Il contact-tracing nel XXI secolo: dalla MERS al Covid-19 (collana di ricerca)

0 Comment
14204 Views

Quando pensiamo ai cambiamenti epocali che la pandemia del COVID-19 ha apportato alle nostre vite, raramente tendiamo a includere nella lista anche il contact-tracing. Vuoi perché in Italia il dibattito sul tema è stato relativamente ridotto o riservato agli “addetti ai lavori”; vuoi perché meno radicale rispetto a misure senza dubbio più restrittive delle nostre libertà personali, il tracciamento dei contatti sembra esser stato maggiormente tollerato dalla collettività.

È fondamentale fare un’analisi critica su come questa misura possa far sorgere questioni di natura etica, oltre che questioni di privacy. In particolare, ci si deve interrogare come questo strumento possa essere democratico e inclusivo, adatto ad una società in cui nessuno rimane indietro o è considerato cittadino di serie B.

Alla luce di ciò, e della mancanza di studi in materia nel panorama italiano, Privacy Network ha deciso di condurre una ricerca con l’obiettivo di carpire a tutto tondo i vantaggi e gli svantaggi di questo strumento, cercando di avere un respiro internazionale.  La ricerca verrà pubblicata in una serie di articoli, a cadenza regolare.

Parte 1: Tracciamento dei contatti, le origini

Autore: Dipartimento Ricerca

Tra gli ultimi casi epidemici di una certa rilevanza avvenuti prima del COVID-19 vi è stata l’epidemia di MERS (Middle Eastern Respiratory Syndrome, o sindrome respiratoria medio-orientale) che colpì la Corea del Sud nel 2015, facendo registrare il più alto numero di casi nel mondo al di fuori del Medio Oriente, area di origine della malattia. Sebbene la diffusione della MERS sia stata di dimensioni molto più contenute rispetto alla pandemia di COVID-19 (si contarono 186 casi, 38 morti e un totale di 16000 quarantenati su una popolazione di circa 50 milioni), molti analisti hanno attributo l’iniziale successo della Corea del Sud nel contenere la diffusione del SARS-CoV-2 all’esperienza acquisita nella gestione della MERS – anch’essa una malattia causata da un coronavirus, altamente contagiosa e centrata sul sistema respiratorio. 

L’epidemia di MERS, partita da un uomo di ritorno da un viaggio di lavoro nel Bahrain e trasferito da un ospedale all’altro del Paese prima di identificare la contagiosità della sua malattia, mise in evidenza la debolezza del sistema sanitario sudcoreano e le carenze nella gestione politica delle emergenze sanitarie – situazione nella quale buona parte del mondo si sarebbe trovata appena cinque anni dopo. 

L’epidemia servì tuttavia da stimolo per una serie di riforme che sono risultate essenziali nella gestione sudcoreana della pandemia di COVID-19. Se, da un lato, furono potenziate le capacità di produzione di test diagnostici (anche non approvati) in caso di emergenze di salute pubblica e furono incrementate le risorse destinate al trattamento delle malattie infettive, dall’altro vennero approvate importanti misure legislative relative alla gestione (centralizzata) delle emergenze stesse e dei dati personali.

Dal 2011, la Corea del Sud possiede una stringente normativa sulla privacy, denominata PIPA (Personal Information Protection Act), che di fatto vieta la raccolta, l’uso e la diffusione dei dati personali di un individuo in mancanza di consenso informato preventivo; una legge che è stata vista da molti come un ostacolo alla gestione politica dell’epidemia del 2015. Essa funse quindi da stimolo per l’approvazione di una serie di emendamenti al CDPCA (Contagious Disease Prevention and Control Act), la legge che costituisce la base legale per la gestione delle crisi sanitarie pubbliche, determinandone l’autorità a scavalcare le normative di privacy per la durata di eventuali periodi emergenziali. Sulla base di tali emendamenti, enti pubblici tra i quali il Ministero della Salute, le forze di polizia e i Centri per il controllo e la prevenzione delle malattie sudcoreani possono raccogliere le categorie di dati indicate in Figura 1. Questi ultimi svolgono una funzione paragonabile a quella dell’Istituto Superiore di Sanità (ISS) italiano. 

Figura 1: Categorie di dati raccoglibili in base agli emendamenti al CDPCA (in viola) e enti pubblici responsabili del loro trattamento e diffusione (in verde). Si noti che tali dati possono essere raccolti esclusivamente in relazione ad individui infetti o sospetti di infezione. 

Tali dati possono poi essere condivisi con altri enti quali municipalità, governi locali, agenzie di assicurazione sanitaria e professionisti del settore sanitario; inoltre, il Ministero della Salute sudcoreano è tenuto a diffondere altre informazioni al pubblico, quali:

  • Il tragitto e i mezzi di trasporto utilizzati dagli individui infetti;
  • Le strutture sanitarie visitate dagli individui infetti;
  • Lo stato di salute delle persone entrate in contatto con gli individui infetti.

A questi possono essere aggiunti per pubblica divulgazione il sesso, la nazionalità e l’età degli individui infetti. Se la quantità di dati raccoglibili relativamente alle persone infette o sospettate di infezione è ampia, al punto da sollevare dubbi riguardo la possibilità di mantenere l’anonimato di tali individui, la legislazione sudcoreana non permette invece la raccolta o diffusione di dati relativa a persone non infette, nemmeno in caso di emergenza.

Il modello sudcoreano: focus sui malati

L’esperienza acquisita con l’epidemia di MERS è stata prontamente applicata dalle autorità coreane agli albori dello scoppio della pandemia di COVID-19 nel Paese. Il primo caso è stato registrato il 20 gennaio 2020 – un individuo rientrato da Wuhan, Cina – ma un vero e proprio scoppio di casi si ha soltanto un mese dopo, anche a causa di un focolaio dovuto agli incontri di una setta religiosa cristiana nei dintorni di Daegu, quarta città del Paese. Nonostante questo, la diffusione del virus è stata mantenuta sotto controllo (almeno nelle fasi iniziali) grazie all’estesa campagna di “test, trace, isolate and treat”. Tale strategia prevedeva la somministrazione dei test per la verifica della positività al SARS-CoV-2 (ampiamente disponibili grazie alla collaborazione nella produzione con il settore privato) e il tracciamento degli individui con cui i positivi sono entrati in contatto, a cui seguivano isolamento (quarantena in caso di confermata positività, o auto-isolamento in caso di sospetta infezione) e cura. Un successo che ha presto innalzato la Corea del Sud a modello per il resto del mondo. In particolare, sulla base del CDPCA, l’approccio sudcoreano al tracciamento dei contatti (illustrato in Figura 2) prevedeva che, una volta che un individuo risultasse positivo ad un test per il COVID-19, egli venisse intervistato e in parallelo venissero raccolte una serie di dati utili a corroborarne le dichiarazioni, come indicato in Tabella 1.

Figura 2: Lo schema riproduce le fasi del processo di tracciamento dei contatti sudcoreano. Si noti che il monitoraggio tramite app avviene in due casi; quarantena per positività confermata o auto-isolamento per sospetto contagio (non confermato da test positivo). 

Tabella 1: Informazioni raccolte per il processo di tracciamento dei contatti sudcoreano, correlate all’ente pubblico responsabile della loro raccolta.

Informazione raccoltaScopo e utilizzoVantaggiLimitiEnte responsabile
Storico dell’uso di strutture sanitarieScopo: identificazione dei sintomi clinici e della data di inizio dei sintomi nel paziente.Utilizzo: ottenimento delle cartelle cliniche e valutazione della data di inizio dei sintomiPossibilità di ottenere dati oggettivi sui sintomi del paziente.
Identificazione delle strutture sanitarie visitate dal paziente nel periodo di contagiosità.
Tempo richiesto per il controllo delle cartelle cliniche.
In caso di visita per differenti malattie da quella ricercata, impossibile ottenere informazioni sui sintomi di interesse.
Enti per l’assicurazione sanitaria nazionale
GPSScopo: identificazione del percorso compiuto dal paziente.Utilizzo: verifica della veridicità delle affermazioni del paziente; controllo ulteriore del percorso; ottenimento delle coordinate latitudinali e longitudinali.Valutazione della precisione delle informazioni fornite dal paziente.
Possibilità di ottenere informazioni aggiuntive che il paziente non ricorda.
Accuratezza limitata.
Errori in caso di telefoni acquistati al di fuori della Corea del Sud.
Tempo necessario ad accedere alle informazioni in caso di ritardo nell’inizio dei sintomi.
Forze di polizia nazionali
Storico dell’uso della carta di creditoScopo: identificazione del percorso compiuto dal paziente.Utilizzo: verifica della veridicità delle affermazioni del paziente; identificazione di luoghi specifici da segnalare nella difesa contro le malattie infettive.Identificazione di luoghi specifici da indicare per il tracciamento dei contatti.
Monitoraggio del percorso del paziente.
Se il paziente ha utilizzato una carta intestata ad un altro individuo, i dati devono essere riclassificati.Commissione sui servizi finanziari
Telecamere a circuito chiuso (CCTV)Scopo: identificazione del percorso compiuto dal paziente.Utilizzo: identificazione dei sintomi clinici del paziente; valutazione del rischio di esposizione alla malattia di eventuali contatti.Possibilità di verificare se il paziente ha indossato dispositivi di protezione personale (es. mascherina).
Verifica dello stato clinico del paziente in specifici luoghi.
Valutazione del rischio di contagio di altri individui.
Tempo richiesto per il controllo delle registrazioni.
Difficoltà nell’identificazione in caso di punti ciechi o nessuna telecamera.
Forze di polizia nazionali

Come definito dal CDPCA, alcuni di questi dati venivano poi resi pubblici al fine di rintracciare il maggior numero possibile di contatti. Questo passaggio è stato tuttavia oggetto di pesanti critiche a causa dei rischi ai quali sono stati esposti i cittadini contagiati, specialmente considerando l’ampia diffusione dei dati da parte degli enti locali e delle testate giornalistiche.

Pur non venendo pubblicati i nomi degli individui interessati, infatti, spesso è risultato possibile identificare gli infetti tramite il percorso da essi compiuto o tramite altri dati sensibili come sesso, età e nazionalità, ponendoli a rischio di stigma sociale e, in alcuni casi, di attacchi fisici. Altrettanto discussa in relazione alla tutela della privacy degli individui malati è stata l’applicazione per il controllo dei quarantenati e delle persone in auto-isolamento (in coreano: Jaga keoklija anjeonboho app, applicazione per protezione e sicurezza in auto-isolamento). Obbligatoria prima soltanto per i positivi al test rilevatore del virus SARS-CoV-2, poi per tutte le persone in ingresso nel territorio sudcoreano per 14 giorni (in alternativa o in combinazione con un’applicazione di autodiagnosi), l’applicazione prevedeva l’invio di un report relativo ai sintomi in corso due volte al giorno, al fine di consentire il monitoraggio dello stato dei pazienti da parte del personale medico, e la registrazione della posizione dei pazienti per verificarne l’effettivo isolamento.

Altri due modelli di tracciamento dei contatti applicati in Asia meritano una menzione. Sia in Cina, origine della pandemia di COVID-19, che nella micro-nazione di Singapore, tra le prime ad essere raggiunte dal contagio, sono infatti stati adottati strumenti digitali a supporto degli sforzi di individuazione dei malati, con soluzioni simili a quelle poi adottate in Unione europea. In Cina, il gruppo Alibaba, tra i giganti tecnologici del Paese, ha collaborato alla creazione dell’applicazione per smartphone Alipay Health Code. Prima impiegata a livello locale, poi estesa a tutta la Cina con obbligo di utilizzo per garantire l’accesso ai luoghi pubblici, Alipay Health Code prevedeva l’assegnazione ad ogni utente di un codice QR che assumeva tre colori diversi a seconda del rischio di contagio: verde per individui sani, giallo per individui a rischio e rosso per individui contagiati.

I criteri per l’assegnazione a ciascuna delle categorie, ed in particolare alla categoria gialla, sono però risultati poco chiari e i cittadini hanno lamentato di frequente la scarsa trasparenza del sistema, che prevedeva peraltro l’invio dei dati raccolti ad una serie di enti pubblici, tra i quali le forze dell’ordine. I cittadini in lockdown sono inoltre stati monitorati tramite droni e migliorando i sistemi di riconoscimento facciale in dotazione a numerose telecamere di sorveglianza per garantirne la funzionalità anche indossando mascherine che coprono parte del volto. A Singapore, invece, già a marzo è stata lanciata un’applicazione (denominata TraceTogether e sostituibile con un token fisico per gli individui non in possesso di smartphone) per il tracciamento dei contatti tra l’intera popolazione dello Stato, basata su Bluetooth e finalizzata ad evitare l’impiego di lockdown.

Il suo uso è stato reso obbligatorio per alcune categorie sociali (in particolare immigrati lavoratori) e per l’accesso ad alcuni tipi di eventi, fattori che hanno contribuito all’adozione del sistema da parte del 92% della popolazione singaporiana. Tuttavia, l’app presentava seri problemi di privacy, in quanto richiedeva la registrazione degli utenti con numero di telefono e prova di residenza; inoltre, anche in questo caso le forze di polizia hanno avuto la possibilità di accedere alle informazioni raccolte dall’app senza bisogno di mandati. Ad oggi, entrambi i sistemi sono ancora in uso, seppur con una enfasi minore dovuta al calo dei contagi.

Il modello europeo: verso il tracciamento sociale

Se gli approcci delineati nella sezione precedente – in particolare quello sudcoreano e quello singaporiano – sono risultati tra quelli di maggior successo nel contenimento locale della pandemia di COVID-19, quantomeno nelle sue fasi iniziali, la loro applicazione (anche parziale) in altri contesti politici è risultata più faticosa. Se già all’inizio del mese di marzo 2020 era in discussione, in alcuni Paesi europei, lo sviluppo di applicazioni per smartphone da impiegare in sostegno ai sistemi sanitari in difficoltà, sono state quasi altrettanto immediate le criticità sollevate dal punto di vista della privacy, tutelata all’interno dell’Unione europea dal Regolamento generale sulla protezione dei dati (GDPR, dall’inglese General Data Protection Regulation).

In risposta alle prime proposte di raccolta di dati – quali l’ipotesi di condividere le password per l’account Google di ogni individuo infetto al fine di tracciarne gli spostamenti –, in particolare nei luoghi di lavoro, numerose autorità pubbliche preposte alla protezione dei dati personali hanno dettagliato i rischi insiti in tali pratiche, specificando che nel rispetto della normativa comunitaria solo limitate categorie e quantità di dati sarebbero state disponibili per raccolta ed elaborazione.

Il modello sudcoreano è stato particolarmente discusso da media, esperti di privacy e gruppi di attivismo contro la sorveglianza in Europa e negli Stati Uniti, perlopiù in chiave critica – tanto da una prospettiva di protezione dei dati personali dei contagiati, quanto da una prospettiva di efficienza degli strumenti digitali nel contenere la diffusione del virus (un risultato che in Corea del Sud si è ottenuto principalmente tramite il consistente numero di test per la verifica della positività effettuati sulla popolazione). Nonostante questo, le prime ipotesi al vaglio della Commissione europea nel tentativo di uniformare l’approccio Ue  alla lotta alla pandemia hanno riguardato metodi simili a quello sudcoreano, includendo l’analisi di metadati provenienti dalle maggiori compagnie di telecomunicazioni europee e l’adozione di applicazioni per il monitoraggio dei quarantenati (si veda ad esempio l’esperimento polacco).

A mancare all’appello sono state però le ampie capacità di diagnosi dei positivi, vista la carenza di kit e reagenti chimici necessari alla produzione di test nel continente. La decisione di propendere per applicazioni volte a tracciare i contatti nell’intera popolazione, abbandonando l’approccio mirato esclusivamente agli individui infetti, è probabilmente da ricondurre a questa mancanza, in combinazione con i contagi in rapida crescita e l’impossibilità per il personale medico di risalire efficacemente e accuratamente a catene di contagio sempre più lunghe. Nel tentativo di ovviare a queste difficoltà, in Europa si è quindi scelto di procedere con un tracciamento digitale che da individuale è divenuto sociale – con effetti molto meno significativi in termini di contenimento della pandemia di COVID-19, ma potenzialmente più problematici nei confronti della tutela dei diritti. 


Fonti:

Anonimo (2020), ‘È giusto sorvegliare gli spostamenti delle persone contro il coronavirus?’, il Post, 18 marzo. Disponibile su: https://www.ilpost.it/2020/03/18/sorveglianza-coronavirus-privacy/ (Ultimo accesso: 18 novembre 2021).

Commission nationale de l’informatique et des libertés (2020), ‘Deliberation N°. 2020-046 of April 24, 2020 delivering an opinion on a proposed mobile application called StopCovid’, CNIL.fr, 24 aprile. Disponibile su: https://www.cnil.fr/sites/default/files/atoms/files/deliberation_of_april_24_2020_delivering_an_opinion_on_a_proposed_mobile_application_called_stopcovid.pdf (Ultimo accesso: 18 novembre 2021).

Garante per la protezione dei dati personali (2020), ‘Coronavirus: Garante Privacy, no a iniziative “fai da te” nella raccolta dei dati. Soggetti pubblici e privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti’, GarantePrivacy.it. Disponibile su: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117#1 (Ultimo accesso: 18 novembre 2021).

Governo della Repubblica di Singapore (2020), ‘TraceTogether Privacy Safeguards’, TraceTogether. Disponibile su: https://www.tracetogether.gov.sg/common/privacystatement (Ultimo accesso: 18 novembre 2021).

Holmes, A. (2020), ‘Singapore is using a high-tech surveillance app to track the coronavirus, keeping schools and businesses open. Here’s how it works.’, Business Insider, 24 marzo. Disponibile su: https://www.businessinsider.com/singapore-coronavirus-app-tracking-testing-no-shutdown-how-it-works-2020-3?r=DE&IR=T (Ultimo accesso: 18 novembre 2021).

Jeong, E., et al. (2020), ‘Understanding South Korea’s Response to the COVID-19 Outbreak: A Real-Time Analysis’, International Journal of Environmental Research and Public Health, 17(24), 9571. DOI: 10.3390/ijerph17249571.

Jung, G. et al. (2020), ‘Too Much Information: Assessing Privacy Risks of Contact Trace Data Disclosure on People With COVID-19 in South Korea’, Frontiers in Public Health 8, 305. DOI: 10.3389/fpubh.2020.00305.

Kim, H. (2020), ‘South Korea learned its successful Covid-19 strategy from a previous coronavirus outbreak: MERS’, Bulletin of the Atomic Scientists, 20 marzo. Disponibile su: https://thebulletin.org/2020/03/south-korea-learned-its-successful-covid-19-strategy-from-a-previous-coronavirus-outbreak-mers/ (Ultimo accesso: 18 novembre 2021).

Kim, N. (2020), ‘“More scary than coronavirus”: South Korea’s health alerts expose private lives’, The Guardian, 6 marzo. Disponibile su: https://www.theguardian.com/world/2020/mar/06/more-scary-than-coronavirus-south-koreas-health-alerts-expose-private-lives (Ultimo accesso: 18 novembre 2021).

Korea Centers for Disease Control and Prevention (2020), ‘Contact Transmission of COVID-19 in South Korea: Novel Investigation Techniques for Tracing Contacts’, Osong Public Health and Research Perspectives, 11(1), 60-63. DOI: 10.24171/j.phrp.2020.11.1.09.

Lee, C. S. (2021), ‘Contact tracing apps for self-quarantine in South Korea: rethinking datafication and dataveillance in the COVID-19 age’, Online Information Review 45(4), 810-829. DOI: 10.1108/OIR-08-2020-0377.

Majeed, A. et al. (2020), ‘Can the UK emulate the South Korean approach to Covid-19?’, BMJ 369. DOI: 10.1136/bmj.m2084.

Manancourt, V. (2020), ‘Coronavirus tests Europe’s resolve on privacy’, Politico.eu, 10 marzo. Disponibile su: https://www.politico.eu/article/coronavirus-tests-europe-resolve-on-privacy-tracking-apps-germany-italy/ (Ultimo accesso: 18 novembre 2021).

Mozur, P., Zhong, R., e Krolik, A. (2020), ‘In Coronavirus Fight, China Gives Citizens a Color Code, With Red Flags’, New York Times, 1 marzo. Disponibile su: https://www.nytimes.com/2020/03/01/business/china-coronavirus-surveillance.html (Ultimo accesso: 18 novembre 2021).

Park, S., Choi, G. J., e Ko, H. (2020), ‘Information Technology–Based Tracing Strategy in Response to COVID-19 in South Korea—Privacy Controversies’, JAMA 323(21), 2129-2130. DOI: 10.1001/jama.2020.6602.

Scott, M., Cerulus, L. e Kayali, L. (2020), ‘Commission tells carriers to hand over mobile data in coronavirus fight’, Politico.eu, 23 marzo. Disponibile su: https://www.politico.eu/article/european-commission-mobile-phone-data-thierry-breton-coronavirus-covid19/ (Ultimo accesso: 11 novembre 2021).

Scott, M. e Wanat, Z. (2020), ‘Poland’s coronavirus app offers playbook for other governments’, Politico.eu, 2 aprile. Disponibile su: https://www.politico.eu/article/poland-coronavirus-app-offers-playbook-for-other-governments/ (Ultimo accesso: 11 novembre 2021).

Weckler, A. (2020), ‘The Big Tech Show: Is stopping the spread of Coronavirus worth handing over our Google passwords to see where we’ve been?’, Independent.ie, 6 marzo. Disponibile su: https://www.independent.ie/business/technology/the-big-tech-show-is-stopping-the-spread-of-coronavirus-worth-handing-over-our-google-passwords-to-see-where-weve-been-39022193.html (Ultimo accesso: 18 novembre 2021).