Magistratura democratica
Magistratura e società

Lo smartphone non ci salverà la vita

di Carlo Blengino
avvocato del Foro di Torino
La tecnologia è uno strumento formidabile. Ma il soluzionismo digitale rischia di essere un’illusione. Non può essere la tecnologia a orientare le nostre scelte; al contrario, debbono essere le nostre scelte consapevoli ad orientare la tecnologia

1. Soluzionismo digitale

Internet e le tecnologie digitali hanno assunto nel drammatico periodo che stiamo vivendo un ruolo centrale. Molte attività della nostra vita, limitate dalle misure di distanziamento sociale e di lockdown, hanno trovato nella rete internet e nei servizi della società dell’informazione nuove modalità di realizzazione: dalle relazioni sociali e familiari sino allo studio ed al lavoro (e parrebbe persino la celebrazione dei processi penali). Nel contempo, come in vero accade da tempo, le medesime tecnologie sono invocate come salvifiche soluzioni a problemi spesso molto complessi: l’acquisizione di grandi moli di dati – volontariamente o coattivamente generati ad ogni connessione – elaborate con algoritmi più o meno evoluti sembrano offrire soluzioni per ogni esigenza, e dunque anche per sconfiggere o quanto meno contenere il virus.

In questi giorni in tutti gli Stati democratici si assiste ad un vivace dibattito sull’adozione di una applicazione per smartphone (di seguito “app”) che consenta di memorizzare i contatti interpersonali dei cittadini per tracciare a posteriori la catena dei contagi e allertare i possibili infettati. La discussione rivela, temo, tutti i limiti e le miopie che da sempre affliggono un certo soluzionismo digitale, tipico della Silicon Valley e acriticamente importato dai decisori pubblici in buona parte del mondo.

Prima di dar conto delle innegabili difficoltà e criticità che una tecnologia così invasiva inevitabilmente suscita, prefigurando nei tecno-scettici scenari distopici orwelliani non sempre giustificati, credo sia necessaria una prima considerazione.

Presentare, come avvenuto in Italia, una “app” di contact tracing per smartphone come la chiave per uscire dall’attuale emergenza e contenere l’epidemia è un abbaglio dei decisori o, a pensar male, una consapevole strategia comunicativa per deviare la pubblica opinione da altre e più significative criticità di sistema.

A prescindere infatti dai rilevanti problemi tecnici di funzionamento e sicurezza, dalle legittime preoccupazioni in termini di compressione dei diritti e delle libertà personali e dai fondati dubbi circa l’effettivo utilizzo massivo da parte dei cittadini – condizione necessaria per la sua efficacia –, una app di tracciamento dei contatti può esser un utile strumento solo se inserita in più ampie, rigorose e onerose strategie politiche: nel caso, in una necessaria (ri)organizzazione complessiva del sistema sociale e sanitario.

L’idea di automatizzare il tracciamento dei contatti degli infetti e predisporre sistemi di allerta nasce, infatti, dalle linee guida dettate da tempo dall’Organizzazione Mondiale della Sanità per il contenimento delle epidemie (in particolare per la malaria[1]), sintetizzate nelle ben note 3T: i) Test -testare, ii) Treat -trattare/isolare e iii) Trace -tracciare.

Un sistema di tracciamento e allerta (digitale, con algoritmi che analizzano i nostri dati, o analogico con interviste e indagini interpersonali) è uno dei tasselli (la terza T) ed è attività efficace unicamente se vi sono a monte massive e rapide capacità diagnostiche (Test: i tanto invocati tamponi di questa pandemia) ed un’organizzazione efficiente nel trattamento dei casi infetti e ovviamente dei soggetti allertati (Treat: isolamento e, possibilmente, cura).

Limitarsi ad adottare soluzioni tecnologiche per il solo tracciamento ipotizzando, come vedremo, sistemi di allerta automatizzati senza una chiara riorganizzazione a monte dell’intero sistema sanitario e soprattutto dei servizi di assistenza ai soggetti segnalati dall’algoritmo rischia di creare più danni che benefici. Sul punto si tornerà, anche perché l’efficacia del sistema incide necessariamente sulla valutazione di necessità e proporzionalità che una tecnologia così invasiva deve rispettare, incidendo su molteplici diritti e libertà dei cittadini.

La sensazione è che il dibattito legato all’adozione di salvifiche “app” sia spesso viziato da una scarsa dimestichezza delle dinamiche del mondo digitale e rischi di esser vittima della fascinazione di un facile soluzionismo tecnologico che da tempo permea la politica. Così come è più semplice pensare di ridurre la delinquenza in un quartiere di periferia riempiendolo di telecamere con riconoscimento facciale piuttosto che impegnarsi in politiche di inclusione e sviluppo sociale per ridurre il disagio che alimenta il malaffare, è apparentemente più facile adottare una “app” per smartphone per combattere il virus piuttosto che investire in strutture sanitarie, dispositivi medici e personale. Nel caso della prevenzione del crimine il risultato è usualmente ulteriore disagio, discriminazione ed emarginazione e inevitabilmente nuove strategie elusive; nella prevenzione dell’epidemia i rischi non sono molto diversi, ma la scelta può in entrambi i casi esser presentata come un innovativo progresso della tecnica al servizio della collettività.

La verità è che il soluzionismo tecnologico che si basa su algoritmi evoluti e grandi quantità di dati anche personali raramente è la soluzione a complessi problemi sociali, ma in compenso abilita l’esercizio di un potere reale, facile ed a buon mercato, che seduce non solo gli stati autoritari ma anche i governi democratici. 

Il fatto che tecnologicamente, nella nostra società iperconnessa - e oggi forzosamente connessa - sia possibile seguire passo passo, granularmente, ogni singolo individuo e una intera popolazione in realtà già tracciata e profilata per molteplici finalità da diversi attori sulla scena, non significa che tali tecnologie di sorveglianza di massa siano di per sé utili ed efficaci nella lotta alla pandemia; e questo, si badi, a prescindere da ogni doverosa valutazione etica e di compatibilità con i diritti fondamentali delle nostre democrazie.

Il rischio di subire la fascinazione di un facile soluzionismo tecnologico abdicando a scelte politiche più complesse ed onerose mi pare concreto, o almeno è ciò che emerge nel confuso dibattito attuale sulla mitica app che, temo, non ci salverà la vita, anzi.

2. Non è una questione di “privacy”

La considerazione che precede non vuol certo negare l’importanza fondamentale che l’uso di tecnologie e dati digitali può avere nelle strategie di sanità pubblica, tanto più in una situazione come l’attuale[2], ma unicamente cercare di collocare nella giusta dimensione l’apporto di tali tecnologie e soprattutto pretendere scelte consapevoli da parte dei decisori.

Il punto non è “se” gli Stati possono usare i dati anche personali dei cittadini per contenere una epidemia: il punto è “come” questi dati vengono usati.

L’impatto delle nuove tecnologie sulla società e sui singoli individui è infatti assai più profondo e complesso di quanto possa apparire allo sguardo del semplice fruitore e talvolta anche a quello di chi propone e realizza, spesso con buone intenzioni, nuove soluzioni digitali[3].

Il potere generato dall’accesso e dal trattamento di grandi moli di dati personali è in grado di modificare profondamente i rapporti e le relazioni tra le persone e soprattutto tra i diversi attori sociali, tra consumatori e imprese, che infatti hanno costruito un nuovo paradigma commerciale su dati e profilazione, e tra i cittadini e lo Stato, che anche nelle nostre democrazie è inevitabilmente attratto da tecnologie di controllo e sorveglianza, verso nuove “data-crazie”.

È in questo contesto, proprio per tentare di governare il potere di dati e computazione evoluta, che nasce sin dagli anni ’80 dello scorso secolo il diritto della protezione dei dati personali[4] diventato solo recentemente diritto fondamentale qui in Europa.

È un diritto ancora acerbo, indissolubilmente legato alle nuove tecnologie digitali, che ha un perimetro molto più ampio della semplice tutela della riservatezza o del rispetto di una vita privata che già trovavano, da tempo, pieno riconoscimento nelle costituzioni nazionali e sovranazionali.

Per comprender la differenza tra protezione del dato e riservatezza o privacy, è bene tener presente che buona parte delle tecnologie digitali più invasive oggi a disposizione poggiano molto spesso su dati tutt’altro che riservati e utilizzano dati pubblici (banalmente il nostro volto) o dati resi disponibili, più o meno volontariamente, dagli stessi interessati per le più disparate finalità. Si potrebbe quasi dire che la vera funzione innovativa del diritto alla protezione del dato inizi proprio là dove finisce la più tradizionale tutela della riservatezza e della vita privata. 

È un diritto complesso, che attiene all’identità ed alla dignità della persona e che nasce come diritto necessariamente mediato e bilanciato: l’art. 8 della Carta dei Diritti Fondamentali dell’Unione Europea non conferisce un diritto sui dati personali, non crea una privativa o un diritto assoluto sui propri dati, ma tratteggia un diritto fondamentale a che quei dati siano protetti. La complessa normativa europea e nazionale a protezione dei dati personali regola il “come” si proteggono i dati e detta le regole minute che, in relazione alle diverse finalità ed ai diversi contesti, rendono il trattamento conforme ai principi democratici, conferendo una serie di diritti di informazione e controllo ai cittadini.

La protezione del dato personale è dunque un diritto dinamico e variabile i cui confini costituiscono l’argine oltre il quale il potere conferito dalle nuove tecnologie diviene incompatibile con le nostre società democratiche.

Non vi è una sola libertà tra quelle sancite dalle nostre costituzioni che non possa esser minata o subdolamente limitata là dove, come negli Stati autoritari, viene negato il diritto alla protezione dei dati personali e si ammettono tecnologie di sorveglianza di massa e di profilazione. Sono tecnologie che, allo stato, generano errori, diseguaglianze e discriminazioni e, senza adeguate e stringenti garanzie, anche e soprattutto nei confronti del potere statuale, possono compromettere il libero esercizio di tutti i diritti della persona, nessuno escluso.

In momenti di emergenza come quello che stiamo vivendo è possibile, nel necessario e proporzionato bilanciamento dei beni da tutelare, comprimere e limitare molteplici diritti dei cittadini ed è indubbio che privacy e riservatezza possono esser diritti recessivi rispetto alla salute.

Ma se un trattamento massivo di dati personali reso possibile da qualsivoglia tecnologia non sarà, anche in emergenza, pienamente conforme ed aderente alle prescrizioni dettate dalla normativa a protezione dei dati personali, le conseguenze di quel trattamento sui diritti delle persone non potranno mai esser proporzionate e necessarie in uno stato democratico, quale che sia l’encomiabile finalità perseguita.

Anche nell’emergenza[5] le scelte sull’utilizzo o meno di “app”, di dispositivi indossabili o di qualsivoglia altra diavoleria il soluzionismo tecnologico suggerirà per automatizzare attività di tracciamento del contagio, o per creare sistemi di allerta o ancora per controllare le quarantene,   dovranno esser in perfetta aderenza al diritto alla protezione dei dati, perché quelle saranno le scelte che determineranno se siamo in grado di utilizzare la tecnologia per proteggerci e migliorare le nostre esistenze, all’interno delle democrazie che abbiamo così faticosamente costruito, oppure se, attratti dal potere costituito dall’accesso ai dati personali della popolazione, l’emergenza diventerà, come accaduto spesso in passato, l’occasione per consolidare o creare nuovi poteri e realizzare una società della sorveglianza che annullerebbe la dignità della persona e svuoterebbe le libertà civili e sociali.

3. Un’App, ma per fare cosa? Tracking, Tracing, exposure alert o controllo delle misure di contenimento?

Qualsiasi tecnologia che implichi il trattamento massivo di dati personali dei cittadini, anche in emergenza, dovrà dunque essere realizzata sin dalla fase di progettazione (ex art. 25 GDPR) e per la specifica finalità perseguita, in piena aderenza ai principi dettati dal GDPR (in particolare Artt. 5, 30, 32), e per alcune categorie particolari di dati, tra cui i dati sanitari, dovrà rispettare il più alto livello di tutela previsto in Italia dal d.lgs 101/2018[6].

I dati trattati usualmente in una attività di tracciamento per il contenimento di una epidemia, anche quando svolta manualmente con interviste del personale sanitario, sono i dati più ambiti sul mercato del Big Data poiché altamente redditizi in termini economici e di potere: sono i nostri contatti, dunque il grafo sociale delle nostre relazioni, i nostri spostamenti, con la geo-localizzazione dei nostri movimenti, ed i dati sanitari, a cui è riservata nella normativa, per la loro delicatezza, particolare attenzione. Una tecnologia che implichi il trattamento generalizzato, indiscriminato e preventivo di tali dati per un’intera popolazione da parte dello Stato, operazione oggi tecnicamente possibile in astratto grazie ai dati e ai metadati disseminati dalle nostre connessioni, dai nostri dispositivi e dai mille sensori posizionati ovunque per le più disparate finalità, sarebbe pacificamente inammissibile e si tradurrebbe più che nel tracciamento dell’epidemia, nel tracciamento delle persone. 

Qui è opportuno registrare una certa confusione nel dibattito pubblico tra l’attività di “tracking” della pandemia (la terza famosa terza T delle tre dell’OMS) e l’attività di “tracing” delle persone infette, che è parte dell’attività di tracking dell’epidemia. Vi è, mi pare, un problema di traduzione dei due termini: tracking e tracing, che in italiano traduciamo genericamente con tracciamento, hanno significati diversi. Il tracking indica una attività che “segue” l’oggetto del tracciamento: tracciamo un pacco (con il track number) dalla spedizione verso e fino alla consegna; il tracing è, invece, una attività di ricostruzione a posteriori del percorso fatto dall’oggetto. Con il tracking tracciamo l’epidemia attraverso gli infetti per cercare di anticiparla, con il tracing noi ricostruiamo il percorso a ritroso degli infetti per bloccare l’ulteriore trasmissione. Sono due attività, e dunque due finalità se riferite ad un trattamento di dati personali, molto diverse.

La confusione tra i due termini è scivolosa poiché la finalità di un dato trattamento, che deve esser determinata, esplicita e legittima, è uno degli elementi fondamentali per determinarne la liceità, per individuare la base giuridica e in generale per disegnare il perimetro dei principi dettati a protezione del dato stesso.

Le tecnologie di cui si discute oggi nei paesi democratici sono potenzialmente in grado di perseguire molteplici finalità genericamente ricomprese nel concetto di tracciamento: i) ricostruire i contatti, anche occasionali, avuti durante il periodo di incubazione e fornire alle autorità sanitarie informazioni dettagliate; ii) creare sistemi automatizzati di allerta ai cittadini in caso di contatti significativi con soggetti potenzialmente contagiosi; iii) consentire la ricostruzione a posteriore degli spostamenti e dei movimenti sul territorio dei soggetti risultati infetti e iv) controllare e verificare specifiche situazioni di isolamento e quarantena o di rispetto di norme di distanziamento sociale.

Sono finalità molto diverse tra loro ed è evidente che a seconda dell’obbiettivo perseguito - della finalità appunto - sarà diversa la scelta del tipo di tecnologia da utilizzare per acquisire i dati; sarà diverso l’algoritmo che governa il trattamento ed ovviamente il tipo di architettura del sistema informativo sottostante; sarà anche diversa la tipologia di dati, la loro possibile anonimizzazione o la loro pseudonimizzazione e sulla scorta dei principi di minimizzazione, di limitazione della conservazione e di integrità e riservatezza (art. 5 GDPR), saranno diversi i dati acquisiti, il tempo di conservazione e le misure di sicurezza da adottare.

Quando si parla genericamente di “app” di contact tracing molto spesso tutte queste finalità (e altre ancora che il soluzionismo digitale suggerisce al momento) sono confuse ed anzi pare che ogni decisore ed ogni politico voglia far fare all’app (o al braccialetto elettronico di turno) una cosa diversa, perseguendo fini tra loro assai differenti.

Il punto è centrale poiché se non ho finalità univoche, determinate ed esplicite (art. 5, par. 1, lett. b) GDPR) in relazione ad ogni trattamento, sarà difficile individuare il “come” i dati possano esser usati in maniera aderente al diritto e sarà impossibile prevedere le possibili ricadute ed i rischi sulle libertà personali dei soggetti coinvolti; sarà anche difficile valutare se tali misure saranno efficaci e dunque necessarie e proporzionate al contesto in una società democratica.

La protezione del dato nasce (by design e by default - ex art. 25 GDPR) contestualmente alla tecnologia ed la finalità perseguita dal trattamento è il primo tassello di un procedimento complesso: se voglio “mappare” possibili focolai avrò bisogno dei dati di geo-localizzazione degli infetti, che però potranno esser aggregati e anonimi; tali dati saranno necessari anche per un attività di controllo dei vincoli di quarantena o isolamento ma ovviamente, nel caso, non su base anonima; se debbo invece solo individuare possibili contatti interpersonali a rischio saranno utili solo dati di prossimità tra i dispositivi che potranno esser anonimi, ma se debbo allertare possibili contagiati o monitorarne la loro sintomatologia, i dati non potranno più esser dati anonimi, ma potranno al più esser pseudonimizzati, per garantire integrità e riservatezza in particolare per i dati sanitari.

Insomma, ogni variabile nei fini si traduce in diverse tecnologie e differenti righe di codice informatico e a cascata, ogni piccola variazione nell’interfaccia tra i diversi sistemi informatici e tra applicazione e utente ha conseguenze molto concrete sulla sicurezza del dato, sulla sua protezione e dunque sulla vita (reale e quotidiana) delle persone.

 4. Apple e Google e il potere sui dati

L’unica cosa che accomuna tutte le tecnologie di tracciamento pare esser l’utilizzo dello smartphone che, come scrisse alcuni anni fa la Corte Suprema americana, è ormai da considerare come una parte anatomica essenziale del corpo umano[7]; le alternative sono i famosi braccialetti ipotizzati in questi giorni per i bambini e per i bagnanti (che non fanno il bagno col telefono, sic!): un altro esempio di soluzionismo tecnologico pericoloso.

I nostri cellulari sono ricchi di sensori e consentono, come ben sanno i Pubblici Ministeri, di penetrare nella vita delle persone con una efficienza senza precedenti: contengono le nostre vite in formato “machine readable” e sono (purtroppo) in grado di far tracking, tracing e altro.

A partire da febbraio diverse soluzioni tecnologiche per le diverse finalità di contenimento dell’epidemia sono state proposte da imprese e gruppi di ricerca e annunciate da diversi governi.

I servizi di geo-localizzazione (con tecnologia gps di cui sono dotati o semplicemente, con più ampio margine, grazie alla mappatura delle celle di rete), infatti, possono esser utilizzati per mappare la concentrazione di soggetti in determinati luoghi e individuare e isolare possibili focolai; con dati aggregati e anonimizzati è già possibile utilizzare queste tecnologie da parte delle autorità sanitarie, ma per le finalità di tracing è necessario tracciare i contatti interpersonali dei singoli infetti.

Sin da subito la tecnologia Bluetooth L.E. (low energy) è apparsa come la più promettente: ogni dispositivo è in grado, infatti, di comunicare con i dispositivi che si trovano nel raggio di alcuni metri e scambiarsi informazioni. Se due persone dotate di cellulare abilitato alla trasmissione bluetooth rimangono vicine per un certo tempo, i due dispositivi si parlano e possono memorizzare reciprocamente il numero identificativo anonimo trasmesso dall’interlocutore. Questi dati possono esser trasmessi e memorizzati su un server centrale o rimanere sul dispositivo. Se nei giorni successivi uno dei due interlocutori risulta infetto è possibile, tramite più soluzioni informatiche, far sì che il soggetto “sano” sia avvisato del rischio di aver contratto il virus essendo stato a contatto con un soggetto risultato infetto.

È questa la tecnologia, la “app”, di cui molto si discute che però ha mille varianti nella sua pratica realizzazione. Senza scendere in particolari tecnici l’architettura di queste applicazioni può variare significativamente in ragione di molteplici parametri di programmazione (code is law - il codice è la legge - si diceva agli esordi dell’informatica), in particolare in relazione al tipo di identificativo trasmesso tra i vari dispositivi, al tempo di conservazione, alle modalità di comunicazione e, soprattutto, al luogo in cui avviene l’elaborazione algoritmica che determinerà la segnalazione di allarme.

È tale ultimo aspetto, sintetizzabile nella scelta tra sistemi centralizzati o sistemi decentralizzati (anche qui con mille varabili tra gli estremi), che sta suscitando il dibattito più vivace.

Trasferire tramite la “app” tutti i vari identificativi, anche se anonimi o pseudonimizzati, su di un server centrale ed elaborare lì gli accoppiamenti tra infetti ed interlocutori a rischio, per poi tramite algoritmo scegliere chi avvisare, conferisce un maggior controllo al “titolare” del trattamento ma presenta inevitabilmente variabili di rischio quanto a sicurezza del database e a possibili utilizzi ultronei del grafo sociale che può ricavarsi. Inoltre, se la “app” dovesse svolgere altre funzioni più o meno dichiarate o semplicemente esser in grado di determinare la geo-localizzazione dei vari contatti sarebbe molto facile identificare granularmente i rapporti interpersonali di buona parte della popolazione; in ultimo, è noto in informatica che ogni database connesso in rete, soprattutto se molto ricco di informazioni, per quanto protetto è a rischio di attacchi e tentativi di hacking ed ovviamente più dati sono concentrati in un unico server, più rilevante sarà il danno in caso di data breach.

Per ovviare a queste e ad altre vulnerabilità sono state implementate, prima da un consorzio pan-europeo denominato DP-3T poi, con un’iniziativa congiunta, da due colossi come Google ed Apple[8], soluzioni “decentralizzate” ove il sistema di allerta viene gestito in locale, sul singolo dispositivo dalla “app” stessa, senza necessità di caricare su unico server tutti gli identificativi dei contatti. In questa soluzione l’autorità statuale titolare del trattamento potrebbe non saper nulla dei singoli contatti, non avrebbe possibilità di “vedere” il grafo delle relazioni, ed anzi potrebbe non trattare alcun dato personale al di fuori di quelli dei soggetti risultati positivi (che già tratta per ragioni di cura o per il tradizionale tracing tramite interviste).

È singolare come ad alzare lo stato dell’arte della tecnologia ad un livello più aderente alla normativa a protezione dei dati personali ed a spingere verso queste soluzioni decentralizzate che minimizzano rischi e vulnerabilità siano stati due big tech company come Google e Apple, ovvero le due società che detengono praticamente l’intero mercato dei sistemi operativi dei dispositivi mobili e che sono da sempre additati, nella narrativa semplicistica dei buoni e dei cattivi di internet, tra i peggiori killer della nostra privacy nella Silicon Valley.

I protocolli di comunicazione e gestione delle “app” che potrebbero utilizzare le application programming interface (le API), ovverosia le interfacce di programmazione messe a disposizione nei sistemi Android e iOS da Google e Apple, consentono di evitare che una grande mole di dati (più o meno pseudonimizzata a seconda delle funzionalità della “app”) risieda su di un unico server centrale in mano allo Stato.

La mossa un po’ a sorpresa di Apple e Google (due società da sempre tra loro poco collaborative) ha spiazzato molti governi e le resistenze di alcuni Stati ad adottare tale tecnologia decentralizzata (Francia e Gran Bretagna in testa) svela interessanti dinamiche di potere da tempo latenti.

L’attuale discussione tra sistemi centralizzati e decentralizzati, tra l’adozione del sistema proposto dalle due Big Tech e i vari sistemi di contact tracing digitale creati dai vari governi è la rappresentazione plastica di quello scontro che da tempo contrappone le grandi corporation di Internet, che hanno monetizzato il potere dei dati, e i governi dell’intero pianeta che, chi più chi meno, a quel potere vorrebbero accedere, da sempre.

La dinamica di questo scontro ai vertici del potere del XXI secolo, quello dei dati, evidente in questa emergenza, conferisce pieno valore al diritto fondamentale alla protezione del dato personale: noi utenti/cittadini siamo nel mezzo, aspettando di vedere chi trarrà maggior vantaggio dal nostro corpo digitale, dai nostri dati.

L’unica cosa che possiamo fare è pretendere che sia rispettato sempre, anche in emergenza, tanto dalle imprese commerciali quanto dallo Stato, quello strano diritto a protezione dei nostri dati, a difesa non solo della nostra privacy ma della nostra dignità e delle nostre democrazie.

5. IMMUNI (se non dal virus, almeno da una società della sorveglianza di massa)

Tornando alla “app”, l’Italia parrebbe aver accettato la soluzione decentralizzata.

In vero la scelta di “IMMUNI” come “app” governativa è stata travagliata, piuttosto confusa e poco trasparente e, ad oggi, nulla si sa dei protocolli minuti, del codice, che governeranno tale applicazione. Difficile, anzi impossibile dare un giudizio: nel mondo dell’informatica ogni riga di codice può modificare tutto, con conseguenze tutt’altro che virtuali. Su IMMUNI il giudizio è sospeso.

Certo la soluzione proposta dalle due Big Tech e dal protocollo decentralizzato DP-3T limita molto le funzionalità di una “app” governativa di tracing a beneficio della riservatezza e dell’integrità del dato: più che una “app” di tracing, IMMUNI parrebbe destinata ad esser unicamente un sistema di allerta all’esposizione.

Diventa allora fondamentale capire come tale soluzione di exposure alert si inserirà nel sistema di “tracing” dei soggetti infetti svolto con modalità tradizionali, e come questo sarà supportato da un efficace sistema di “tracking” della pandemia e dunque in generale dalla complessiva gestione, tutta politica e poco tecnologica, della fase di convivenza col virus che stiamo affrontando. Rischiamo insomma di ritornare all’inizio di questo scritto.

In sé la “app” che sembra attenderci non parrebbe altro che una delle tante soluzioni monche della tecnologia: può esser utile, ma dipende...

Sarà tale sistema di allerta efficace? Poiché l’allerta non ci dirà se siamo stati esposti al contagio, ma solo se i nostri dispositivi sono stati vicino a dispositivi di un soggetto risultato infetto, quanti falsi allarmi subiremo? Se siamo in coda al semaforo, attorniati da altri automobilisti perfettamente sigillati nelle loro auto, il sistema rileverà una vicinanza del tutto innocua tra automobilisti? Il mio vicino di casa, separato da me da un muro, sarà allertato? Rischierà il nostro cellulare di segnalarci un rischio ogni giorno? E cosa accadrà quando ricevo un allarme? Riceverò pronta assistenza, test rapidi e informazioni? Dovrò per ogni allarme isolarmi per 14 giorni?

Sono solo alcune delle domande oggi senza risposta.

La tecnologia abilita un potere straordinario, ma il potere non si adatta mai alla società e alle sue regole, le modifica e le plasma su di sé, perché questo è il potere.

È per questa ragione che non può esser la tecnologia a guidare le nostre scelte ma l’inverso: siamo noi a creare le tecnologie e le scelte tecnologiche di oggi disegneranno il potere e dunque la società di domani, con o senza virus.

 

 

 

[1]  www.who.int/malaria/areas/test_treat_track/en/

[2] Dal 2008 Google gestisce un programma di analisi statistico/predittiva sulla diffusione dell’influenza e della denghe basato sui trend delle domande presenti sul suo motore di ricerca. Sono dati aggregati ed anonimi utilizzati da diverse istituzioni in più parti del mondo. Le compagnie di telecomunicazioni sono in grado di mappare con una certa precisione gli spostamenti della popolazione grazie a metadati e celle di comunicazione e tali informazioni, opportunamente aggregati e anonimizzati, sono ovviamente fondamentali per comprendere i flussi ed i movimenti delle persone nel corso di una epidemia. L’uso di tecnologie di machine learning (giusto per non chiamarla Intelligenza Artificiale) su grandi moli di dati è fondamentale per creare pattern statistici e modelli previsionali impensabili sino a pochi anni fa. Del pari tecnologie di data mining su dati sanitari opportunamente strutturati e anonimizzati e l’uso di text mining nell’ambito della produzione scientifica consentono ai ricercatori una efficace e innovativa capacità di analisi.

[3] Sul punto rimane illuminante l’analisi di Dana Boyd del 2017 “When Good Intentions Backfire… And Why We Need a Hacker Mindset” (https://points.datasociety.net/when-good-intentions-backfire-786fb0dead03).

[4] È del 1981 il Trattato 108 del Consiglio d’Europa Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale che nell’Unione Europea porterà poi alla Direttiva 95/46/CE ed in fine, dopo il Trattato di Lisbona e la “costituzionalizzazione” del Diritto alla protezione dei dati personali, al GDPR ed alle varie normative collegate.

[5] Considerando 46 del GDPR: Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell'interessato o di un'altra persona fisica. Il trattamento di dati personali fondato sull'interesse vitale di un'altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un'altra base giuridica. Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell'interessato, per esempio se il trattamento è necessario a fini umanitari, tra l'altro per tenere sotto controllo l'evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.

[6] A livello europeo il Parlamento e la Commissione si sono espresse in maniera conforme alle linee guida dettate dall’European Data Protection Board ed a livello nazionale il Garante ha preso più volte posizione ribadendo l’inderogabilità dei principi dettati dalla normativa a protezione dei dati.

[7] Nel 2014, nella Sentenza Riley vs California, i giudici della Corte Suprema Americana scrivono: “I moderni cellulari sono oggi così presenti e pervasivi nella vita quotidiana che il proverbiale visitatore da Marte potrebbe ritenerli una fondamentale caratteristica dell’anatomia umana”.

[8] www.apple.com/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/ 

19/05/2020
Altri articoli di Carlo Blengino
Se ti piace questo articolo e trovi interessante la nostra rivista, iscriviti alla newsletter per ricevere gli aggiornamenti sulle nuove pubblicazioni.
Un patto per il futuro. Dalla sopravvivenza alla convivenza

Un dialogo con Giovanni Maria Flick, a partire dal suo ultimo libro (Il Sole24ore Milano, 2024)

30/11/2024
Intelligenza artificiale e pace. Messaggio di Papa Francesco per la 57esima Giornata Mondiale della Pace
a cura di Redazione

In occasione della Giornata mondiale della Pace, pubblichiamo un documento di grande valore, il messaggio di Papa Francesco dal titolo Intelligenza artificiale e pace, con l'augurio a tutti di un nuovo anno sereno. 

01/01/2024
Nuove tecnologie e giustizia

Mentre l’accordo tra il Parlamento Europeo e il Consiglio per l’adozione dell’Artificial Intelligence Act è ormai realtà, l’Autrice si muove all’intersezione tra giustizia e tecnologia, esplora sfide opportunità e rischi della digitalizzazione dei sistemi giudiziari, auspica che i giudici siano interpreti e guida della rivoluzione dell’intelligenza artificiale.

19/12/2023
Giustizia digitale e giudizio. La lunga strada dell’innovazione alla prova della Costituzione

Intervento conclusivo del convegno Intelligenza artificiale, giustizia e diritti umani organizzato il 20 settembre 2022 da Magistratura democratica in collaborazione con la Fondazione Forense di Padova, il Dipartimento di Diritto pubblico, internazionale e comunitario e il Dipartimento di diritto privato e critica del diritto dell’Università degli Studi di Padova

13/10/2022
“Sovranità.com. Potere pubblico e privato ai tempi del cyberspazio”

La recensione al volume di Stefano Mannoni e Guido Stazi, uscito per i tipi di Editoriale Scientifica (2021)

21/05/2022
Strumenti informatici e corrispondenza privata in una sentenza della Cassazione sull'art. 4 dello Statuto dei lavoratori

Il tema dei cd. controlli difensivi ha impegnato per anni dottrina e giurisprudenza e si ripropone anche con il nuovo testo dell’art. 4 della L n. 300/70 Statuto dei lavoratori, complicato dall’uso generalizzato nelle attività aziendali di dispositivi informatici, dati in dotazione ai lavoratori. L’intreccio tra disciplina dei controlli a distanza e tutela della privacy è stato oggetto di alcune sentenze emesse dal Giudice di legittimità all’esito di una udienza tematica. Su una in particolare si sofferma l’articolo, cogliendo l’occasione per osservazioni di carattere più generale. 

29/04/2022
Il leading role della giurisprudenza comparata in materia di discriminazioni algoritmiche subite dai lavoratori della gig economy

L’utilizzo di algoritmi decisionali nell’organizzazione del lavoro relativo alle piattaforme di intermediazione lavorativa presenta non pochi rischi di discriminazione ai danni dei lavoratori. In Europa, la giurisprudenza anticipa le prese di posizione dei Legislatori nazionali, in attesa di una regolamentazione da parte dell’Unione del ricorso all’Intelligenza Artificiale anche in questo campo.

11/11/2021
Acquisizione di dati di traffico telefonico e telematico per fini di indagine penale: il decreto-legge 30 settembre 2021 n. 132

Il governo è intervenuto con un decreto-legge a disciplinare la materia della richiesta e utilizzo a fini di indagine di dati relativi al traffico telefonico e telematico dopo che la sentenza del 2 marzo 2021 della Corte di Giustizia dell’Unione Europea aveva individuato limiti all'accesso di autorità pubbliche. 

05/10/2021