L’utilizzo di dispositivi mobili, come strumenti utili per raggiungere questo obiettivo ha sollevato diverse questioni importanti relative alla privacy e alla sicurezza
A cura di David Grout, EMEA CTO e Richard Weaver, Data Protection Officer di FireEye
I ricercatori di tutto il mondo si stanno affrettando per arrivare a creare vaccini e farmaci che possano fermare la pandemia di COVID-19, o quantomeno arrestarne la diffusione. Unitamente a questi sforzi anche la tecnologia ha dimostrato di possedere un ruolo utile per mitigare la crisi, fornendo un contributo prezioso in questa sfida globale.
L’utilizzo di dispositivi mobili, come strumenti utili per raggiungere questo obiettivo ha sollevato diverse questioni importanti relative alla privacy e alla sicurezza.
In primo luogo è importante chiarire di quali tipologie di dati e applicazioni si stia parlando. Queste rientrano in tre categorie principali, che sono relative ai loro obiettivi: comprendere il movimento generale della popolazione, verificare la potenziale vicinanza con gli individui positivi al COVID-19 e consigliare misure per l’auto quarantena, raccogliere informazioni dei pazienti per l’analisi statistica.
1. Tracciamento mobile per comprendere i movimenti della popolazione e l’impatto dell’isolamento.
Gli operatori di telefonia mobile in Germania, Italia e Francia hanno condiviso i dati relativi alla localizzazione mobile con i funzionari sanitari sotto forma di informazioni aggregate e anonime, tutto in linea con la legge e le normative locali. Poiché i Paesi membri dell’Unione Europea hanno regole molto specifiche su come gli utenti di app e dei dispositivi mobili devono acconsentire all’utilizzo dei dati personali, gli sviluppatori devono prendere in considerazione altre forme di dati utili a meno che non ottengano il consenso individuale degli utenti. L’approccio aggregato e anonimo è legato ai gruppi all’interno di una popolazione e non ai singoli individui, ma fornisce una visione chiara delle tendenze di spostamento della popolazione e quindi del possibile livello di rischio di ogni singola area.
2. Determinare la potenziale vicinanza a individui positivi al COVID-19:
Questo approccio è stato testato in Paesi come Germania e Francia. L’obiettivo è quello di limitare la diffusione del virus identificando le persone che sono potenzialmente entrate in contatto con un individuo risultato positivo e consigliando poi a queste persone l’auto quarantena. In Germania, il governo si basa sulle regole definite dal Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), mentre la Francia esplora questo argomento con l’INRIA sotto il progetto denominato: ROBERT-ROBust and privacy-presERving proximity Tracing protocol.
Queste tipologie di applicazioni sono state utilizzate in diversi Paesi dall’inizio della pandemia, tra cui Singapore (TraceTogether), Cina (Alipay Health Code) e Israele (Hamagen).
3. Raccolta delle informazioni degli utenti per l’analisi statistica:
Questo approccio è stato utilizzato dal governo britannico attraverso l’applicazione ‘C-19 Covid Symptom Tracker’, sviluppata dalla startup ZOE in associazione con il King’s College di Londra.
I dati necessari per soddisfare tutti e tre gli obiettivi vengono poi memorizzati dai provider di telefonia mobile in differenti luoghi che devono essere protetti, sia per garantire la privacy degli utenti che utilizzano l’applicazione sia per evitare manipolazioni/danneggiamenti dei dati da parte di terzi. Visto che i dati provengono da differenti luoghi, come i repository di GPS, Bluetooth e altre applicazioni presenti sul dispositivo, potrebbe essere necessario prendere in considerazione diverse disposizioni di sicurezza per ogni fonte. Gli enti regolatori stanno riconoscendo che gli sviluppatori di app hanno bisogno di una guida tempestiva per bilanciare la raccolta di dati con la salvaguardia della privacy, con strumenti appropriati per il controllo dei dati da parte del pubblico. Nell’Unione Europea la dichiarazione del Presidente dell’EDPB sul trattamento dei dati personali nel contesto della pandemia, pubblicata nel marzo 2020, fa progredire questo obiettivo.
Principi chiave per l’utilizzo responsabile dei dati di localizzazione delle app COVID-19
1. Raccolta del consenso per il tracciamento dei dati a livello individuale
Oggi la maggior parte delle applicazioni viene scaricata e avviata volontariamente dagli utenti. La sfida è che spesso queste applicazioni devono essere utilizzate da una certa percentuale della popolazione per essere veramente utili nella lotta contro il virus. Questo fatto può indurre gli sviluppatori a non rivelare il verso scopo dell’app. Una recente indagine in Europa ha evidenziato che circa l’80% della popolazione in Francia, Italia e Germania era disposta ad adottare un’applicazione di tracciamento durante la pandemia di COVID-19. Tuttavia, se questa app nascondesse una qualsiasi raccolta e condivisione dei dati, il consenso fornito da un individuo non potrebbe essere più valido.
Le applicazioni devono spiegare quali tipologie di dati vengono raccolti, in che modo e qual è l’obiettivo della raccolta. A titolo di esempio, il team pan europeo per il tracciamento della prossimità per la tutela della privacy ha spiegato chiaramente sul proprio sito internet che non raccoglie informazioni personali come indirizzi, numeri di telefono o geo-localizzazione. FireEye sta anche incoraggiando gli sviluppatori a garantire che le applicazioni rispettino i privilegi che gli utenti hanno concesso loro e non ne abusino operando al di fuori dei compiti necessari.
Gli sviluppatori delle app devono indicare a quali condizioni i dati collezionati possono essere condivisi o venduti a terzi. La condivisione a terzi limitata agli enti sanitari, ad esempio, può essere più interessante per l’utente finale rispetto alla vendita di dati a terzi che non sono correlati.
2. Restrizioni di tempo
Gli sviluppatori delle applicazioni dovrebbero inserire la funzionalità di interrompere il loro utilizzo se le autorità sanitarie nazionali stabiliscono che i dati che collezionano non sono più necessari per affrontare la pandemia. Anche la conservazione e l’archiviazione dei dati dovrebbero essere guidate da decisioni prese dalle autorità sanitarie nazionali.
3. Utilizzare la giusta tecnologia
La comprensione della tecnologia su cui si basano gli utenti e i fornitori per lo scambio di informazioni è la chiave per un’adozione di successo. Fornitori e responsabili delle policy dovranno definire le regole specifiche per ogni tecnologia e il suo utilizzo associato. Il modo in cui le tecnologie stanno collezionando le informazioni è importante quando viene definito il come, il quando e il perché dell’utilizzo di una tecnologia rispetto a un’altra.
4. Proteggere in modo adeguato i dati collezionati
I fornitori di applicazioni devono garantire un adeguato livello di sicurezza, possibilmente attraverso l’utilizzo della crittografia, per evitare fughe di dati e qualsiasi manipolazione di questi da parte di enti terzi non di fiducia. I fornitori devono inoltre essere trasparenti sulle loro scelte per quanto riguarda l’implementazione tecnologica delle loro applicazioni e la loro sicurezza. Si dovrebbe seguire una guida relativa al processo di implementazione e le regole di compliance già messe in atto dalle organizzazioni internazionali e dai governi.
5. Essere disponibili a semplificare l’esercizio dei diritti di protezione dei dati, compresi i diritti di cancellazione
A seconda della giurisdizione, gli utenti finali possono avere il diritto di richiedere l’accesso ai dati personali che sono stati raccolti e chiederne la cancellazione. Gli sviluppatori devono studiare a come riceveranno queste richieste, le convalideranno e ne daranno seguito.
FireEye consiglia agli sviluppatori di applicazioni di lavorare con i loro consulenti legali per comprendere l’evoluzione delle linee guida delle autorità di regolamentazione.
Raggiungere un equilibrio tra una rapida release di una nuova applicazione e massimizzare il suo impatto nell’aiutare ad arrestare la diffusione del virus, garantendo allo stesso tempo una rigorosa e collaudata strategia di sicurezza e privacy è una sfida. Tuttavia se si eseguono i procedimenti corretti gli utenti avranno un problema in meno di cui preoccuparsi in un periodo già per di sé complicato.