Linee Guida della Commissione Europea (del 17.4.2020 GUCE C124 I/1):
- I titolari dei trattamenti devono essere le autorità sanitarie nazionali
- Le persone devono mantenere il controllo dei propri dati personali
- Non devono esserci conseguenze negative per chi non aderisce al programma di tracciamento (volontarietà)
- Ogni funzione di controllo deve essere separata, in modo da poter dare il consenso singolarmente a ciascuna
- Assenza di tracciamento di posizione (no GPS, si Bluetooth) e dati che risiedono sul dispositivo dell’utente che li mette a disposizione solo se vuole e dopo la conferma di essere infettato Covid-19
- Disattivazione automatica del tracciamento a fine emergenza pandemia
- Dati anonimizzati: non si risale alla identità delle persone (dati anche criptati)
- Interoperabili in tutta Europa
- Codice sorgente della applicazione pubblico (open source)
- Utilizzo delle più recenti/avanzate soluzioni tecnologiche di protezione della privacy
Approccio decentralizzato o centralizzato
Con il Bluetooth, in base alla potenza del segnale rilevato, le app tracciano solo il fatto che un certo dispositivo si sia avvicinato a un altro, salvando questi eventi sotto forma di un codice identificativo, e questi codici poi possono essere utilizzati per notificare alle persone se sono state vicine a un contagiato in modo centralizzato o decentralizzato.
Nel sistema decentralizzato, non c’è qualcuno che notifica ai sospetti contagiati il fatto di essere tali, è il sistema a farlo in automatico, e quindi poi sono loro a dover prendere delle decisioni. In questo caso un governo non viene però a sapere preventivamente i luoghi frequentati da un contagiato Covid-19
Nel sistema centralizzato i codici generati dai telefoni, quando si incontrano, vengono caricati su un server controllato da una autorità (sanitaria, governativa ecc), invece di essere conservati localmente sui telefoni e di conseguenza l’autorità interessata conosce centralmente tutti i contatti avuti da tutti i cittadini. Il rischio è che questi dati possano essere usati per una sorveglianza di massa e si presenta anche il rischio di un accesso abusivo a questi dati, che evidentemente hanno un valore di “intelligence”, anche indipendentemente dalla prevenzione del rischio Covid-19
Come potrebbe funzionare un app sotto il profilo del tracciamento Covid-19
- No obbligo di scaricarla
- Codice aperto e pubblico (open source)
- Tracciamento contatti via Bluetooth.
- Codici sul dispositivo dell’utente (anonimi) di tutti gli altri dispositivi cui è stato vicino entro un certo periodo
- Chi risulti positivo al virus e ha l’app installata può chiedere un codice agli operatori sanitari che servirà per caricare i dati della app su un server su cloud.
- Il server Provvede a calcolare per gli altri identificativi (quelli che risultano stati vicini al contagiato) il rischio e gli invia una notifica sullo smartphone, per autoisolarsi e/o di contattare i numeri appositi per l’emergenza.
- Un tracciamenti GPS potrebbe sempre essere implementato per individuare zone “focolaio” di contagio” (ma allora si torna a tracciare anche gli spostamenti dell’utente dell’app
- Ci sarebbe poi una seconda parte dell’app dove caricare informazioni quali età, sesso, malattie pregresse, farmaci, da aggiornare con sintomi e novità sullo stato di salute.
Domande
- Chi ha accesso alle informazioni sanitarie dell’app. ?
- Il notificato di prossimità con contagiato covid deve entrare in quarantena automatica e obbligatoria ?
- Il notificato può dimostrare di non essere positivo a tutela della sua libertà, e come ?
- Quale sarà sorte di tutti i prossimi (congiunti, colleghi, amici) del notificato ?
- Se viene commesso un grave reato, ad esempio un omicidio, i dati della app sanitaria protranno essere usati come prova penale o civile ?
- Se i dati vengono a conoscenza di un datore di lavoro e questo assume provvedimenti interdittivi o discriminatori che succede ?
I dati corrono veloci: le tutele giurisdizionali anche ?