• Paolo Benanti

Privacy e pandemie: uno sguardo ai dati sulla posizione

Aggiornato il: apr 10

Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.


Benjamin Franklin, Pennsylvania Assembly: Reply to the Governor, November 11, 1755



"Chi è pronto a dar via le proprie libertà fondamentali per comprarsi briciole di temporanea sicurezza non merita né la libertà né la sicurezza". Queste parole di Benjamin Franklin (dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755; in The Papers of Benjamin Franklin, ed. Leonard W. Labaree, 1963, vol. 6, p. 242), che leggermente modificate sono anche iscritte su una targa nella tromba delle scale del piedistallo della Statua della Libertà, sembrano quanto mai adatta a descrivere alcune tensioni di questi giorni. Privacy, tutela della salute, controllo di massa e libertà fondamentali si scontrano e affrontano in tante argomentazioni pubbliche.



In altri post mi sono già espresso su quale modello, il dono, dovrebbe o potrebbe giustificare l'uso dei dati da parte delle autorità sanitarie e di come sia possibile, per esempio con le fogne, ipotizzare non solo dati granulometrici ma anche aggregati. Oggi, con l'aiuto di alcune riflessioni globali, come quelle del Future Privacy Forum, vorrei approfondire di cosa parliamo quando parliamo di dati sulla posizione. Qui sotto un approfondimento.


Alla luce di COVID-19, c'è un interesse globale accresciuto nel sfruttare i dati sulla posizione detenuti dalle principali società tecnologiche per tracciare le persone colpite dal virus, comprendere meglio l'efficacia del distanziamento sociale o inviare avvisi alle persone che potrebbero essere colpite in base al loro precedente vicinanza a casi noti. I governi di tutto il mondo stanno valutando se e come utilizzare i dati sulla posizione mobile per aiutare a contenere il virus: il governo israeliano ha approvato le norme di emergenza per affrontare la crisi utilizzando i dati sulla posizione dei telefoni cellulari; la Commissione europea ha richiesto che i gestori di telefonia mobile forniscano dati anonimi e aggregati sulla posizione mobile; e la Corea del Sud ha creato una mappa pubblicamente disponibile dei dati sulla posizione da individui che sono risultati positivi. Anche l'Italia sta lavorando a progetti simili.

Al fine di impostare un dibattito pubblico su queste preoccupazioni, di seguito, utilizzando anche i preziosi materiali pubblicati dal Future Privacy Forum, forniamo una breve guida esplicativa delle basi: (1) cosa si intende con "dati sulla posizione", (2) chi li colleziona e conserva e (3) come vengono raccolti? Alla fine riportiamo alcune considerazioni etiche e di privacy preliminari per l'elaborazione dei dati sulla posizione. Chi si esprime sul tema dovrebbe considerare: come e in quale contesto sono stati raccolti i dati sulla posizione; il fatto e il ragionamento alla base dei dati sulla posizione classificati come legalmente "sensibili" nella maggior parte delle giurisdizioni; le sfide per un'efficace "anonimizzazione"; la rappresentatività del set di dati relativi all'ubicazione (tenendo conto del potenziale bias e della mancanza di inclusione di sottopopolazioni a basso reddito e anziane che non possiedono telefoni); l'importanza unica della limitazione degli scopi o del non riutilizzo dei dati sulla posizione per altri scopi nella sfera del mondo civile o di applicazione delle leggi e della sicurezza pubblica dopo che la pandemia sarà terminata.


COSA SONO I DATI PRECISI SULLA POSIZIONE?

I dati di posizione precisi, o "dati di mobilità", indicano le informazioni su come dispositivi e persone si muovono attraverso gli spazi nel tempo. La maggior parte di queste informazioni proviene dai dispositivi che portiamo con noi, con gli smartphone che fungono da proxy per le persone (nel rapporto Digital 2020 in Italia ci sono 80 milioni di smartphone per una popolazione residente di 60 milioni di persone).



Perché è così? Anche la connettività di base, o la capacità di inviare e ricevere contenuti wireless sui dispositivi, deve comportare informazioni sulla posizione di tali dispositivi. Ad esempio, i fornitori di servizi wireless sanno dove si trovano i dispositivi perché forniscono il servizio attraverso torri cellulari e reti locali. A un livello più generale, un indirizzo IP (un identificatore condiviso liberamente e apertamente dai dispositivi per inviare e ricevere traffico Internet) è spesso sufficiente per conoscere la città e lo stato di una persona.

Tuttavia, la maggior parte dei ricercatori che analizzano COVID-19 sono interessati a informazioni altamente "precise" su dove si trovano i dispositivi (e quindi le persone) nel tempo. Il fatto che un individuo si trovi a "Roma" non è sufficiente per rintracciare una malattia infettiva, ma informazioni come "lavora nello stesso edificio" o "ha frequentato lo stesso ristorante contemporaneamente a una persona positiva al COVID-19" (posizione precisa) può essere molto utile. In genere, pensiamo che i dati sulla posizione abbiano implicazioni sulla privacy quando sono abbastanza precise da individuare un individuo con ragionevole specificità. Questa è spesso una specificità a livello di GPS e di solito non include informazioni come un indirizzo IP. La misurazione della posizione precisa dipende in parte dal contesto, come la densità di popolazione (ad esempio, in un'area rurale o remota, un livello inferiore di specificità potrebbe essere maggiormente in grado di identificare una persona in maniera univoca che lo stesso livello di informazione se quella stessa persona si trovasse a stazione Termini in un orario di massima affluenza dei pendolari). Recenti proposte legislative, specie negli US, hanno tentato di creare misure rigorose (come un raggio di 1.640 piedi - circa 500 metri - secondo un Discussion Draft del governo degli Stati Uniti o un raggio di 1.850 piedi - circa 560 metri - ai sensi dell'iniziativa attualmente in voto con la California Privacy Rights Act del 2020).

A volte i dati sulla mobilità o sulla posizione sono legati a individui noti (come un nome associato a un abbonamento di un telefono cellulare) e altre volte sono legati a un identificatore univoco associato a un dispositivo. In questi casi, i dati individualizzati vengono spesso definiti "anonimi". In altri casi, se un set di dati è stato modificato per mostrare i movimenti di gruppi di persone (e non individui), viene spesso definito "aggregato".

CHI HA ACCESSO AI DATI SULLA POSIZIONE?

I dati sulla posizione sono detenuti da una varietà di entità commerciali che forniscono servizi diversi, anche come parte delle funzionalità principali di un dispositivo (gestori di telefonia mobile e sistemi operativi), come parte di una funzionalità rivolta al consumatore (app mobili) o come parte di tracciamento in spazi fisici che si basano sulla connettività del dispositivo (Internet of Things):

Operatori di telefonia mobile. I gestori di telefoni cellulari sanno dove si trovano i telefoni perché indirizzano le chiamate verso i telefoni attraverso le torri cellulari locali, che possono essere migliorate con i dati sulla posizione GPS.

Sistemi operativi. I fornitori di sistemi operativi mobili - Android (Google) e iOS (Apple) - possono sapere dove si trovano i dispositivi a seguito della fornitura di servizi, del miglioramento della funzionalità o dell'abilitazione delle funzionalità di posizione opt-in. Inoltre, alcuni utenti potrebbero aver optato per l'uso dei dati relativi al cellulare e al Wi-Fi utilizzati per migliorare i servizi di localizzazione.

Sinistra - iOS (Apple), centrale e destra - Android (Google)

App e partner di app. Molte persone hanno installato app con funzionalità basate sulla posizione, come avvisi meteorologici, sharing di beni (passaggi, auto, ecc) o consegne di generi alimentari. In molti casi, questi dati sulla posizione vengono condivisi con i partner al fine di fornire annunci personalizzati o monetizzare l'app gratuita. Molte app utilizzano kit di sviluppo software (SDK) o codice sviluppato da terze parti. Spesso, i dati sulla posizione vengono condivisi con questi provider SDK per migliorare il loro servizio o in cambio di monetizzazione o altri servizi.

Provider di analisi della posizione (Internet of Things). I dispositivi connessi emettono informazioni identificative che consentono di essere tracciati, anche quando non sono attivamente connessi a una rete. Ciò include i telefoni cellulari (quando il Wi-Fi o il Bluetooth sono attivi), ma anche altri dispositivi Internet of Things (IoT) come fitness tracker, giocattoli intelligenti o veicoli. Di conseguenza, molti aeroporti, stadi e negozi fisici (alcune note catene di boutique di marchi di lusso) analizzano questi dati di segnale per capire meglio quando sono le ore più trafficate, dove si trova il traffico pedonale più elevato in negozio, in quali prodotti i clienti mostrano interesse o in che modo le persone lunghe stanno aspettando in fila.

COME VENGONO RACCOLTI I DATI SULLA POSIZIONE?

Quando la maggior parte delle persone pensa ai dati sulla posizione, pensa al GPS (Global Positioning System). In effetti, il GPS è solo uno dei molti modi per dedurre dove si trovano i dispositivi, più utilizzati in alcune combinazioni da operatori, sistemi operativi, app e altri. I metodi comunemente usati includono: GPS; le torri cellulari; le reti Wi-Fi e i Beacons (oltre ad altri meno diffusi ma ugualmente efficaci). Ciascuno fornisce un diverso livello di precisione e può essere utilizzato per scopi diversi: GPS. Gli smartphone e altri dispositivi sono in grado di rilevare la posizione tramite GPS satellitare indipendentemente da qualsiasi ricezione telefonica o via Internet, sebbene il chip GPS di un telefono sia solo uno dei tanti. L'accuratezza dei segnali GPS varia ampiamente e può essere influenzata da condizioni meteorologiche o interferenze fisiche. Ad esempio, è molto meno preciso nelle aree urbane e particolarmente scarso per rilevare posizioni specifiche all'interno di grandi edifici. Di conseguenza, i moderni telefoni cellulari utilizzano il GPS in combinazione con altre forme di segnale di posizione (Wi-Fi, Bluetooth) in varie occasioni per creare una determinazione della posizione più accurata.


Torri cellulari. Le torri cellulari hanno una funzione principale, che deve essere utilizzata dai corrieri per fornire il servizio cellulare. Di conseguenza, i gestori di telefonia mobile (come AT&T, Sprint, Verizon, T-Mobile e molti altri negli Stati Uniti) sanno approssimativamente dove si trovano i dispositivi perché sanno con quali torri cellulari si collegano. Oltre a questa funzione principale, i tower tower emettono anche "ID Tower Tower" unici, che possono essere rilevati liberamente. Esistono molti database privati ​​e pubblici degli ID delle torri cellulari associati alle posizioni mappate delle torri cellulari note. Di conseguenza, la vicinanza delle torri cellulari vicine (e l'intensità del segnale dei loro ID) può essere utilizzata per dedurre dove si trova un dispositivo. Prova a trovare le tue torri cellulari locali qui (OpenCellID).

Reti Wi-Fi. I dispositivi mobili possono dedurre la loro posizione eseguendo la scansione delle reti Wi-Fi vicine. Le reti o i "punti di accesso" nelle vicinanze potrebbero includere, ad esempio, il Wi-Fi dei vicini o il Wi-Fi disponibile in bar e negozi. Esistono grandi database di identificatori univoci (indirizzi MAC e SSID) dei router wireless e delle loro posizioni note, con aziende come Mozilla e Combain che riportano database di milioni di reti Wi-Fi uniche. Nonostante la natura relativamente pubblica di questi identificatori, la maggior parte dei database commerciali (ma non tutti) offre un meccanismo di opt out per gli utenti che preferiscono che la propria rete non venga inclusa. Nel 2011, Google ha creato un approccio per l'esclusione di un determinato punto di accesso dall'inclusione nel suo database, che comporta l'aggiunta della frase "_nomap" alla fine dell'SSID del router wireless. Allo stesso modo Mozilla onora il metodo _nomap, ma altri database non lo fanno, o offrono i propri opt-out .


Beacon Bluetooth. Molte app sono progettate per rilevare la loro vicinanza ai "beacon", piccoli trasmettitori radio che trasmettono segnali Bluetooth unidirezionali. I beacon sono economici e possono essere collegati a oggetti personali (come le chiavi o il portafoglio di una persona). Possono anche essere installati in luoghi noti, ad esempio in uno spazio commerciale o davanti a una speciale esposizione di prodotti in un negozio. In questi casi, un'app a cui un utente ha dato il permesso di accedere a Bluetooth può dedurre la posizione del dispositivo o inviare avvisi basati sulla prossimità o altri contenuti.

Combinazione di segnali per precisione. Gli smartphone moderni combinano i segnali rilevati dalle fonti sopra per creare una posizione più precisa di quella che un segnale (come il GPS) fornirebbe da solo. Ad esempio, iOS e Android sfruttano i segnali di molti sensori diversi sul dispositivo, come i sensori di altimetro e accelerometro, per fornire una funzionalità consolidata di "Servizi di localizzazione" che offre informazioni di posizione altamente precise alle app (con il permesso dell'utente) e che gli utenti può controllare in Impostazioni. I segnali possono anche essere combinati per creare servizi di localizzazione predittiva, ad esempio per prevedere un ingorgo futuro o mostrare agli utenti le attrazioni imminenti sul loro percorso previsto.

CONSIDERAZIONI ETICHE E SULLA PRIVACY PER I DATI SULLA POSIZIONE

I legislatori di vari paesi stanno iniziando a pensare se e come utilizzare le numerose fonti di dati sulla posizione commerciale. Mentre lo fanno è assolutamente importante chiedersi: come e in quale contesto i dati sulla posizione sono stati raccolti (descritti sopra); il fatto e il criterio che stabilisce quali dati sulla posizione, e perché, sono classificati come legalmente "sensibili" nella maggior parte delle giurisdizioni attuali; quali si presentano sfide per un'efficace "anonimizzazione"; la rappresentatività del set di dati relativi all'ubicazione (tenendo conto del potenziale pregiudizio e della mancanza di inclusione di sottopopolazioni a basso reddito e anziane che non possiedono telefoni); l'importanza unica della limitazione degli scopi o del non riutilizzo dei dati sulla posizione per altri scopi civili o di applicazione della legge dopo che la pandemia è terminata.


I dati precisi sulla posizione sono legalmente sensibili. Nella maggior parte delle giurisdizioni attualmente esistenti, i dati sulla posizione sono trattati come una categoria speciale di dati soggetti a maggiori protezioni, come elevati standard di sicurezza e il requisito del consenso espresso affermativo.



Ad esempio, l' approccio di lunga data della Federal Trade Commission (FTC) degli Stati Uniti è stato quello di richiedere il consenso affermativo per i dati sulla posizione. Nel 2016 la FTC ha accolto un accordo extragiudiziale con la piattaforma pubblicitaria InMobi per non aver rispettato la scelta degli utenti di non accettare di condividere i dati sulla posizione con le app. Il consenso espresso affermativo è anche una caratteristica della maggior parte delle proposte legislative degli Stati Uniti dal 2018-2020, come il suddetto California Privacy Rights Act del 2020; e la proposta di legge sulla privacy dei consumatori proposta dal senatore degli Stati Uniti Cantwell. La Corte Suprema degli Stati Uniti ha anche affermato che i dati sulla posizione comportano sensibilità uniche a causa della sua capacità di rivelare dati altamente sensibili sui comportamenti, i modelli e la vita personale delle persone, più recentemente in Carpenter contro gli Stati Uniti (che richiedono l'applicazione della legge per ottenere un mandato per cellulare dati sulla posizione del sito).


Nell'Unione europea, l'accesso ai dati relativi all'ubicazione è normalmente regolato come una questione di riservatezza delle telecomunicazioni, dalle rigide disposizioni della direttiva e-privacy che richiedono il consenso individuale (con eccezioni molto ristrette).

I dati precisi sulla posizione sono molto difficili da "anonimizzare" completamente. Molte entità governative sono interessate ad accedere a dati sulla posizione "anonimi" o "anonimi e aggregati", per osservare tendenze e movimenti a livello di popolazione. Sebbene in alcuni casi ciò sia possibile, è molto difficile rendere qualsiasi set di dati di singoli dati precisi sulla posizione "anonimo". Anche se vengono utilizzati identificatori univoci al posto dei nomi, il comportamento della maggior parte delle persone può essere facilmente ricondotto a loro, ad esempio dalla posizione della loro casa (dove il dispositivo "dimora" di notte). Queste sfide non sono insormontabili, ma i responsabili politici dovrebbero stare molto attenti a non compromettere la propria reputazione e dovrebbero considerare i set di dati sulla posizione come informazioni riservate e sensibili. Ciò significa che dovrebbe essere soggetto a controlli amministrativi, tecnici e legali per garantire che rimanga protetto e limitato in chi può accedervi e per quali scopi.


Anche i dati sulla posizione completamente "aggregati" possono talvolta rivelare informazioni sensibili. A volte, anche dati altamente aggregati sui modelli di grandi gruppi di persone (come mappe di calore di alto livello) possono rivelare inavvertitamente informazioni. Nel 2017, una "Mappa del calore globale" interattiva dei movimenti degli utenti dell'app per il fitness Strava ha rivelato inavvertitamente le posizioni del personale militare schierato in posizioni classificate.


Questo incidente, di cui abbiamo ampiamente parlato nel blog, evidenzia alcune delle più ampie questioni etiche associate alla condivisione di dati pubblici e di dati aperti.


Rappresentatività e distorsione sono di importanza unica per i set di dati sulla posizione. Le pratiche sleali di elaborazione dei dati che coinvolgono la geolocalizzazione ricadono sproporzionatamente sulle comunità emarginate e vulnerabili. In quanto tali, le maggiori protezioni della privacy sono particolarmente importanti per questi gruppi. Le app volontarie, ad esempio, hanno maggiori probabilità di catturare le comunità benestanti. Ad esempio, un'app mobile coem "Street Bump" è stata rilasciata da un'autorità municipale nel tentativo di raccogliere i dati in modo da individuare le strade da riparare. Tuttavia, i cittadini benestanti hanno scaricato l'app più delle persone nei quartieri più poveri. Pertanto, il sistema ha riportato un numero sproporzionato di buche nei quartieri più ricchi e avrebbe potuto indurre la città a distribuire o dare priorità ai suoi servizi di riparazione in modo inequivocabile. Al contrario, i dati del gestore di telefonia mobile potrebbero essere più rappresentativi, ma potrebbero mancare più persone anziane, molto giovani o con reddito più basso o chi non può permettersi telefoni cellulari.

La limitazione degli scopi è particolarmente importante in una crisi. La limitazione delle finalità è una luce guida fondamentale dei principi di informazione equa (FIPP) negli Stati Uniti e del regolamento generale sulla protezione dei dati dell'UE (GDPR). Poiché i dati sulla posizione sono sensibili e difficili da "disidentificare" (ovvero per ridurre o eliminare in modo significativo tutti i rischi per la privacy), vi è una seria preoccupazione che una volta raccolti da un'agenzia sanitaria pubblica per il monitoraggio della pandemia, potrebbero essere conservati o utilizzati per altri scopi. I governi dovrebbero considerare in che modo i dati sulla posizione sono stati raccolti in prima istanza (con la conoscenza o il consenso degli utenti?), E se viene presa la decisione di riutilizzarli per il monitoraggio pandemico, dovrebbero essere chiaramente silicati a tale scopo e non riutilizzati o trattenuto per altri usi civili o delle forze dell'ordine. I ricercatori o le agenzie dovrebbero disporre di politiche e procedure chiare che descrivano gli aspetti operativi e tecnici della gestione dei dati.

CONCLUSIONI?

Mentre COVID-19 continua a diffondersi, ci troviamo di fronte sfide globali per le norme esistenti e le migliori pratiche per la raccolta e l'utilizzo dei dati. In alcuni casi, i dati sulla posizione e sulla mobilità potrebbero fornire un percorso per una migliore comprensione e lotta contro la pandemia. I governi e i ricercatori che cercano di rispondere alle preoccupazioni e ai rischi dovrebbero chiedere: come e in quale contesto sono stati raccolti i dati sulla posizione; se è necessario e opportuno raggiungere i propri obiettivi (incluso se i dati sono veramente rappresentativi della popolazione complessiva e tengono conto delle popolazioni vulnerabili come gli anziani); se tali obiettivi possano essere raggiunti con mezzi meno invasivi; e come tali dati verranno utilizzati, archiviati, conservati o riutilizzati in modo sicuro dopo la conclusione della pandemia.


Insomma la questione dei dati prima che tecnica, sanitaria o politica è squisitamente e preminentemente etica. Abbiamo bisogno di un etica per navigare nella Fase 2 che ci si apre davanti per evitare le perigliose rotte degli effetti indesiderati o, tornando a Franklin, per non scambiare valori e diritti fondamentali per un po' di sicurezza a breve termine.

669 visualizzazioni