di Corrado Aaron Visaggio
Le app di tracciablità per il COVID-19 stanno suscitando non poche preoccupazioni per la nostra privacy.
Il timore dei più è quello di una “profilazione” di massa.
Non è mia intenzione discutere se questo sia giusto o no, ma piuttosto fare qualche riflessione su quali tipi di informazioni potrebbero – il condizionale è d’obbligo – essere dedotte da un’app di tracciamento. Sì, ho scritto dedotte, non estratte.
E’, credo, chiaro a tutti che un’app, con il consenso del proprietario del dispositivo, possa ficcare il naso un po’ dappertutto e quindi estrarre una enorme quantità di informazioni.
Probabilmente, il timore è che un’app di questo genere possa intrufolarsi nelle nostre chat, possa registrare le nostre conversazioni o guardare le nostre foto.
Non so se lo farà, immagino di no.
Ma, del resto, sarebbe una raccolta di dati piuttosto onerosa, perché ingolferebbe la rete, rallenterebbe l’utilizzo del telefono, consumando in pochissimo tempo la batteria.
Inoltre una tale mole di dati, oltre a richiedere uno spazio di archiviazione enorme, sarebbe quasi impossibile da analizzare interamente (con le tecnologie attuali).
D’altro canto, però, se uno volesse profilarci, non avrebbe mica bisogno di tutti questi dati: utilizzando la sola posizione ed il momento in cui la posizione è stata rilevata, quel qualcuno potrebbe ottenere informazioni utili ad una profilazione utilizzando una tecnica nota come inferenza.
L’inferenza è una tecnica attraverso cui io posso ottenere informazioni che non mi sono state date esplicitamente, filtrando, correlando, incrociando, manipolando altre informazioni che sono in mio possesso.
Il punto infatti, non è tanto quante informazioni estraggo da un singolo smartphone, ma piuttosto cosa quelle informazioni possono dirmi quando le incrocio con altre informazioni, come la posizione di altri smartphone o con dati contestuali.
Per esempio, se una persona è stata in una certa piazza di una certa città dalle 10:00 alle 14:00 di un certo giorno, che ne deduco? Ben poco, se mi fermo qui. Ma se so che in quella piazza di quella città esattamente in quelle ore, si è tenuta la campagna elettorale del candidato di un certo partito, che ne deduco? Che molto probabilmente quella persona è un sostenitore di quel partito politico.
E se una persona è stata registrata, dalle 18:00 alle 19:00 di un certo giorno, in una posizione che corrisponde ad una palestra, posso dedurre che sia iscritto a quella palestra? No. Ma se quella persona, nello stesso orario, più o meno per lo stesso tempo e con una certa regolarità si trova in quella palestra, allora sì potrei concludere che probabilmente ha un abbonamento in quella palestra.
La profilazione potrebbe anche andare oltre: se io so che X spaccia droga e so quando e dove lo fa – stiamo facendo supposizioni del tutto teoriche – , tutti quelli che si trovano vicino a X mentre spaccia probabilmente stanno acquistando droga.
Profilare una persona, conoscendo la sua posizione e incrociando quei dati con altri, è dunque relativamente semplice ed immediato.
Sorgerebbe una seconda domanda che secondo me è il vero problema: accettando l’idea di venire tracciati (e, quindi, divenire suscettibili ad una profilazione), quali sono le garanzie che queste informazioni non cadano nelle mani sbagliate e vengano accedute solo da chi ne ha diritto e quando ne ha diritto?
E’ chiaro che queste informazioni non possono essere anonimizzate del tutto, ma si potrebbe utilizzare una tecnologia nota come pseudo-anonimizzazione che consiste nel disaccoppiare l’identità di una persona dalle informazioni raccolte su quella persona. In tal caso, le informazioni sarebbero correlate ad un codice, non ad un nome ed un cognome. Questa seconda associazione potrebbe essere fatta in un secondo momento e, quindi, i dati, in una prima istanza, sarebbero associati solo al codice (che si definisce “pseudo-anonimo”, appunto).
Questo protegge la privacy delle persone, ovvero consente di trattare i dati sensibili senza necessariamente svelare l’identità della persona a cui questi appartengono.
Ora, l’associazione tra codice ed identità della persona dovrebbe essere gestita da uno strumento che: cifri questa informazione in modo che possa accedervi solo chi possiede le chiavi, registri l’operazione in modo che si sappia sempre chi abbia avuto accesso e perché e che ne controlli l’accesso secondo dei criteri molto rigorosi.
Concludo con una osservazione.
Mi suona davvero ironico che noi ci siamo lasciati profilare in modo accurato dalle reti sociali per tutto questo tempo, abbiamo affidato alle reti sociali le nostre idee su tutto, abbiamo rivelato chi amavamo pubblicamente ed in segreto, abbiamo raccontato le nostre abitudini ed i nostri più profondi desideri e ora, solo ora che si ritiene necessario farlo per la salute e la sicurezza di tutti, ce ne preoccupiamo.