Dalla Lombardia, che analizza gli spostamenti usando i dati di Vodafone e Tim, alla possibilità che vengano tracciati tutti i contatti dei malati di Covid-19
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Martina Pennisi, Il Corriere della Sera, 18 marzo 2019)
Perché si sta discutendo della possibilità di usare i dati dei nostri smartphone per contenere l’epidemia del virus Sars-Cov-2?
Dal 20 febbraio, giorno in cui siamo venuti a conoscenza del primo cittadino italiano malato di Covid-19, in Italia sono morte 2.978 persone con il virus Sars-Cov-2 e i contagiati hanno superato quota 35 mila (qui i dati aggiornati). Per questo motivo si sente parlare della possibilità di sfruttare la tecnologia per monitorare e provare a contenere l’epidemia. Lunedì l’Organizzazione Mondiale della Sanità ha caldeggiato qualcosa di simile auspicando test a tappeto, isolamento dei positivi e tracciamento dei loro contatti. Come si sono spostati e con chi sono venuti a contatto i malati, quindi.
Cosa sta facendo la Regione Lombardia?
Il vice presidente della Lombardia e assessore per la Ricerca Fabrizio Sala e l’assessore al Welfare Giulio Gallera hanno scoperchiato il vaso di Pandora martedì sera, annunciando di aver analizzato gli spostamenti “da cella a cella” dei telefoni cellulari per capire quanti abitanti si muovono sul territorio e come lo fanno (qui l’articolo di Cesare Giuzzi). Innanzitutto è bene premettere che si tratta di una versione light delle soluzioni più articolate e delicate che potrebbero venire adottate nei prossimi giorni o settimane. In questo caso, la Regione afferma di acquisire i dati anonimi e aggregati di Vodafone e Tim sul numero di telefonini che si agganciano alle antenne (qui Alessio Lana spiega come funziona): mentre ci muoviamo per continuare a funzionare il telefonino passa da una porzione di rete all’altra — le celle, appunto — e così i due operatori, prima, e la Regione, poi, sanno quante persone si sono spostate da un luogo a un altro e, per esempio, scoprono se in molti sono andati oltre le poche centinaia di metri concesse dal decreto (a queste condizioni, in continua evoluzione). Come spiega Sala al Corriere, “l’esperienza deriva da Expo e dall’analisi di flussi intorno e all’interno della fiera. Per Covid-19, abbiamo preso in considerazione il 20 febbraio, giorno del primo caso, e ci siamo resi conto che dopo il lockdown gli spostamenti sono calati solo del 60 per cento. Troppo poco”. Cosa vuol dire che le informazioni sono anonime e aggregate? “Sono dati secchi, numeri. Non abbiamo modo di risalire ai proprietari dei cellulari”, risponde Sala. Rimane il fatto che un primo canale di acquisizione e analisi dei dati delle società di telecomunicazioni per gestire Covid-19 sia stato aperto e che ne sia stata data comunicazione un mese dopo.
Cosa sta facendo il governo?
Qui inizia la parte delicata. Con il primo decreto sull’emergenza del 9 marzo, la Protezione civile ha già ottenuto una deroga per acquisire e trattare i dati biometrici che identificano in modo univoco una persona o quelli sulla salute. Quello del 17 marzo, Cura Italia, prevede la nomina di un “contingente di esperti” che si occupi “di dare concreta attuazione alle misure adottate per il contrasto e il contenimento del diffondersi del virus con particolare riferimento alle soluzioni di innovazione tecnologica”. Come anticipato da Wired Italia, sarà il ministero dell’Innovazione di Paola Pisano a occuparsi di questa task force, di cui faranno parte economisti ed esperti del tracciamento dei dati i cui nomi arriveranno con un decreto di nomina. Sul piatto verranno messi sia dati di fonti aperte, come la Protezione civile, sia di fonti dal mondo universitario. L’Università di Pavia, per esempio, che secondo Wired ha ottenuto da Facebook i dati sugli spostamenti da Nord a Sud nella notte del grande esodo, tra il 7 e l’8 marzo, dopo che il premier Giuseppe Conte ha annunciato la chiusura della Lombardia. Quindi: fonti aperte, dati anonimi e aggregati o dati che non escono dai dipartimenti degli atenei. Ancora diverso – ed ecco il punto – è il discorso del monitoraggio dei contatti dei casi positivi di cui parlavamo all’inizio: per attivarlo e andare a indagare sulla posizione e sugli spostamenti dei singoli cittadini e delle persone che incrociano, seppur ridistribuendoli anonimamente, servono regole e garanzie, come sottolineato anche dall’European Data Protection Board citando il Regolamento europeo per la privacy Gdpr, che consente il trattamento per finalità di sicurezza nazionale ma allo stesso tempo richiede una valutazione d’impatto e sulla sicurezza. Il governo non si è ancora sbilanciato. Nonostante questo sono numerose le dichiarazioni di aziende o startup (come quella raccolta da Elena Tebano) che stanno sviluppando applicazioni per tracciare i movimenti dei malati di Covid-19 ed eventualmente avvisare chi è entrato in contatto con loro. Anche Asstel, l’associazione di rappresentanza delle compagnie telefoniche, ha dato la sua disponibilità, ribadendo che serve un’indicazione dell’esecutivo.
Il modello della Corea del Sud
Il modello è quello della Corea del Sud, che ha puntato innanzitutto su test a tappeto (come vuole fare il Veneto di Zaia) e poi sull’uso della tecnologia con applicazioni mobili e attingendo a Gps o carte di credito per creare una mappa del contagio, utile anche per allertare le persone che potrebbero aver incrociato un infetto, di cui nessuno saprebbe nome e cognome (ma tutti saprebbero dove è stato e chi lo conosce potrebbe ricostruirlo). “La Corea ce l’ha fatta. Questa è una misura è un po’ lesiva della privacy e bisogna avere la certezza che il dato venga usato a fini di sanità pubblica, ma tracciare tutti i contatti dei positivi può aiutare a contenere il contagio, anche in questa condizione di semi reclusione in cui siamo. Si tratta di una misura eccezionale che dovrebbe essere svolta solo per un determinato periodo”, afferma Paolo Bonanni, ordinario di Igiene all’Università degli Studi di Firenze e componente della Società italiana di Igiene, medicina preventiva e sanità pubblica.
E la privacy?
Il Corriere ha chiesto al Garante per la privacy Antonello Soro di chiarire i punti più delicati.
Sul caso della Lombardia: “Non siamo stati informati dell’iniziativa della Lombardia e non la conosciamo, dunque, nei dettagli. Dalle notizie pubblicate sembrerebbe si tratti unicamente di dati aggregati e anonimi e ci riserviamo di verificarlo”. Sul tracciamento dei contagi anche in Italia: “L’acquisizione di trend, effettivamente anonimi, di mobilità potrebbe risultare una misura più facilmente percorribile, laddove, invece, si intendesse acquisire dati identificativi, sarebbe necessario prevedere adeguate garanzie, con una norma ad efficacia temporalmente limitata e conforme ai principi di proporzionalità, necessità, ragionevolezza. In tal senso, andrebbe effettuata un’analisi dell’effettiva idoneità della misura a conseguire risultati utili nell’azione di contrasto. Ad esempio, apparirebbe sproporzionata la geolocalizzazione di tutti i cittadini italiani, 24 ore su 24, non soltanto per la massività della misura ma anche e, forse, preliminarmente, perché non esiste un divieto assoluto di spostamento e dunque la mole di dati così acquisiti non avrebbe un’effettiva utilità. Diversa potrebbe essere, invece, la valutazione relativa alla geolocalizzazione, quale strumento di ricostruzione della catena epidemiologica. In ogni caso, è indispensabile una valutazione puntuale del progetto. Non è il tempo dell’approssimazione e della superficialità”.
Sulla possibilità che vengano coinvolte anche le piattaforme come Google o Facebook: “Il coinvolgimento delle piattaforme, se necessario ai fini dell’acquisizione di dati utili a fini di prevenzione, va normato adeguatamente, circoscrivendo, per ciascun soggetto coinvolto nella filiera del trattamento, i rispettivi obblighi. Se, infatti, può essere opportuno che il patrimonio informativo di cui dispongano i big tech sia messo a disposizione per fini di utilità collettiva, dall’altro questo non deve risolversi in un’occasione di ulteriore incremento di dati da parte loro. In ogni caso, gli utenti devono essere adeguatamente informati di tale ulteriore flusso di dati, che deve essere comunque indirizzato solo ed esclusivamente all’autorità pubblica, a fini di prevenzione epidemiologica”.
Sui paletti da mettere, adesso: “Bisognerebbe anzitutto orientarsi secondo un criterio di gradualità e, dunque, valutare se le misure meno invasive possano essere sufficienti a fini di prevenzione. Ove così non sia, si dovrà studiare modalità e ampiezza delle misure da adottare in vista della loro efficacia, proporzionalità e ragionevolezza, senza preclusioni astratte o tantomeno ideologiche, ma anche senza improvvisazioni. Il Garante fornirà, naturalmente, il suo contributo nello spirito di responsabilità e leale cooperazione istituzionale che ne ha sempre caratterizzato l’azione, nella consapevolezza della difficoltà del contesto attuale”.
Fonte:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9294705