Un datore di lavoro sta intervistando cinque candidati per un’eventuale assunzione. Al telefono di ognuno dei candidati, il datore di lavoro connette uno smartphone sul quale è installata una app di contact tracing per il rilevamento di infetti da Covid-19. Ciascuno dei suoi cinque telefoni è in contatto con una sola persona, uno dei cinque candidati al posto. Dunque ha cinque telefoni per cinque candidati. Il datore di lavoro (subito o nei giorni seguenti al colloquio) riceve dalla app l’informazione che uno dei candidati potrebbe aver contratto l’infezione, e decide di non assumerlo.

Un altro esempio: un signore anziano, non particolarmente bravo con le nuove tecnologie, percettore di una pensione che non gli consente di acquistare uno smartphone evoluto dove eventualmente installare la app di tracciamento digitale, scende al suo negozio di quartiere per fare la spesa e trova questo avviso: “Qui non si entra senza la app Immuni”. Un avviso molto simile a quelli che si potevano leggere sessant’anni fa nelle città italiane del nord (“qui non serviamo i meridionali”).

Sono solo due casi ipotetici che spiegano come le app di tracciamento anti-Covid, se gestite senza rispetto della privacy, senza trasparenza, senza affrontare e risolvere il problema del divario sociale e digitale, potrebbero nuocere a intere categorie di cittadini e stravolgere relazioni sociali e di lavoro. Li ha portati, questi esempi, Enrico Nardelli, esperto di tecnologia e diritti, docente dell’Università di Roma “Tor Vergata” e presidente di Informatics Europe, durante un webinar organizzato dal Centro per la riforma dello Stato. Un seminario che ha fornito “a non esperti di tecnologia elementi di comprensione critica dei dispositivi digitali che si stanno progettando e delle loro possibili procedure di utilizzo”, spiega il Crs, perché sarà necessario “garantire, anche in un contesto di emergenza sanitaria, diritti fondamentali legati alla protezione dei dati sensibili dei singoli”.

Nel corso del seminario sono emersi aspetti centrali del tema, e che potrebbero cambiare le vite di ciascuno di noi. Come la differenza tra tracciamento assoluto e relativo. Il primo è condotto, ad esempio nei paesi orientali, attraverso misure Gps di rilevamento della posizione, molto più invasive rispetto alla privacy: si veda quanto è accaduto al ragazzo sudcoreano, il famigerato super-diffusore, scoperto grazie alla app governativa “Corona 100 m”.

Il tracciamento relativo (allo sviluppo in diversi Stati europei) è invece meno invadente, perché adopera sistemi wi-fi e Bluetooth, mette in connessione persone a una certa distanza, informando in modo anonimo chi è vicino a te e se ha contratto il virus. Il problema, però, è che il Bluetooth non è affatto un protocollo sicuro, e metti caso che ci si ritrovi tutti in un vagone della metro con la app attiva, sarebbe abbastanza semplice per un hacker scatenare un attacco ed entrare nelle “case digitali” di ognuno di noi, rubando informazioni e dati.

Photoshot/Sintesi

Nardelli e gli altri esperti hanno poi ricordato che, a prescindere da come vengono raccolte le nostre informazioni sanitarie e di posizione, se ad esempio in modo centralizzato o decentralizzato, ancora poco si sa di come verrebbero gestite, e per quanto tempo. Si possono dare insomma tutti i voti che si vuole a ogni singola app, come ha fatto recentemente il Mit di Boston promuovendo la italiana Immuni, ma misure straordinarie di controllo dei cittadini non possono entrare in vigore senza l’approvazione di una legge ordinaria che le preceda, che definisca principi e limiti, che rispetti le norme sulla privacy e le linee guida del Comitato Europeo per la protezione dei dati emanate lo scorso aprile 2020.

Il 13 maggio, durante un question time al Senato, la ministra per l'Innovazione e la tecnologia digitale, Paola Pisano, ha detto che Immuni “è conforme alla normativa sulla privacy sia italiana che europea. Sarà scaricabile su base volontaria e gratuita. Raccoglierà codici anonimi o pseudo anonimizzati, con l'assoluta esclusione dei dati relativi alla geolocalizzazione degli utenti. Utilizzerà infrastrutture pubbliche situate nel territorio nazionale. Sarà gestita dalla società pubblica Sogei Spa”. “Il codice - ha aggiunto - è stato concesso alla Pubblica amministrazione dalla società Bending Spoons, con licenza d'uso gratuita, perpetua e irrevocabile. La richiesta del codice, la sua verifica e tutti i test di sicurezza vengono svolti interamente da soggetti pubblici. La Bendind Spoons non tratterà in nessun modo i dati raccolti dall'applicazione”. “Non sussiste nemmeno in astratto - ha concluso la ministra - la possibilità che i dati raccolti dall'applicazione possano entrare in possesso di soggetti stranieri o privati”.

Ma la verità, come si sa, per citare sempre le considerazioni di Nardelli, è che una app del genere risulterebbe efficace se tracciasse il 60-80% della popolazione italiana: “Se traccio solo la metà della popolazione spreco soldi in una iniziativa inutile". E allora? “A voler essere paranoici - osserva lo studioso -, i governi europei stanno mettendo in piedi una struttura di controllo che resterà”. A voler essere realisti, “sono consapevoli che queste app non serviranno a niente, ma devono dimostrare che stanno facendo qualcosa”.

Le app e il mondo del lavoro
I dubbi, ad ogni modo, restano tutti, e di varia natura, come si è visto. Li conferma un dossier curato da Aída Ponce Del Castillo ricercatrice dell’Etui (l’istituto di ricerca del sindacato europeo). Che ci mette in guardia: nei luoghi di lavoro “le applicazioni devono essere utilizzate solo se vengono soddisfatti requisiti specifici (scopo dell'applicazione, tipo di dati raccolti, durata di conservazione dei dati, se i lavoratori danno il loro consenso, se sono coinvolti i sindacati e i rappresentanti dei lavoratori per la sicurezza)”.

Inoltre c’è un altro aspetto, “della massima importanza”, ossia che le applicazioni “non vengano utilizzate per gettare i semi di una futura cultura dell'ipersorveglianza sul posto di lavoro”. Quello che semini oggi, lo raccogli domani. Ma lavoratori e sindacati, ragiona la ricercatrice, dovranno resistere al ricatto in pura “logica binaria” esercitato da alcune imprese: o lavori e salvi l’economia accettando il contact tracing, oppure crolla tutto. È un prezzo che non può essere pagato, anche in prospettiva futura. Perché qui e ora si stanno ridefinendo le regole dei rapporti bioetici, biopolitici e della sorveglianza digitale sul mondo del lavoro a venire.

I quattro modelli
Secondo l’Etui al momento le applicazioni sono tutte invasive e “possono creare allarmi non necessari o confusione generando falsi positivi”. Il dossier dell’istituto riassume un’utile sintesi dei quattro modelli diffusi al momento. La app sudcoreana di ipercontrollo governativo, che tramite Gps monitora e rintraccia i cittadini infetti. Raccoglie “informazioni personali, tra cui nome, data di nascita, sesso, nazionalità, numero di telefono cellulare”. Poi c’è TraceTogether di Singapore. Sviluppata dal governo, usa i segnali Bluetooth. “Un protocollo chiamato BlueTrace e un codice base chiamato OpenTrace stimano la distanza tra gli utenti e la durata dell'incontro”. La registrazione dei contatti è decentralizzata, ma il tracciamento dei contatti è centralizzato in un sistema ibrido. La app annunciata dalla strana coppia Apple/Google è basata sempre su Bluetooth. Non è esattamente un'applicazione, ma un’interfaccia di programmazione (Api) che “consentirà l'interoperabilità tra dispositivi Android e iOS e renderà più facile per gli altri attori costruire applicazioni di tracciamento”. Dunque nascerebbe un mercato secondario di applicazioni che attingono ai nostri dati? E chi lo controllerebbe? Infine c’è il sistema paneuropeo Peep-pt, molto simile al modello di Singapore, guidato da un consorzio Ue di 130 membri, cui partecipano otto Stati, tra cui l’Italia.

La verità è che questa pandemia sta rendendo “reale” ciò che non avremmo mai immaginato, ragiona Ponce Del Castillo. Soluzioni tecnologiche di tracciamento “stanno spuntando ovunque, senza coordinamento, senza dibattito democratico. Le circostanze sono eccezionali e possono richiedere misure eccezionali, ma queste non devono diventare la nuova normalità”. Per l’Etui si tratta di “un rischio reale”: il tracciamento dei cittadini e dei lavoratori dovrà diventare una “priorità fondamentale e strutturale per il movimento sindacale europeo e globale”. E anche per ciascuno di noi.