Si parla di APP di tracciamento per ostacolare/arginare l’avanzata del COVID, ma siamo pronti?

Si dice a giorni sì, con il rilascio da parte di Google ed Apple delle nuove funzioni di tracciamento in modalità protetta e utilizzo del bluetooth in modalità anonima.

Rilascio sicuro?

Diciamo che possiamo solo sperare che venga fatto un buon lavoro, innanzitutto per la velocità di rilascio (ricordiamo un motto dei nostri nonni: “presto e bene non vanno insieme”).

Di solito anche i migliori sbagliano e si susseguono patch correttive, nel frattempo però gli hacker potrebbero approfittare delle vulnerabilità Bluetooth (sempre esistite come si può leggere qui) e la nostra privacy, se non peggio, le nostre password, potrebbero cadere in mano a malintenzionati. In un periodo in cui le attività hacker sono aumentate esponenzialmente (passiamo da mille al giorno a più di 5000 attacchi “segnalati o scoperti”) aggiungere una ulteriore criticità potrebbe diventare difficile da governare.

Le rassicurazioni dei produttori e dei governi ci sono

come si legge sui principali giornali: Repubblica, Il Fatto, Il Messaggero, Rainews, ma potete cercare tranquillamente su internet cercando “immuni, apple, google” e vi uscirà fuori una sequela di notizie. Non è nostro compito commentare o riportare, potete leggerle tranquillamente e farvi una opinione, in questo momento vogliamo solo analizzare eventuali rischi da classificare nell’elenco di quelli valutati in ambito di una “competenza Privacy”, per aiutarvi a mantenere aggiornato il Registro dei Trattamenti se siete un’azienda, o semplicemente mettervi in guardia, se siete un utente.

Le due società (Google ed Apple) confermano che alla base del sistema aggiornato hanno messo privacy, basso impatto sulla batteria, volontarietà e anonimato.

Gli utenti dovranno scegliere di attivare le notifiche di esposizione e potranno disattivarle in qualsiasi momento; il sistema non raccoglie la posizione del dispositivo; gli utenti decideranno se segnalare una diagnosi positiva; le identità degli utenti non saranno rese note ad altri utenti; la corrispondenza per le notifiche di esposizione viene eseguita sul dispositivo, con controllo da parte dell’utente.

Esiste un documento che accompagnerà la pubblicazione delle API, che conterrà anche le indicazioni per gli sviluppi da parte delle software house incaricate dai governi nazionali: le app devono essere fatte solo dai sistemi sanitari nazionali (questo escluderà i privati che sono stati designati come nel caso di Immuni?); e oltre al consenso per essere usate e condividere il risultato dovranno raccogliere solo i dati indispensabili senza usarli a scopo di lucro (vuol dire che NESSUNO dovrà avere accesso a tali dati per operazioni di marketing); inoltre NON DOVRANNO RICHIEDERE MAI di usare la geolocalizzazione.

Quando le app nazionali saranno pronte il sistema operativo chiederà se vogliamo attivare il ‘Covid-19 Exposure notification’ che sarà un’opzione da attivare per scambiare via bluetooth i propri codici (anonimi e casuali) con gli altri smartphone che avranno scaricato l’app di contact tracing.

Operazioni per applicare

In ogni caso trattandosi di COVID, per cui alla data attuale è previsto il riconoscimento di “infortunio sul lavoro“, un’Azienda potrebbe valutare di applicarne le funzionalità in ambito “lavorativo” (ad esempio applicandola alla forza vendita in mobilità -con maggiori rischi- o agli operai sul luogo di lavoro) per dimostrare di aver adottato “idonee misure di prevenzione”. Noi lo sconsigliamo perché comunque la dimostrazione di aver contratto il virus in ambito lavorativo sarà difficile.

Nel  caso in cui comunque si decida di procedere, consigliamo in via prudenziale che il Trattamento venga sottoposto a DPIA e verifiche periodiche, tenendo traccia di eventuali patch ed applicandole immediatamente. Inoltre i telefoni su cui dovrà essere utilizzata dovranno avere la possibilità di essere aggiornati all’ultima versione del sistema operativo.

Noi suggeriamo di farlo ANCHE SE IL TRATTAMENTO DEI DATI DA PARTE DELLA APP NON È DIRETTO.  Vi spiego la prudenza: qualora venisse “scoperto” che un dipendente è stato a contatto, o risulta positivo, E CI VENISSE DA LUI COMUNICATO abbiamo già predisposto l’eventuale trattamento dell’informazione (e questo invece È UN TRATTAMENTO DIRETTO). Questo fatto di norma ricade, come similitudine, nel Trattamento predisposto qualora già si registrassero le temperature dei dipendenti a livello preventivo all’ingresso dell’azienda.

Per lo stesso motivo dovranno essere istruiti gli utenti:

• per “abilitare e disabilitare” (qualora non volessero farlo in ambito privato) ed eventualmente sensibilizzarli per l’uso a livello aziendale
• che NON DEVONO FORNIRE INDICAZIONI O DATI PERSONALI, FATTO SALVO IL CASO DI POSITIVITÀ

Queste sono indicazioni prudenziali, che non comportano un grosso sforzo, ma ci permettono di governare le informazioni che eventualmente venissero comunicate. Sia ben chiaro che non intendo prudenziale per dire “qualcosa ho fatto”, ma per sottolineare che abbiamo preso coscienza dell’eventualità e la sapremo gestire nel caso si verifichi. Ricordiamo che per definizione “l’analisi dei rischi deve valutare tutte le possibilità”.

Sperando che tutto continui a migliorare ed augurando a tutti di superare il momento rimango a disposizione per eventuali confronti e suggerimenti.