Privacy e Covid19: quale trasparenza per le app?

Il dibattito va avanti da alcuni mesi e ha tra i suoi concetti chiave la necessità di trasparenza da parte degli organi competenti che, in Italia come in altri paesi, sono stati spesso poco chiari. È stata richiesta trasparenza sui processi decisionali che hanno portato alla scelta dell’app, sulle sue specifiche tecniche e verrà pretesa sull’informativa sulla privacy, in modo da consentire ai cittadini di scegliere in modo consapevole se utilizzare o meno lo strumento. Quello della gestione dei dati, però, è un argomento complesso e le informative sulla privacy sono spesso lunghe, noiose e difficilmente comprensibili a causa del linguaggio tecnico e legale in cui sono scritte.  Il risultato è che neanche chi si prende la briga di leggerle è sempre in grado di capire perfettamente chi avrà a disposizione i suoi dati e come e per quanto tempo potrà utilizzarli. Leggiamo per esempio sull’informativa presente nell’app della Regione Lombarida, AllertaLOM, che “i dati personali conferiti non saranno soggetti ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione, che possa produrre nei Suoi confronti effetti giuridici, ovvero che possa incidere significativamente sulla Sua persona”. Ma che cosa vuole dire questa frase? In questo caso la trasparenza non può essere sinonimo di consapevolezza da parte degli utenti.

Ai pericoli di una scelta non consapevole si aggiunge un grosso limite della GDPR, che ci protegge tutelando i dati direttamente identificativi, come nome e data di nascita, ma che non valuta adeguatamente i rischi che i dati anonimizzati comportano. In Corea è bastato conoscere i locali frequentati da un ragazzo infetto, poi individuato attraverso l’incrocio di più dati anonimizzati, per risvegliare i timori di discriminazioni della comunità LGBT. In Italia alcune delle app regionali, tra cui la sopracitata lombarda, raccolgono in modo anonimo dati su età, sesso, zona di residenza e zona del posto di lavoro. Presi singolarmente questi dati hanno scarsa rilevanza, ma prendendoli tutti insieme e magari incrociandoli con altre informazioni pubbliche, è possibile identificare la maggior parte degli individui. Sebbene la loro raccolta sia consentita dalla GDPR, questi elementi sono tutt’altro che innocui e rappresentano un primo passo verso la svalutazione del concetto di privacy. C’è solo una donna che parte dal mio condominio tutte le mattine e va al mio indirizzo di lavoro. E sono io. E se per coincidenza ci fosse anche un collega vicino, la probabilità che il sesso e l’età fossero gli stessi sarebbe bassissima. Quindi solo con questi elementi si può arrivare ad un’identificazione univoca di una buona parte della popolazione occupata con poche eccezioni (come, nel caso dell’esempio, in vicinati che sorgono vicine a grandi fabbriche).

In molti hanno tentato di minimizzare il problema della raccolta di dati personali da parte dell’amministrazione pubblica sottolineando la leggerezza con cui abbiamo sempre ceduto informazioni su di noi e sui nostri interessi a società private come Google e Facebook. L’argomento è vero solo in parte perché la legge ci permette di rimuovere il consenso al trattamento dei nostri dati quando vogliamo, limitando il potere delle società private, ma ci dà molto meno controllo sulle azioni dello Stato.

Lo Stato si impegni a limitare al minimo il tempo di conservazione dei dati. Il Governo italiano ha fissato il limite per la cancellazione o definitiva anonimizzatine dei dati al 31 dicembre di quest’anno, ma a che scopo? A cosa serve conservare i dati per mesi e mesi, aumentando il rischio di data breach o di usi impropri e non prevedibili? Se la quarantena del Covid-19 è di 14 giorni, questo forse è un buon limite anche per la conservazione. No? Avere la garanzia che i nostri dati verranno cancellati non appena non saranno più utili a contrastare la diffusione dell’epidemia ridurrebbe anche i rischi legati a data breach e de-anonimizzazione, in attesa di regole più stringenti.