App tracciamento NHS Covid-19 viola la privacy: Apple e Google bloccano tutto

12 Aprile 2021 93

Apple e Google sono intervenute per bloccare l'aggiornamento di un'app di tracciamento dei contatti: gli sviluppatori dell'app NHS Covid-19, utilizzata in Inghilterra e nel Galles, avevano pianificato di chiedere agli utenti di condividere i dati relativi alla cronologia degli spostamenti, circostanza non consentita dalle regole fissate da Apple e Google.

Da sapere: l'app in oggetto supporta una funzione che permette di effettuare la scansione di un QR code presente nei luoghi aperti al pubblico. Lo smartphone memorizza così un elenco di luoghi visitati dagli utenti. Queste informazioni possono essere utilizzate solo in via eccezionale dalle autorità sanitarie per identificare potenziali focolai e avvisare gli utenti che li hanno visitati. Di fatto il meccanismo è stato utilizzato molto raramente.

Il punto centrale della vicenda sta nel fatto che, in base agli accordi tra Apple, Google e le autorità sanitarie, app come quella descritta non possono raccogliere dati sulla posizione dell'utente. L'aggiornamento è stato respinto ed è stata mantenuta la precedente versione dell'app, nonostante la decisione di condividere o meno i dati sugli spostamenti fosse lasciata esclusivamente alla libera scelta dell'utente. La modifica era stata prospettata in vista del recente allentamento delle misure restrittive: da oggi infatti in Inghilterra riaprono i negozi non essenziali.

COSA INSEGNA IL RECENTE CASO DEL REGNO UNITO

La vicenda è strettamente legata al Regno Unito, ma è degna di nota perché modifiche simili potrebbero essere applicate anche in altri mercati. Apple e Google hanno dimostrato capacità di saper intervenire tempestivamente per evitare violazioni della privacy, e questo può essere considerato rassicurante. Proprio il tema della privacy è stato uno dei deterrenti per usare (in Italia e all'estero) app per il tracciamento dei contatti. In Italia l'app ufficiale, Immuni, mette nero su bianco il fatto che non traccia gli spostamenti (oltre a rassicurare su molti aspetti della tutela dei dati personali).

Immuni non è in grado di sapere dove vai né chi incontri. Il sistema di contact tracing sfrutta la tecnologia Bluetooth Low Energy e non raccoglie dati di geolocalizzazione di alcun genere, inclusi quelli del GPS.

Se in futuro questo aspetto cambierà, si può confidare che Apple e Google interverranno così come avvenuto nel Regno Unito.

Il meglio di OnePlus? OnePlus 9 Pro, in offerta oggi da Fc Web Store a 776 euro oppure da Amazon a 839 euro.

93

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
E K

Che, "consapevolmente" decideranno se accettare o meno la cosa.

uncletoma

esattamente

Federico

E quelle poche buone che fanno poi restano non operative per anni perché mancano i maledetti decreti attuativi!

uncletoma

come gran parte delle leggi nazionali e non

Aristarco

a maggior ragione la % di laureati non c'entra una mazza

Massimo

ma secondo te perche ci sono tutti sti giovani che non credono alla scienza e invece credono a queste teoria complottistiche?
guarda che in questi paesi dove la pandemia va bene i giovani stanno piu attenti dei adulti
qua e il contrario segno che i giovani sono molto ignoranti

Aristarco

che c'entrano i laureati scusa? è questione di buon senso, mica di cultura in generale o in specifici campi

Federico

Ma non cerchiamo complottisti fra i politici,; non ci sono politici italiani dotati di un carisma sufficiente ad influenzare le fasce di età sotto ai 60 anni ed Immuni non è stata installata praticamente da nessuno indipendentemente dall'età.
E non è certo un tap sul Play Store (che fra l'altro la pubbicizzava in continuazione) a poter essere stato d'ostacolo.
Immuni non è stata accettata perché nessuno è così folle da condividere con qualsivoglia autorità dati che potrebbero collocarlo in posizione non gestibile.
E non è una questione italiana, perché in nessun Paese occidentale queste applicazioni di tracciamento hanno raggiunto un numero di installazioni sufficiente per farle funzionare veramente.

Lo stesso sarebbe per una richiesta di autorizzazione alla condivisione dei dati GPS di una applicazione di messaggistica.

The_Th

l'app richiedeva di essere scaricata, mentre le altre app sono installate sulla gran parte dei telefoni. Poi l'app immuni è stata boiccotata da qualche politico geniale per meri scopi propagandistici.

Se lo mettono su Facebook non se ne accorge nessuno, anche perchè ha senso non voler dire allo stato dove sei stato in forma anonima, ma va bene farlo sapere ad una multinazionale che vive vendendo i nostri dati personali

Federico

In linea di principio si, ma visto che la normativa impone che il gestore dei dati debba ricorrere al meglio della tecnologia e delle possibilità per evitare che essi cadano in mano di malintenzionati la cassaforte non può essere ritenuta idonea in quanto asportabile.
Ma lo stesso, a voler seguire alla lettera il GDPR, vale per i computer: un desktop o un server locale non sono generalmente adeguati alla conservazione dei dati personali. Un datacenter a norma deve avere dispositivi tali da impedire l'accesso ai malintenzionati e sorveglianza continua.

Quando tu fai un'ispezione non applichi il GDPR alla lettera, nessuno lo fa perché è impossibile; in caso contrario ti sarebbe sufficiente notare un foglietto con appuntato un nome e numero telefonico di un cliente poggiato in un luogo non adatto alla conservazione (ad esempio affianco al telefono attraverso il quale si ricevono gli ordini) per applicare una sanzione.
La sanzione comprende l'obbligo di sospensione dell'attività fino al ripristino delle condizioni di conservazione secondo normativa... quindi gli chiudi il ristorante.

Ripeto, applicare ALLA LETTERA il GDPR è assolutamente impossibile.

NaXter24R

Si, se anche il locale rispetta la regola. Ti stai sempre basando sul fatto che la gente sia rispettosa delle regole, ma così non è purtroppo

uncletoma

lo so, che può essere sostituita da una cassaforte in locale videosorvegliato.
ebbene, dei locali da me visitati (come cliente :p) uno ha raccolto correttamente le informazioni (gli altri si fidavano, e magari quello del tavolo a fianco risultava chiamarsi Roberto Bettega, nato a Torino il 27/12/1950, residente a Torino in via Susa 112/4, scala B); e solo uno le conservava correttamente. E non era lo stesso locale.
E nello stesso periodo ho visto:
FFOO che se ne fregavano dell'obbligo di portare la mascherina all'interno dei locali
FFOO che se ne fregavano di far rispettare distanziamenti e obblighi
Eccetera.
Poi ci chiediamo perché siamo, tra le grandi nazioni europee, UK inclusa, quella con il maggior numero di morti assoluto, in rapporto agli abitanti, con il maggior numero di ammalati (assoluto e in rapporto), con gli ospedali più congestionati.
Più che "Andrà tutto bene", sta andando tutto a b4g4sc3

Guest

è stato spiegato decine di volte che non è abbastanza preciso per fare contact tracing.

Guest

saluti anche agli utenti

Alessandro Peter

Che è quello che sottolineavo io nel mio commento principale.

virtual

Perché i (costruttori) cinesi killano le app e la gente non è in grado di impostare le eccezioni.

Maurizio P.

Anche per il check in ti basi sul fatto che la persona la installi. Se non la installa, non entra. Non cambia niente se non che la soluzione senza check in traccia i contatti anche all’aperto (a differenza del metodo QR).

Federico

Sarebbe una cosa completamente diversa, qui il clamore sarebbe terribile e nessuno sarebbe il consenso a far conoscere la propria posizione ad un qualsiasi ente governativo(e magari il suo stato di potenziale portatore asintomatico).
Lo abbiamo già visto con l'app immuni, no?

The_Th

No, ma deve utilizzare i dati raccolti per il solo fine per cui sono stati dati. Nel momento in cui prenoto lascio solo il mio nome, quando mi fanno scrivere su un foglio visibile a tutti nome/cognome/telefono le cose cambiano leggermente, per cosa utilizzerai quei dati, per quanto li conserverai, chi è il responsabile della conservazione, come posso togliere i miei dati dal tuo archivio?
Ah sono pro tracciamento, sia chiaro, ma ha molto più senso un'app come immuni che può lavorare h24 in modo anonimo e chiaro che scrivere il nome sul foglio all'ingresso del bar

The_Th

a facebbok e IG vengono regolarmente dati consensi a qualsiasi cosa

The_Th

Anche alcuni politici lo hanno fatto, per mero interesse elettorale, chissenefrega del tracciamento del contagio

adimo

Ovvio, visto che si traccia il luogo preciso in cui si trova una persona. Cosa molto differente da Immuni che non conserva alcuna info personale se non un token generato casualmente dal telefono e non collegato a nessuna persona. Ma le ASL hanno boicottato immuni evitando di inserire i dati degli infetti nel sistema.

Federico

L'art. 9 lo avevo citato pochi minuti fa io a Maurizio, ma non autorizzata a ridurre la qualità della protezione dei dati.
L'articolo 9 semplicemente elenca una serie di eccezioni che consentono la ritenzione di tipologie di dati altrimenti vietata.

Federico

E pensi che qualcuno darebbe il consenso?

Rendiamociconto

no se avvisano il cliente

Rendiamociconto

perchè è meno efficace

Harry

Sì, se nno ricordo male è durato qualche settimana al massimo, poi hanno mollato...

Alessandro Peter

Copio/incollo:
Il Regolamento attribuisce anche – all’art.9 – una specifica protezione per i dati personali “particolari” che, per loro natura, sono maggiormente sensibili. Sono particolari, ed è vietato trattare, i dati personali che rivelino:
l’origine razziale o etnica
le opinioni politiche;
le convinzioni religiose o filosofiche;
l’appartenenza sindacale;
dati genetici;
dati biometrici intesi a identificare in modo univoco una persona fisica;
dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Federico

È comunque trattamento dei dati personali e la normativa ne prevede tassativamente la custodia sicura.
La destinazione d'uso (mi pare Art 9 ma potrei sbagliare) ti autorizza a detenere dati di categorie altrimenti vietate (come razza o religione), ma non ha niente a che fare con la sicurezza

Federico

Il caveau è indispensabile perché hai l'obbligo di rendere inaccessibili in modo continuativo i dati a terze parti.
Con i documenti fisici è un disastro.

Okkio che la normativa vale anche in caso di "pseudonomizzazione", qualora dallo pseudonimo si possa in qualche modo risalire alla persona fisica. Dunque anche il "nick" Alessandro 2 potrebbe essere considerato dato sensibile ai fini GDPR

Alessandro Peter

Il mio mestiere principale è cyber security, per tanto adozione di gdpr è parte integrante dei processi di cui mi occupo.
Ci sarebbe un interessante dibattito da fare su questo tema, poiché mi chiedo se la semplice registrazione di un dato personale ne costituisce “il trattamento” di fatto, poiché qui il ristoratore teoricamente quel dato non lo usa ma lo tiene a disposizione per le autorità.
Insomma, non è da dare per scontato

NaXter24R

Ti basi sempre sul fatto che la gente la installi. E anche se obbligatoria non puoi saperlo. Se sai invece dove va la gente, riesci a prevenire anche chi non installa l'app

Kevin

Non capisco perché non venga maggiormente usata NotifyMe, sviluppata dallo stesso team dietro al protocollo DPT-3 (quello usato da Apple e Google) e con gli stessi standard di qualità e privacy https://notify-me.ch/en/

Maurizio P.
Federico

Nono, nessuna differenza.
Generalità + numero di telefono conservati alla rinfusa = multa sufficiente per farti chiudere l'attività.
È quello di cui parlavamo con Maurizio: GDPR è di fatto inapplicabile, ma per fortuna nessuno ne controlla realmente la piena applicazione.

Alessandro Peter

La differenza la fa il dato! E ci sono categorie definite per distinguerli.
Nome e telefono non sono certo dati sensibili. L’appuntamento all’ASL invece lo è

Federico

Eh, se volesse essere compliant con GDPR si.
Ristorante o multinazionale per la normativa non fa alcuna differenza.

Alessandro Peter

Ma di che parli?
Quindi un ristorante per prendere prenotazioni telefoniche deve dotarsi di caveau e vigilanza armata dove custodire gelosamente i post it con su scritto “Alessandro 2 posti martedì sera, tel. 392xxxxx”?

E K

Se proprio vogliono (almeno su android) possono metterla in download da altre fonti e tanti saluti alle regole.

Maurizio P.

Tu hai commentato a favore del check in obbligatorio. Per fare check in serve l'app. Tanto vale renderla obbligatoria senza check in, no?

E K

Piccolo consiglio:
capire i commenti aiuterebbe a rispondere in modo sensato e riuscire a non sembrare in prima battuta cerebralmente ipodotati.

Maurizio P.

Capito, grazie. Allora ne deduco che questo aggiornamento abilitava solo la condivisione automatica di quelle posizioni, che prima venivano invece salvate in locale, slegate dal protocollo di tracciamento contatti. Sono ancora più in accordo con Apple e Google e capisco ancora meno la scelta di NHS. Piuttosto introducessero l'obbligatorietà formale dell'app rimuovendo la geolocalizzazione dall'equazione.

NaXter24R

Se. Il puntoi è quello, non tutti hanno l'app. Pochi nel caso della Corea, ma qualcuno c'è, e qualcuno può diventare un migliaio se non lo prendi in tempo

Federico

Un ristorante che conserva quelle informazioni secondo normativa???
Ma hai presente che per conservare secondo normativa dei fogli di carta con dati personali la normativa prevede una camera blindata con sorveglianza continua?

Maurizio P.

Fai anche l'80%. Devo ancora vedere gli avvisi degli aggiornamenti delle privacy policy ad ogni sua modifica, se non da parte di qualche multinazionale.

Massimo

ma cosa ti aspetti? l'italia ha tra i minor % di laureati in europa
se la gente avesse un po di cervello non saremmo messi cosi male
vai a guardare la maggiorparte dei paesi asiatici australia e compagnia varia
vediamo chi e piu libero noi o loro

Federico

Qualsiasi cosa, follia pura che rende di fatto inapplicabile sul serio quella normativa.
Una volta al mese mi reco presso un servizio sanitario (ASL, non privato), ed ogni volta devo compilare il foglietto con generalità e numero di telefono, foglietto che viene poi conservato in un ufficio senza particolari precauzioni.
Sarebbero passibili di una multa spropositata.

Per fortuna è molto raro che qualcuno controlli veramente la compliance con GDPR, altrimenti chiuderebbero metà delle aziende europee.

Alessandro Peter

Maurizio ha subito colto, mente tu probabilmente non hai letto nemmeno l’articolo, visto che a tuo parere quanto ho citato non c’entra nulla.
Te lo riassumo io; nell’articolo si parla di prestare il consenso allo storico delle posizioni in cui si è fatto il check-in tramite QR all’ingresso. Proprio quello che si fa ancora oggi nei ristoranti (quando aperti!), solo che da noi invece che utilizzare immuni si usa un quaderno di carta e si scrivono proprio i dati personali!
La prossima volta prima di sparare cerca di prendere meglio la mira perché hai proprio toppato obiettivo.

Maurizio P.

Se tutte le persone con cui ha contatti diretti o indiretti hanno l'app allora non esiste più nessun raggio. C'è solo una rete di contatti.

uncletoma

ma andavano conservati secondo quanto dice il GDPR.
che poi alcuni non l'abbiano fatto è un altro problema.

Recensione Asus Zenfone 8: l'alternativa ai Pixel che stavo aspettando

Recensione Realme 8 5G: le reti di nuova generazione sono per tutti

Xiaomi Mi 11 Ultra può battere Samsung Galaxy S21 Ultra? | VIDEO

Legion Phone Duel 2 vs ROG Phone 5 vs RedMagic 6: sfida tra gaming phone