazione diretta e degli spostamenti degli utenti” (intesi come location data). La minizzazione dei dati, ricorda il Garante, “può prevenire il pericolo d’identificazione diretta degli interessati, così come una pseudonimizzazione dei contatti che cambia regolarmente, ad esempio ogni 30 minuti.” L’EDPS auspica, invece, che le App siano dotate di misure adeguate per prevenire eventuali attacchi che possano portare ad una nuova identificazione e pone l'accento sulla differenza tra location data e proximity tracing. I dati che rivelano gli spostamenti, “sono particolarmente soggetti al rischio di nuova identificazione, per questo è meglio evitare del tutto questo tipo di tracciamento, preferendo la raccolta di dati che tracciano la posizione, nel senso di area di riferimento (proximity tracing), ottenuti tramite Bluetooth BLE.”
Come ogni altro supporto IT, le App di tracciameno devono essere scaricate su base volontaria e devono assicurare la trasparenza all’utilizzatore. Nel caso in cui l'Applicazione assicurasse un servizio centralizzato, cioè fisicamente eisstente al di là del digitale - ad esempio la ASL locale di riferimento - le modalità di raccolta dati sarebbero verosimilmente riconducibili a quelle del contact tracing tradizionale. Nello specifico, una volta che l’utente si è registrato tramite App, se risulta infetto, può decidere di aggiornare il proprio status. In seguito, sarà il servizio centralizzato, “a richiedere all’interessato eventuali prove digitali circa lo status di infetto, a trovare le corrispondenze degli utenti registrati e ad inviare una notifica ai contatti a rischio di infezione”, i quali non riceveranno alcun dato dell’utente iniziale. Come ulteriore garanzia di anonimizzazione, al fine di prevenire il collegamento dei dati raccolti nella diverse fasi della procedura sanitaria, il servizio che provvede ai test e alle conferme dello status di infetto potrebbe operare in maniera indipendente dal servizio centrale che detiene i dati del tracciamento. Nel caso, invece, di un sistema privo di servizio centralizzato, è lo Smartphone a rilevare automaticamente i contatti significativi dell’utente infetto e a pubblicare periodicamente gli ultimi casi d’infezione, in modo che gli utenti possano sempre restare informati. L'automaticità del sistema non può non ricordare le "condivisioni" e gli "aggiornamenti" effettuati dagli utenti, sui più comuni social network. L’installazione di questa tipologia di App, non richiede la registrazione dell’utente e la pseudononimizzazione avviene di default, garantendo l'anonimato. Tuttavia, le onde radio non sono in grado di rintracciare i contatti degli utenti con materiali o superfici infette e sono compatibili solo con sensori e Smartphone dello stesso tipo; per questi motivi sono soggette a falsi positivi e negativi. Si consideri, inoltre, che i dati distribuiti pubblicamente hanno un rischio maggiore di individuazione dell’utente e che gli scenari, a seguito di attacco al sistema e alla pseudonimizzazione, sono molteplici e possibili con l’uso di sensori più potenti di quelli utilizzati dalle App.
Il Garante Europeo specifica che "a fine pandemia le App di tracciamento non serviranno più”, e che devono essere previste procedure per disinstallare i sensori e le App, automaticamente o tramite l’invio d’istruzioni. I dati raccolti devono essere cancellati. L’EDPS conclude sottolineando che sebbene entrambe le tipologie di App di tracciamento comportino dei rischi, “nel caso delle App prive di un servizio centrale, la protezione dei dati personali dell’interessato viene rimessa al buon senso di ogni individuo” di non eseguire raffronti (match) tra dati pubblicati e altri data set.