Protezione dei dati in tempi di coronavirus: non si tratta di se, ma di come

Mar 30, 2020

Nei giorni scorsi sono aumentate le discussioni sull'uso dei dati per combattere la pandemia di corona

Per questo motivo, abbiamo scritto un documento ad hoc (PDF, inglese) sul rispetto della GDPR e vorremmo cogliere l'occasione per fornire una prima panoramica di questi progetti.

Panoramica di diverse misure e progetti

Si parla molto di varie misure e progetti corona che hanno lo scopo di contenere la diffusione del virus utilizzando i dati Tra questi, ad esempio:

  • Portali di informazione (come le informazioni per l'autodiagnosi o le mappe delle aree a rischio),
  • analisi anonima dei dati (soprattutto dalle reti di telefonia mobile),
  • applicazioni che tentano di registrare possibili situazioni di infezione (tracciamento dei contatti),
  • applicazioni per controllare le misure di quarantena fino a,
  • tentativi di rintracciare le persone infette attraverso vari dati come il tracciamento del cellulare o l'utilizzo dei dati della carta di credito.

In un articolo su GDPRhub.eu, noyb ha compilato una prima panoramica di applicazioni e progetti concreti in Europa e non solo, per fare un po' di luce anche su questo tema.

La stragrande maggioranza di questi approcci è lontana da forme problematiche di sorveglianza di massa o "approcci cinesi"

Il GDPR consente di utilizzare i dati in caso di epidemie - la questione non è se, ma come.

Contrariamente a molti rapporti iniziali, non esiste un conflitto generale tra la protezione dei dati (in particolare il PILR) e l'uso dei dati personali nella lotta contro un'epidemia. Le dichiarazioni che affermano che la protezione dei dati deve essere "rinunciata" sembrano essere basate su una falsa comprensione della legge.

Max Schrems, presidente onorario di noyb: "Il GDPR prevede esplicitamente l'elaborazione dei dati nella lotta contro le epidemie. Le leggi sulla protezione dei dati non devono quindi essere "derogate", ma semplicemente osservato.”

L'articolo 6, paragrafo 1, lettera d), e l'articolo 9, paragrafo 2, lettera i), del GDPR consentono, secondo i considerando del GDPR, il trattamento dei dati, ad esempio per la lotta contro le "minacce per la salute a carattere transfrontaliero" o per la lotta contro le "epidemie"

Tuttavia, il GDPR include anche regole per limitare al minimo le interferenze con i nostri diritti fondamentali, anche nella lotta contro il coronavirus

Max Schrems: "Le leggi prevedono l'uso dei dati nella lotta contro la corona, ma solo in modi ragionevoli. La legge limita l'uso dei dati a quanto è assolutamente necessario. Insieme a concetti come "Privacy by Design" è possibile sviluppare applicazioni e sistemi legalmente validi che aiutano a combattere questa epidemia. Quindi la questione non è se sia possibile utilizzare i dati personali, ma come farlo correttamente"

C'è molto spazio tra l'eccessiva sorveglianza di massa e la raccolta e l'elaborazione specifica di alcune informazioni importanti. L'uso dei dati può rappresentare, in termini di diritti fondamentali, anche la "via meno onerosa" rispetto alle attuali restrizioni alla libertà di circolazione o alla libertà di impresa.

Schrems: "Le applicazioni volontarie basate, ad esempio, sull'autotracciabilità memorizzata e crittografata a livello locale possono essere utili. Se tali dati vengono decrittati solo in caso di test corona positivo, tali sistemi possono proteggere in modo verificabile la privacy degli utenti. Tali approcci sono più simili al trasporto di un apparecchio di ricerca in valanga privato, contrariamente a quanto avviene con un sistema di sorveglianza centralizzato del governo.

Per sostenere i progetti di implementazione di soluzioni conformi alla protezione dei dati, noyb ha pubblicato un documento ad hoc sulle applicazioni per la ricerca di contatti.

La fiducia è necessaria per il successo di tali sistemi

La gente deve potersi fidare della tecnologia nella lotta contro il coronavirus, in modo che vi partecipi un numero sufficiente di persone. Ciò può essere ottenuto con misure come una buona crittografia dei dati, la memorizzazione dei dati all'interno dei telefoni dell'utente e la pubblicazione del codice sorgente ("open source").

Schrems: "Questi progetti funzionano solo se una gran parte della società vi partecipa. Per fare questo, abbiamo bisogno di sistemi che permettano il controllo degli utenti sui loro dati. Il codice sorgente deve essere rivedibile. Se questo viene fatto correttamente, tali sistemi possono essere sicuramente raccomandati"

Visione realistica delle possibilità tecniche

Ciò che attualmente sorprende di alcune affermazioni è la fede incrollabile nella tecnologia. Applicazioni più complesse, come la "tracciatura dei contatti" dopo un'infezione, non sono fattibili senza dati altamente specifici. I suggerimenti, come il calcolo del rischio di infezione tra due persone che utilizzano i dati della rete mobile, sono più un'illusione che una possibile realtà tecnica.

Horst Kapfenberger, informatico della noyb: "A causa della loro imprecisione, i dati di localizzazione dei fornitori di telefonia mobile sono assolutamente inadatti, ad esempio, a determinare possibili infezioni da coronavirus. Non possiamo costruire modelli significativi con dati grezzi imprecisi".

Inoltre, ci sono ancora incertezze sulla diffusione del virus corona. Attualmente sono disponibili informazioni molto diverse e spesso vaghe sulle modalità e sui tempi di diffusione del virus. Quanto più i parametri relativi alla diffusione del virus sono poco chiari, tanto meno i contatti a rischio specifico possono essere calcolati con soluzioni tecniche.

C'è il pericolo che gli utenti si perdano in una valanga di avvertimenti e informazioni irrilevanti ("sovraccarico di informazioni"). È quindi importante raccogliere dati rilevanti con la qualità necessaria, per raggiungere effettivamente gli obiettivi di un progetto.

Max Schrems: "Non si tratta di indovinare a quali pubblicità possiamo essere interessati, ma di garantire la salute della popolazione. Abbiamo quindi bisogno di informazioni specifiche, accurate e corrette. Per una statistica, spesso sono sufficienti dati grezzi e anonimi. Per i tentativi di registrare le catene di infezione, tuttavia, sono necessari dati molto precisi - che possono essere memorizzati localmente e criptati presso gli utenti"

Uploads