Contact Tracing: non e' solo un problema di privacy o di sicurezza

Posted on Mon 20 April 2020 in Privacy • Tagged with privacy, trasparenza, immuni, app, contact, tracing, covid, covid19

Contact Tracing in Italia

Negli ultimi giorni non si fa che parlare di Immuni, la app che il Governo Italiano avrebbe scelto, come soluzione di contact tracing per il COVID-19, e vengono sollevati molti dubbi (si va da quelli legittimi a quelli che rasentano il complottismo) al riguardo.

Per "contact tracing" si intende una soluzione che, mediante l'uso della tecnologia, ci permetta di creare una traccia di tutti i nostri contatti e fare in modo che quando uno di essi dichiarera' di essere positivo al COVID-19, le persone che sono entrate in contatto con lui/lei ricevano una notifica.

Prima che proseguiate nella lettura, mi sento in dovere di fare una doverosa premessa: da oltre 20 anni mi occupo di sviluppo software ed ho esperienza di utilizzo di svariate tecnologie anche in ambiti in cui di solito e' l'uomo a prendere una decisione. La cosa piu' importante pero' e' che non sono ne' un virologo, ne' un epidemiologo, ne' un medico. Mi limitero' quindi ad un'analisi dei fatti, rimanendo nell'ambito delle mie competenze.

La mia personale opinione (tuttavia irrilevante) e' che una soluzione tecnologica possa essere di aiuto nelle prossime fasi della pandemia, ma dovra' essere accompagnata da un'accurata verifica manuale dei risultati.

I dubbi al momento

I maggiori dubbi al momento riguardando l'efficacia della soluzione scelta, la sicurezza dei dati sensibili che verranno raccolti e quelli sulla privacy delle persone.

Ritengo tutti questi punti molto importanti, ma sono dell'idea che prima di tutto questo si debba fare un punto sulla trasparenza.

Il Governo e la task force

Alcune settimane fa il Governo ha annunciato la creazione di una task force di tecnici, che avrebbe dovuto produrre un report con suggerimenti e linee guida, in modo che il governo potesse effettuare una scelta ragionata. Molti di questi nomi sono noti a chi e' del settore (ne conosco personalmente alcuni) e ritengo personalmente che fosse un ottimo punto di partenza.

Il problema pero' e' che l'intera task force e' stata messa sotto Non Disclosure Agreement, che tradotto in termini semplici significa che a nessuno di loro e' permesso di rilasciare commenti o dichiarazioni in pubblico, ne' di rivelare alcuna informazione su quanto prodotto.

Il report della task force

Il report, ad oggi, non e' stato reso pubblico: in che modo possiamo valutare i criteri utilizzati per scegliere la soluzione, se non ci e' permesso di leggere il report?

Come facciamo a verificare che il Governo abbia effettivamente seguito le indicazioni dei tecnici o se abbia preferito fare di testa propria?

La soluzione scelta: quali criteri?

Al momento non esiste un "white paper" che ci descriva la soluzione proposta e adottata. In base a quali criteri e' stata scelta proprio questa soluzione?

Quali conseguenze dopo una notifica?

Supponiamo di ricevere una notifica che ci avvisa che il giorno X siamo stati per un certo periodo di tempo vicini ad un'altra persona che si e' poi dichiarata positiva. Quale sara' la diretta conseguenza?

  • A) Qualcuno verra' a farci un tampone di verifica il prima possibile
  • B) Ci verra' imposto un periodo di quarantena senza alcuna verifica
  • C) Potremo ignorare la notifica

Se le conseguenze di questa importante notifica non vengono stabilite a priori, molti non vorranno rischiare di essere costretti in casa, magari per un falso negativo.

Nota: le possibilita' di un falso positivo sono davvero molte. Basandosi sul raggio di azione del Bluetooth, in teoria potremmo essere a 1 metro di distanza da una persona infetta, ma essere nella stanza accanto (e quindi in totale sicurezza). Oppure potremmo passare accanto ad una persona infetta mentre siamo in macchina con il finestrino chiuso. Per non parlare poi degli operatori sanitari: in alcuni casi, loro hanno la certezza di trovarsi nei paraggi di persone infette. Verrebbero considerati infetti anche loro? E quando la sera tornano a casa dai loro coniugi e familiari, sarebbero anche essi considerati positivi dalla app?

Closed Source

Nonostante le raccomandazioni della commissione Europea, pare che il codice sorgente della app non sara' pubblico (ma verra' rilasciato solo al Governo Italiano). Questo significa che non sara' possibile un controllo da parte di terze parti, e non ci sara' alcuna garanzia su quello che la app possa fare con i nostri dati (ne' sara' facile scovare e segnalare bug di sicurezza).

Aggiornamento (21/04/2020): il governo ha annunciato in un aggiornamento, che la app verra' rilasciata sotto licenza Open Source (MPL 2.0).

Conclusioni

Qualsiasi strada si decida di prendere, e' fondamentale che il processo decisionale che ha portato a tale scelta sia quanto piu' trasparente possibile. Solo in questo modo si potra' ottenere la fiducia del maggior numero di persone e cercare di raggiungere l'effetto desiderato. Per il momento, tutta questa trasparenza non c'e' stata.


covid-api - a free and open source API service for COVID-19 data

Posted on Fri 10 April 2020 in Development • Tagged with covid, api, rest, data, covid-19, service, free, open, source

Introduction

In this period of COVID-19 emergency, many countries are publishing COVID related data that is being used by many existing projects and researchers.

The main problem with these data is that they are being released in CSV format on some GitHub repository. While we fully appreciate the opennes of this format, unfortunataly it can introduce an additional work to be done (downloading the data, cleaning it, importing the data into a database, keeping it updated etc...) before someone can consume and analyse the data.

covid-api

covid-api project is a free and open source API service which automatically imports the data from various sources (at the moment we support the John Hopkins CSSE data source) and makes it available as a REST API.

The service is still under development, but an initial version (with regularly updated data) is already available at https://api.covid19data.cloud.

How to use the data

To consume the API you don't need an account nor you need to authenticate in any way. You just need to request the right endpoint using the supported parameters.

Here is an example for Python language:

In [1]: import requests

In [2]: response = requests.get('https://api.covid19data.cloud/v1/jh/daily-reports?last_update_from=2020-04-01&last_update_to=2020-04-03&country=Italy')

In [3]: response.json()
Out[3]:
[{'id': 35343,
'country_region': 'Italy',
'province_state': None,
'fips': None,
'admin2': None,
'last_update': '2020-04-01T21:58:34',
'confirmed': 110574,
'deaths': 13155,
'recovered': 16847},
{'id': 37895,
'country_region': 'Italy',
'province_state': None,
'fips': None,
'admin2': None,
'last_update': '2020-04-02T23:25:14',
'confirmed': 115242,
'deaths': 13915,
'recovered': 18278}]

Further API documentation is available at https://api.covid19data.cloud/docs

Next steps

While we keep polishing the code and improving the existing data import procedure, we are planning to support additional data sources. The next one we are going to support is the Italian Protezione Civile.

If you are aware of an additional data source that you would like to see covered, please let us know (creating a new Issue on GitHub) or send us a pull request.

Contribute to the project

If you are a Python developer and would like to contribute to the project, my advice is to first have a look at the main documentation available in the README.

Then I suggest to have a look at the existing Issues and see where help is needed or in alternative you can open a new Issue or send a pull request with fixes and improvements.

I also recommend to become familiar with our Code of Conduct before sending any contribution.

Sponsors and Thanks

I want to thank Heroku for accepting to sponsor the hosting of this service.

I also want to thank all the volunteers involved in the project for their help and contributions.

Disclaimer

We are doing our best to keep the available data updated, clean (removing duplicates), and to provide a reliable service, but we are not in any way responsible for the accuracy of the data nor for the availability of the service itself. Please use it at your own risk.

Abuse notice: we are currently not requiring any registration or authentication to use this service because we would like to keep it as simple as possible. Please do not abuse the service or you will force us to require a registration (subject to approval) to continue using it.