Nella sanità pubblica, il tracciamento dei contatti è il processo per identificare le persone che sono state in contatto con persone infette. La traccia di prossimità con applicazioni e sensori per smartphone potrebbe supportare la traccia dei contatti. Implica il trattamento di dati personali sensibili.
Che cos’è la traccia di contatto?
Durante le epidemie di malattie infettive, come la malattia di Coronavirus (COVID-19), è importante ridurre il numero di nuovi casi di infezione e fermarlo alla fine. Pertanto, la catena di infezione delle trasmissioni successive deve essere interrotta. Quando quelle persone note per essere infette rivelano i loro contatti recenti, altre persone infette possono essere identificate, informate e, ad esempio, isolate già in anticipo, anche prima che vengano a conoscenza della loro infezione. Il processo per identificare i contatti di casi noti si chiama traccia dei contatti.
Una persona diventa un contatto di un caso primario ad es. Contatto faccia a faccia a breve distanza per un certo periodo di tempo, contatto fisico o trascorrere del tempo al chiuso insieme, il tutto entro il periodo di incubazione, ad esempio fino a 2 settimane per la malattia di coronavirus.
Per stabilire l’esposizione al rischio nella traccia del contatto, sono importanti informazioni sulla distanza tra le persone e la durata del contatto. I contatti stretti con esposizione ad alto rischio possono quindi essere soggetti a regole o trattamenti diversi.
Traccia dei contatti tradizionale
Dopo che è stato identificato un caso confermato o probabile di una persona infetta, le autorità sanitarie di solito intervistano la persona, ad esempio per telefono . Il Centro europeo per la prevenzione e il controllo delle malattie ( 2020 ) elenca i seguenti passaggi generici:
1. Viene raccolta la storia clinica della persona.
Questo approccio caso per caso richiede molte risorse. Tracciare tutti i contatti può essere difficile quando le persone hanno molti contatti, non li ricordano accuratamente o non possono fornire informazioni su come raggiungerli.
2. I contatti delle persone identificate sono raccolti con il loro rischio di esposizione ai fini della classificazione e dati di base come ad esempio il lavoro con popolazioni vulnerabili.
3. I contatti vengono quindi chiamati per confermare il loro stato di salute e testare quelli con sintomi, monitorare attivamente i contatti stretti e chiedere ad altri contatti di auto-monitorarsi e applicare precauzioni.
Traccia di prossimità digitale
Per supportare e integrare la tracciabilità dei contatti tradizionale, i sensori di onde radio integrati negli smartphone potrebbero essere utilizzati perché sono in grado di rilevare automaticamente i contatti stretti : lo smartphone potrebbe essere utilizzato per registrare quando due persone sono abbastanza vicine per un tempo sufficientemente lungo che esiste un rischio elevato di contagio se uno di loro ha ad esempio il coronavirus.
Gli smartphone possono essere dotati di nuove funzionalità, con l’installazione di un’applicazione per smartphone dedicata e / o l’aggiornamento del software del sistema operativo, che consente ai loro possessori tramite i sensori dello smartphone di accedere in modo preventivo con poco o nessun sforzo personale a un elenco di contatti di prossimità anche prima di un sospetto di emerge un’infezione.
L’ efficacia di tale tracciamento di prossimità digitale viene attivamente studiata. I primi risultati sono ottimisti se sono garantite anche altre condizioni, come la capacità di test delle infezioni e l’adozione di un’ampia tecnologia (Ferretti et al. 2020) . Il tracciamento digitale potrebbe essere particolarmente utile quando le persone potrebbero essere state in contatto con molti contatti durante periodi più lunghi di contagio privo di sintomi, che altrimenti sarebbe difficile ricordare in seguito.
Con i sistemi satellitari di navigazione globali come GPS o Galileo, gli smartphone possono determinare la loro posizione geografica con una precisione fino a 5 m all’aperto. Se i possessori di smartphone caricano le loro posizioni su un servizio centrale, ad es. Di un’autorità sanitaria, i loro contatti di prossimità possono essere calcolati. Non è possibile tracciare la prossimità, ad es. In negozi o mezzi pubblici.
Con la tecnologia Bluetooth Low Energy (BLE) , gli smartphone trasmettono messaggi con piccoli pacchetti di dati nel loro ambiente vicino, in genere tra poche e centinaia di metri. I moderni smartphone consentono alle applicazioni di configurare il raggio di trasmissione, ad es. Per limitarlo ai pochi metri più vicini. Tali messaggi possono contenere un identificativo dello smartphone e dati specifici dell’applicazione (il payload ). Altri smartphone con supporto per BLE e nel raggio di trasmissione possono rilevare questi messaggi.
Se il payload BLE viene utilizzato per riconoscere i possessori di smartphone, gli smartphone di altre persone possono registrarli automaticamente come contatti di prossimità BLE. Quando i possessori di smartphone vengono successivamente confermati infetti (ad esempio dal loro medico), possono quindi scegliere di caricare i dati di tracciamento dei contatti su un servizio centrale. A seconda dell’approccio di corrispondenza dei contatti , questo servizio può quindi notificare i contatti direttamente sulla loro esposizione al rischio ( corrispondenza centralizzata ) o pubblicare dati, in modo che i contatti possano calcolare da soli la propria esposizione con il proprio smartphone.
L’ interfaccia Wi-Fi degli smartphone consente anche di trasmettere onde radio con identificatori, ma non è molto efficiente dal punto di vista energetico e quindi meno appropriato per una funzionalità attiva non-stop su dispositivi alimentati a batteria.
Quali sono le implicazioni sulla protezione dei dati?
La tracciabilità dei contatti di prossimità sia tradizionali che digitali comporta il trattamento di dati personali. Laddove i dati si riferiscono a persone infette, si tratta di dati sanitari che richiedono una protezione speciale.
Sorveglianza su larga scala
Il tracciamento di prossimità digitale comporta nuovi rischi per la protezione dei dati in quanto prevede la registrazione preventiva e per contatto di un numero molto elevato di popolazione negli spazi pubblici e privati utilizzando segnali di onde radio invisibili agli occhi umani.
È quindi probabile che le applicazioni di tracciamento dei contatti comportino un rischio elevato per i diritti e le libertà delle persone fisiche e richiedano una valutazione dell’impatto sulla protezione dei dati da condurre prima del loro spiegamento.
Identificazione dell’utente
I contatti di un caso possono includere familiari, vicini o colleghi di lavoro. Collegato ad altri dati, ad esempio dai social network, è tecnicamente possibile apprendere il nome della persona infetta, il luogo di residenza e di lavoro e una serie di altre attività e potenzialmente la loro posizione. Il numero di contatti e la loro frequenza possono persino rivelare abitudini sociali , come le pratiche religiose. Il collegamento con i dati sulla posizione, come accade con la traccia basata sul GPS, potrebbe consentire di dedurre un’immagine dettagliata della routine quotidiana.
Le tecnologie di minimizzazione dei dati e di miglioramento della privacy possono quindi prevenire danni attraverso l’identificazione di contatti e casi infetti.
Poiché le app di tracciamento possono funzionare senza l’identificazione diretta dei loro utenti, è necessario adottare misure appropriate per prevenire attacchi di reidentificazione .
Poiché i dati sulla posizione sono inclini alla nuova identificazione , è meglio evitare la traccia basata sulla posizione. Le applicazioni per smartphone di tracciamento di prossimità digitale (le app di tracciamento ) non richiedono il monitoraggio della posizione dei singoli utenti. Invece, dovrebbero essere utilizzati i dati di prossimità , in particolare le informazioni ottenute tramite Bluetooth BLE.
Le app di tracciamento possono utilizzare identificatori pseudonimi per i contatti di prossimità e modificarli periodicamente, ad esempio ogni 30 minuti. Ciò riduce il rischio di collegamento e reidentificazione dei dati. Gli schemi di condivisione segreti consentono di dividere gli identificatori in parti e di diffondere la loro trasmissione in un determinato periodo di tempo. Gli avversari che tentano di rivelare e mappare i contatti dovrebbero attendere per ricevere il numero minimo di parti necessarie per riassemblare nuovamente l’identificatore.
Il servizio che fornisce test e conferma dello stato di infezione può operare indipendentemente dal servizio centrale al quale i casi caricano i dati di tracciamento dei contatti per impedire il collegamento dei dati di tracciabilità dei contatti ai file dei casi medici. Per garantire comunque che i dati vengano caricati solo da casi confermati, il servizio centrale potrebbe richiedere una prova digitale .
Protezione dei dati in base alla progettazione
Con la corrispondenza centralizzata , al momento dell’installazione dell’app gli utenti si registrano al servizio centrale (Inria e Fraunhofer AISEC 2020). Una volta confermato che gli individui sono infetti, possono scegliere di caricare i loro contatti registrati su questo servizio. Quindi, il servizio può abbinare i contatti caricati agli utenti registrati e inviare loro una notifica sulla loro esposizione al rischio. Gli utenti notificati non apprendono alcun dettaglio proteggendo così la privacy dei casi confermati.
Con i pseudonimi dati di contatto ricevuti in questo processo, il servizio centrale potrebbe eventualmente anche calcolare le catene di infezione e la rete di contatti di tutti i casi. Sebbene questa infrastruttura e questi dati siano probabilmente rilevanti per studiare e contenere le epidemie, possono quindi consentire anche un monitoraggio del comportamento su larga scala.
Il servizio pone un singolo punto di errore. Senza di essa, gli utenti non possono registrarsi o persino continuare la traccia. Pertanto, tale servizio deve implementare una straordinaria protezione dei dati organizzativi e tecnici e salvaguardie di sicurezza informatica per costruire la fiducia degli utenti.
Con la corrispondenza decentralizzata , gli utenti dell’app di tracciamento non devono registrarsi dopo l’installazione dell’app. I tasti utilizzati per generare identificativi pseudonimi per la trasmissione sono gestiti localmente sul proprio smartphone (DP ‑ 3T Project 2020).
Una volta confermato che gli utenti dell’app sono infetti, possono scegliere di caricare le loro chiavi. Tutte le app di tracciamento scaricano regolarmente aggiornamenti pubblici con le chiavi dei casi recenti. Lo smartphone calcola le corrispondenze localmente con i contatti registrati e genera di conseguenza notifiche di esposizione al rischio.
A differenza del caso della corrispondenza centralizzata, le chiavi dei casi recenti con infezione confermata sono distribuite pubblicamente. Gli avversari possono collegarli a dati di posizione e data / ora precedentemente registrati per identificare e mappare i casi infetti. Tuttavia, coprire aree significative richiederebbe molti sensori.
I rischi per la protezione dei dati rimangono associati in modo centralizzato e decentralizzato. Mentre la corrispondenza centralizzata presuppone la fiducia in un servizio centrale, la corrispondenza decentralizzata presuppone la fiducia in ciascun individuo a non impegnarsi più nella raccolta e nella correlazione dei dati radio di quanto sia necessario.
Limitazioni delle finalità
Nel contesto di un’app di tracciamento, è necessario prestare particolare attenzione agli aspetti della limitazione delle finalità e della limitazione dell’archiviazione, vale a dire determinare in anticipo per quali scopi specifici (come la tracciabilità dei contatti e / o la ricerca scientifica) i dati personali possono essere utilizzati e chi e per quanto tempo può essere conservato.
Una volta che l’epidemia si è fermata e le applicazioni di tracciamento dei contatti non sono più necessarie , è necessario predisporre una procedura per arrestare la raccolta di identificativi (disattivazione globale dell’applicazione, istruzioni per disinstallare l’applicazione, disinstallazione automatica, ecc.) Ed eliminare tutti i dati raccolti da tutti i database (applicazioni e server mobili).
Mancanza di trasparenza
Le app di tracciamento possono raggiungere la loro massima efficienza solo se utilizzate dalla quota più ampia possibile della popolazione. La mancanza di spiegazioni su come funzionano le app di tracciamento e su come proteggono la privacy dell’utente potrebbe creare una mancanza di fiducia.
Pertanto l’uso delle app di tracciamento dovrebbe essere volontario e trasparente per l’utente. Le informazioni raccolte devono risiedere sullo smartphone dell’utente.
Accuratezza e integrità dei dati insufficienti
La trasmissione di onde radio segue principi diversi rispetto alla trasmissione di infezioni. A differenza delle onde radio, le infezioni non possono essere trasmesse attraverso finestre o pareti. Le onde radio non possono tracciare altri aspetti di interazione come la capacità di toccare superfici contaminate o stringere la mano. Inoltre, i sensori possono rilevare solo altri sensori del loro genere e non rilevano i contatti senza uno smartphone adatto.
Di conseguenza, il tracciamento di prossimità digitale è incline a registrare contatti con falsi positivi e falsi negativi.
Sicurezza dei dati personali
L’uso di segnali di onde radio può anche causare problemi di sicurezza e integrità del sistema. In linea di principio, gli avversari possono utilizzare antenne radio più potenti per inviare rumore e bloccare la trasmissione radio nell’ambiente, oppure trasmettere i propri o trasmettere gli pseudonimi di altri in un’area molto più ampia. Il primo distorce la qualità del servizio (denial of service).
Quest’ultimo porta a false notifiche di rischio quando questi contatti di prossimità registrati vengono notificati come infetti in una fase successiva senza reale prossimità in passato. Gli avversari possono anche tentare di rivelare persone infette spostandosi per catturare segnali radio e mappare la posizione dei contatti di prossimità rilevati che potrebbero in seguito essere o essere già notificati come infetti.
Per consentire a tutti gli attori coinvolti nello sviluppo e nel funzionamento delle app di tracciamento dei contatti di aderire sin dall’inizio alle leggi sulla protezione dei dati dell’UE , l’European Data Protection Board (2020) e l’European Commmission (2020) hanno pubblicato linee guida dettagliate.
FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’UNIONE EUROPEA – EDPS