Contact Tracing in Italia

Negli ultimi giorni non si fa che parlare di Immuni, la app che il Governo Italiano avrebbe scelto, come soluzione di contact tracing per il COVID-19, e vengono sollevati molti dubbi (si va da quelli legittimi a quelli che rasentano il complottismo) al riguardo.

Per "contact tracing" si intende una soluzione che, mediante l'uso della tecnologia, ci permetta di creare una traccia di tutti i nostri contatti e fare in modo che quando uno di essi dichiarera' di essere positivo al COVID-19, le persone che sono entrate in contatto con lui/lei ricevano una notifica.

Prima che proseguiate nella lettura, mi sento in dovere di fare una doverosa premessa: da oltre 20 anni mi occupo di sviluppo software ed ho esperienza di utilizzo di svariate tecnologie anche in ambiti in cui di solito e' l'uomo a prendere una decisione. La cosa piu' importante pero' e' che non sono ne' un virologo, ne' un epidemiologo, ne' un medico. Mi limitero' quindi ad un'analisi dei fatti, rimanendo nell'ambito delle mie competenze.

La mia personale opinione (tuttavia irrilevante) e' che una soluzione tecnologica possa essere di aiuto nelle prossime fasi della pandemia, ma dovra' essere accompagnata da un'accurata verifica manuale dei risultati.

I dubbi al momento

I maggiori dubbi al momento riguardando l'efficacia della soluzione scelta, la sicurezza dei dati sensibili che verranno raccolti e quelli sulla privacy delle persone.

Ritengo tutti questi punti molto importanti, ma sono dell'idea che prima di tutto questo si debba fare un punto sulla trasparenza.

Il Governo e la task force

Alcune settimane fa il Governo ha annunciato la creazione di una task force di tecnici, che avrebbe dovuto produrre un report con suggerimenti e linee guida, in modo che il governo potesse effettuare una scelta ragionata. Molti di questi nomi sono noti a chi e' del settore (ne conosco personalmente alcuni) e ritengo personalmente che fosse un ottimo punto di partenza.

Il problema pero' e' che l'intera task force e' stata messa sotto Non Disclosure Agreement, che tradotto in termini semplici significa che a nessuno di loro e' permesso di rilasciare commenti o dichiarazioni in pubblico, ne' di rivelare alcuna informazione su quanto prodotto.

Il report della task force

Il report, ad oggi, non e' stato reso pubblico: in che modo possiamo valutare i criteri utilizzati per scegliere la soluzione, se non ci e' permesso di leggere il report?

Come facciamo a verificare che il Governo abbia effettivamente seguito le indicazioni dei tecnici o se abbia preferito fare di testa propria?

La soluzione scelta: quali criteri?

Al momento non esiste un "white paper" che ci descriva la soluzione proposta e adottata. In base a quali criteri e' stata scelta proprio questa soluzione?

Quali conseguenze dopo una notifica?

Supponiamo di ricevere una notifica che ci avvisa che il giorno X siamo stati per un certo periodo di tempo vicini ad un'altra persona che si e' poi dichiarata positiva. Quale sara' la diretta conseguenza?

• A) Qualcuno verra' a farci un tampone di verifica il prima possibile
• B) Ci verra' imposto un periodo di quarantena senza alcuna verifica
• C) Potremo ignorare la notifica

Se le conseguenze di questa importante notifica non vengono stabilite a priori, molti non vorranno rischiare di essere costretti in casa, magari per un falso negativo.

Nota: le possibilita' di un falso positivo sono davvero molte. Basandosi sul raggio di azione del Bluetooth, in teoria potremmo essere a 1 metro di distanza da una persona infetta, ma essere nella stanza accanto (e quindi in totale sicurezza). Oppure potremmo passare accanto ad una persona infetta mentre siamo in macchina con il finestrino chiuso. Per non parlare poi degli operatori sanitari: in alcuni casi, loro hanno la certezza di trovarsi nei paraggi di persone infette. Verrebbero considerati infetti anche loro? E quando la sera tornano a casa dai loro coniugi e familiari, sarebbero anche essi considerati positivi dalla app?

Closed Source

Nonostante le raccomandazioni della commissione Europea, pare che il codice sorgente della app non sara' pubblico (ma verra' rilasciato solo al Governo Italiano). Questo significa che non sara' possibile un controllo da parte di terze parti, e non ci sara' alcuna garanzia su quello che la app possa fare con i nostri dati (ne' sara' facile scovare e segnalare bug di sicurezza).

Aggiornamento (21/04/2020): il governo ha annunciato in un aggiornamento, che la app verra' rilasciata sotto licenza Open Source (MPL 2.0).

Conclusioni

Qualsiasi strada si decida di prendere, e' fondamentale che il processo decisionale che ha portato a tale scelta sia quanto piu' trasparente possibile. Solo in questo modo si potra' ottenere la fiducia del maggior numero di persone e cercare di raggiungere l'effetto desiderato. Per il momento, tutta questa trasparenza non c'e' stata.

What is going on

As you may have heard already, because of brexit, Google is moving UK citizens data from the Northern Ireland data controller to the US one (Google LLC). Leaving the EU, UK citizens are not protected anymore by GDPR, and while this may be unfair, Google is legally allowed to do it.

The problem

Even if I'm an Italian citizen and I live in Italy, a few days ago I received this email from them:

What's wrong with it?

The point is that I'm an Italian citizen, living in Italy. I have nothing to do with UK (even if I lived there for a few years in the past, my account was created from Italy).

Why do they mention "UK leaving EU" to me, if I don't live in UK?

I tried to contact them multiple times on their @Google account on Twitter, but I got no reply at all. I tried to search online and it looks like I'm not alone, they are doing this to many other people: https://support.google.com/accounts/thread/29317992?hl=en&authuser=1

Looking for help

What should I do? Is this legally allowed?

If there was an easy way to complain with them, I would have done it already, but I've tried to search on their website (even googling it... no pun intended) but I couldn't find a single contact form to report this issue and of course they are ignoring both Twitter and that forum I linked previously.

Should I report them to the Privacy Authority? If yes, how?

Full text of the email

Here is the full text of the email I received:

We’re improving our Terms of Service and making them easier for you to understand. 
The changes will take effect on 31 March 2020, and they won’t impact the way that you use 
Google services. And, because the United Kingdom (UK) is leaving the European Union (EU), 
Google LLC will now be the service provider and the data controller responsible for your 
information and for complying with applicable privacy laws for UK consumer users.

For more details, we’ve provided a summary of the key changes and Frequently asked questions. 
And the next time that you visit Google, you’ll have the chance to review and accept the new Terms. 
At a glance, here’s what this update means for you:

•   Improved readability: While our Terms remain a legal document, we’ve done our best to make them 
    easier to understand, including by adding links to useful information and providing definitions.
•   Better communication: We’ve clearly explained when we’ll make changes to our services 
    (like adding or removing a feature) and when we’ll restrict or end a user’s access. 
    And we’ll do more to notify you when a change negatively impacts your experience on our services.
•   Adding Google Chrome, Google Chrome OS and Google Drive to the Terms: Our improved Terms now 
    cover Google Chrome, Google Chrome OS and Google Drive, which also have service-specific terms 
    and policies to help you understand what’s unique to those services.
•   Your service provider and data controller is now Google LLC: Because the UK is leaving the EU, 
    we’ve updated our Terms so that a United States-based company, Google LLC, is now your service 
    provider instead of Google Ireland Limited. Google LLC will also become the data controller 
    responsible for your information and complying with applicable privacy laws. 
    We’re making similar changes to the Terms of Service for YouTube, YouTube Paid Services and 
    Google Play. These changes to our Terms and privacy policy don’t affect your privacy settings 
    or the way that we treat your information (see the privacy policy for details). 
    As a reminder, you can always visit your Google Account to review your privacy settings and 
    manage how your data is used.

If you’re the guardian of a child under the age required to manage their own Google Account and 
you use Family Link to manage their use of Google services, please note that when you accept 
our new Terms, you do so on their behalf as well, and you may want to discuss these changes with them.

And of course, if you don’t agree to our new Terms and what we can expect from each other as you 
use our services, you can find more information about your options in our Frequently asked questions.

Thank you for using Google’s services.
Your Google team

E' notizia di questi giorni il fatto che Google abbia previsto un meccanismo di "sicurezza" che consentirà a loro stessi di rimuovere automaticamente, dai telefonini GPhone che verranno venduti, le applicazioni non ritenute sicure. Google avrà quindi la possibilità di controllare i propri dispositivi da remoto, accedere alla memoria del telefono e rimuovere quello che non desidera ci sia installato: chi ci assicura che non si mettano a controllare pure il testo degli SMS che inviamo o riceviamo, magari per inviarci pubblicità mirata a seconda delle nostre esigenze?

Della stessa pasta sono fatti anche i dispositivi della Apple, in particolare l'iPhone. Anche questo dispositivo incorpora infatti un chip che impedisce alle applicazioni non consentite di girare sul telefonino. L'unico modo per installare applicazioni sull'iPhone è quello di scaricarle dall'Apple Store, ed ovviamente Apple si riserva il diritto di decidere quali applicazioni possano apparire nello store e quali invece no, ed una nota nella licenza che devono firmare gli sviluppatori di applicazioni per iPhone, si dice anche che essi non possono in alcun modo dire pubblicamente che una loro applicazione è stata esclusa dallo store. Tutto questo in nome della nostra "sicurezza".