STOPCOVID: Il percorso di un'applicazione controversa

STOPCOVID: Il percorso di un'applicazione controversaNon passa giorno senza che la questione del "deconfinamento" della popolazione venga affrontata, in Francia come altrove, in relazione al tracciamento del virus e degli individui che lo trasmettono.

Tra gli sviluppi recenti si segnala la creazione di un archivio per tracciare le persone infette, i cui dettagli vengono sottoposti alla CNIL per la revisione.

I media hanno anche riferito di uno stallo tra GAFAM e governo per implementare l'applicazione più virtuosa "stopCovid".

Sebbene i dibattiti parlamentari su questa applicazione siano attualmente sospesi, possiamo avere una visione chiara delle problematiche e degli impatti di tale monitoraggio digitale?

Si tratta di una questione di sovranità nazionale, di controllo dei dati o, più prosaicamente, di “semplici” scelte tecniche?

La questione è importante perché non riguarda solo la Francia, ma la maggior parte dei paesi europei e altri Stati che stanno cercando di gestire la pandemia.

Protocolli e il loro impatto sull'elaborazione dei dati

Il progetto PEPP-PT (Privacy Preserving Proximity Tracing) era originariamente concepito per consentire lo sviluppo di applicazioni in Europa su base armonizzata, nel rispetto della legge.

L'obiettivo è quello di informare una persona di essere stata in contatto con una persona infetta, basandosi sulla tecnologia Bluetooth del suo smartphone, senza geolocalizzarla.

Sebbene inizialmente il PEPP-PT sembrasse ottenere consensi, diverse centinaia di scienziati ne hanno preso le distanze e hanno preso posizione in una lettera aperta a favore di un protocollo basato su un approccio decentralizzato come il DP-3T (decentralized privacy preserving proximity tracing), in modo che i dati rimangano archiviati localmente: ciò offrirebbe maggiori garanzie in termini di sicurezza dei dati e per quanto riguarda i rischi di appropriazione indebita dei dati da parte di terzi o di utilizzo per scopi diversi.

Ricordiamo che la conservazione dei dati a livello locale è un principio di proporzionalità e di Privacy by Design, propugnato anche in altri contesti, come il trattamento dei dati biometrici.

La CNIL ha una posizione chiara su questo argomento, che si ritrova in particolare nella sua comunicazione relativa all'uso dei dati biometrici tramite smartphone o sul posto di lavoro. 

Gli strumenti implementati da Google e Apple sono stati sviluppati (in particolare) con questa prospettiva di archiviazione locale raccomandata nel protocollo DP-3T, al fine di impedire un utilizzo eccessivamente invasivo dei dati provenienti dai laptop degli utenti.

Il problema sorge quando la Francia (e inizialmente la Germania, che poi ha cambiato idea) sviluppa un'applicazione basata sul protocollo Robert (per un tracciamento di prossimità ROBust e rispettoso della privacy), che non può funzionare in base alle funzionalità proposte da Apple e Google, con requisiti specifici in termini di Bluetooth e centralizzazione dei dati (i dettagli sono spiegati chiaramente qui).

Ciò non significa di per sé che la domanda francese violi i principi di protezione dei dati: sono state fornite garanzie (in particolare in termini di pseudonimizzazione) e la CNIL, pur formulando alcune osservazioni, ha espresso parere favorevole.

Ma laddove la Francia sta prendendo precauzioni, quanti altri paesi più o meno democratici approfitterebbero delle funzionalità "à la carte" offerte da Apple e Google per effettuare una sorveglianza molto più invasiva delle loro popolazioni?

Ciò spiega – in parte – la riluttanza dei giganti del web e l’attuale situazione di stallo.

La presidenza del Consiglio europeo ha inserito questo punto all'ordine del giorno della riunione del 5 maggio, durante la quale i ministri delle telecomunicazioni dell'UE cercheranno di adottare un approccio comune.

Il quadro giuridico

Al di là di questi aspetti tecnici, la gestione dei dati di contatto tramite questo tipo di applicazioni solleva problematiche comuni dal punto di vista giuridico: precisiamo subito che i dati non sono anonimi ma pseudonimizzati, il che porta all'applicazione del GDPR e dei principi di protezione dei dati delle telecomunicazioni.

Oltre alla natura volontaria dell'utilizzo dell'applicazione, il governo può trattare questo tipo di dati sensibili solo se autorizzato da una specifica base giuridica.

Inoltre, è necessario garantire la trasparenza del trattamento, proteggere i dati e pianificarne la cancellazione entro limiti di tempo rigorosi.

Che si tratti della CNIL, dell'EDPB (gruppo delle "CNIL" europee), del Garante europeo della protezione dei dati (GEPD) nella sua audizione al Senato del 27 aprile o del Consiglio d'Europa, le autorità di controllo sottolineano che nessun sistema può evitare completamente le vulnerabilità e i rischi di reidentificazione, sia che si tratti di un sistema centralizzato o decentralizzato.

Concordano sulle precauzioni da adottare nella progettazione e nell'utilizzo delle applicazioni, ma sottolineano anche innanzitutto la natura non banale di questo tipo di strumenti, citando il rischio di prolungare le situazioni di emergenza e di abituare la popolazione a una sorveglianza latente. 

Nello stesso spirito, possiamo citare gli studenti che oggi devono abituarsi a ricevere regolarmente screenshot del loro terminale da parte del docente quando sostengono un esame a distanza e che potrebbero trovare normale questo tipo di intrusione in altri contesti.

Si tratta quindi innanzitutto di non eludere la questione fondamentale della necessità della misura, del suo impatto e della sua proporzionalità di fronte alle conseguenze sui diritti fondamentali dei singoli.

E inoltre:

• In Francia:

Oltre a un numero significativo di schede pratiche relative alla gestione della pandemia nel contesto della ricerca scientifica, delle relazioni di lavoro e del monitoraggio degli individui, la CNIL ha appena lanciato un consultazione pubblica sui diritti dei minori nell'ambiente digitale. Sarà aperto fino al 1° giugno 2020.

• Europa e Internazionale:

Il Comitato europeo per la protezione dei dati (EDPB)) ha adottato diversi documenti volti a orientare le autorità pubbliche e le aziende nell'ambito della gestione dei dati nel contesto della pandemia: si è concentrato in particolare sulle condizioni per il trattamento dei dati a fini di ricerca medica, sui trasferimenti internazionali di tali dati e sul tracciamento e la localizzazione tramite terminali mobili.

A livello internazionale, i documenti di tutte le autorità sono disponibili sul sito web della Global Privacy Assembly.

BEUC (Organizzazione europea dei consumatori) ha comunicato il 21 aprile un'azione congiunta con oltre 40 organizzazioni per i diritti e le libertà dei consumatori in merito alla sorveglianza diffusa da parte dell'industria adtech e al tracciamento digitale.

Belgio : L'autorità per la protezione dei dati ha imposto un Sanzione di 50.000 euro per violazione del principio di indipendenza del DPO : la camera di contenzioso ha quindi ritenuto che l'accumulo di tale funzione con quelle di direttore dei dipartimenti di rischio, audit e conformità costituisse un conflitto di interessi.

Paesi Bassi: L'autorità di vigilanza olandese ha imposto la sua multa più alta alla fine di aprile, pari a 725 000 €, contro una società che ha elaborato impronte digitali dei suoi dipendenti senza una reale giustificazione in termini di sicurezza.

Anna Cristina Lacoste

Avvocato specializzata in diritto dei dati, è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.

Nell'ambito dell'espansione del lavoro a distanza, l'autorità ha anche condotto un confronto molto dettagliato dei principali sistemi di videoconferenza in relazione alla protezione dei dati. Solo la versione olandese è disponibile online, motivo per cui alleghiamo la traduzione integrale non ufficiale in inglese (grazie a Christopher Schmidt). A questo elenco va aggiunta anche la soluzione Tixeo, menzionata dalla CNIL nelle sue raccomandazioni sulla videoconferenza e certificata dall'ANSSI.