Post covid-19

Estate 2020: il modello Spiaggia 4.0 è a prova di privacy?

di |

Soluzioni come Spiaggia 4.0 possono certamente contribuire a rendere la nostra convivenza con il COVID-19 più semplice, ma non bisogna per questo rinunciare ai propri diritti.

La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.

Articolo a cura di Avv. Mario Montano (Esperto in ICT Law – Studio Legale Lisi)

L’estate 2020 sarà “touchless” secondo il modello Spiaggia 4.0, ideato da tre startup italiane, Metawellness, Wedigital e Rivemo, che dovrebbe consentirci di passare un’estate serena. O quasi.

Spiaggia 4.0: benvenuti nell’epoca del beach umbrella sharing…

Spiaggia 4.0 è una piattaforma, dotata di App omonima, che permetterà di prenotare un ombrellone, magari condividendo quelli rimasti inutilizzati dai clienti stagionali e, più in generale, di fruire dei servizi offerti dallo stabilimento.

Le prenotazioni si effettueranno online (o tramite app), pagando mediante carta di debito/e oppure con prepagate (al portatore) acquistabili in edicola o alle casse automatiche. La conferma arriverà poi attraverso codice a barre o, forse, QR Code.

I gestori potranno organizzare al meglio la loro attività, i clienti sapranno quando vi è la disponibilità di un posto in spiaggia, evitando assembramenti e inutili code e le forze dell’ordine saranno in grado di ricevere notifiche su eventuali infrazioni.

Spariranno i menù cartacei, sostituiti dagli smartphone, le comande si trasmetteranno direttamente al ristorante del lido o agli esercizi commerciali del posto, per ricevere i beni direttamente sotto l’ombrellone, oppure tramite ritiro presso il punto vendita. Gli stabilimenti balneari saranno attrezzati con passaggi muniti di fotocellule che registreranno gli ingressi e le uscite, visualizzabili in tempo reale su un tabellone e sincronizzate con l’app.

Spiaggia 4.0 è pensata non solo per le imprese, ma anche per le pubbliche amministrazioni, che potranno monitorare gli spostamenti delle persone e sapere in tempo reale se vi siano situazioni critiche, potenzialmente rischiose per la salute pubblica.

…e del distanziamento sociale

Il rispetto della distanza di sicurezza (1 metro) sarà garantita da Labby Light, un braccialetto sviluppato dalla startup barese Metawellness, che s’illumina e vibra se altri braccialetti si trovano ad una distanza inferiore a quella stabilita dalla legge.

La società chiarisce che i braccialetti sono indipendenti da una app, non utilizzano GPS, Bluetooth, BLE (Bluetooth Low Energy) o Wi-Fi, ma comunicano mediante un protocollo radio privato e brevettato.

Inoltre, il braccialetto memorizza l’ID, il giorno, l’ora e il tempo di contatto con gli altri dispositivi, permettendo all’utente di ricostruire i contatti avuti e quindi di identificare e isolare potenziali focolai. I dati, da fornire su richiesta, risiedono all’interno del bracciale e non sono condivisi con alcun Server, ma possono essere estratti soltanto mediante software dedicato.

Non si conoscono le specifiche tecniche del dispositivo, pertanto non è possibile sapere se gli ID saranno statici o dinamici, soluzione quest’ultima che limiterebbe il rischio di identificazione dei possessori, né quanto sia robusto il protocollo radio utilizzato per far comunicare i braccialetti.

La Metawellness, chiamata in causa per la fornitura dei braccialetti nell’ambito di un progetto che coinvolge una scuola dell’infanzia paritaria del Varesotto, ha chiarito che i suoi dispositivi non sono legati a una app e quindi non effettua alcun trattamento di dati personali, che restano memorizzati nel braccialetto.

La possibilità di ricostruire la rete dei contatti e quindi di fungere da dispositivo di contact tracing pone problemi di trattamento dei dati personali, anche sanitari, da parte di chi possiede il braccialetto e dell’autorità sanitaria a cui tali dati sono comunicati, senza considerare gli aspetti connessi alla sicurezza del dispositivo utilizzato per l’estrazione dei dati (verosimilmente un pc) e del software dedicato, che potrebbe dialogare con un server esterno o presentare delle vulnerabilità.

Spiaggia 4.0: le criticità sotto il profilo del trattamento e della sicurezza dei dati personali

L’intero modello si presenta, quindi, come una straordinaria opportunità per gestire e organizzare gli accessi alle spiagge e i servizi connessi in maniera smart, riducendo gli assembramenti e minimizzando i rischi di contagio, ma al contempo evidenzia potenziali rischi per la privacy e i diritti dei lavoratori.

Le prenotazioni dei posti, gli accessi agli stabilimenti, gli ordini di beni e servizi, uniti all’uso del braccialetto andrebbero ad alimentare un sistema di sorveglianza generalizzata, da parte di entità private, ma anche pubbliche.

La mole di dati finanziari, i gusti, le preferenze, la localizzazione degli utenti nel momento in cui fruiscono dei servizi, considerando anche l’interazione costante con i social network e le società di e-commerce, che utilizzano tecnologie di tracciamento degli utenti, potrebbero fare gola alle società di tech-marketing.

Un trattamento così diffuso e generalizzato può certamente presentare un rischio per i diritti e le libertà delle persone fisiche, richiedendo, pertanto, una valutazione di impatto sulla protezione dei dati, ai sensi dell’art. 35 GDPR e dell’All. 1 al Provvedimento del Garante Privacy n. 467 del 2018.

I Titolari e i Responsabili del trattamento dovranno adottare adeguate misure tecniche e organizzative, in ossequio ai principi di privacy by design e by default, prevedendo, tra l’altro, una pseudonimizzazione dei dati basata su una robusta tecnica di cifratura, vista l’elevata possibilità di re-identificazione degli interessati o di identificazione diretta sfruttando eventuali falle del protocollo radio utilizzato dai braccialetti. Sarà, inoltre, necessario adottare un efficace piano di risposta ai data breach.

Controllo dei lavoratori

Resta da capire se il braccialetto potrà essere concesso dai datori di lavoro ai propri dipendenti in comodato d’uso. In tal caso il rischio che il datore possa estrarre i dati dal braccialetto una volta riconsegnato sarebbe concreto e permetterebbe un controllo indiretto dei lavoratori, come tale soggetto ai limiti e alle prescrizioni di cui all’art. 4, c.1, L. 300/1970 (c.d. Statuto dei Lavoratori), che prevede, alternativamente, il previo accordo collettivo stipulato con la RSU o con le RSA; l’accordo collettivo stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale; in mancanza di accordo, la previa autorizzazione dell’INL.

Non trova applicazione in tal caso, infatti, l’art. 4, c. 2, Statuto dei Lavoratori, dal momento che il braccialetto non può essere considerato uno strumento necessario per rendere la prestazione di lavoro.

I lavoratori, infine, dovranno essere adeguatamente informati sulle modalità d’uso degli strumenti, ai sensi dell’art. 4, c. 3, Statuto dei Lavoratori.

Una convivenza più “semplice”

Soluzioni come Spiaggia 4.0 possono certamente contribuire a rendere la nostra convivenza con il COVID-19 più semplice, permettendo alle persone di passare delle vacanze più serene e agevolando gli operatori turistici, ma non bisogna per questo rinunciare ai propri diritti.

La tecnologia può essere messa al servizio dell’umanità o contro di essa. I razzi hanno permesso all’uomo di raggiungere la Luna e di lanciare i satelliti senza i quali non sarebbe stata possibile la quarta rivoluzione industriale, ma hanno anche portato morte e distruzione.

Spetta a ciascuno di noi sorvegliare sul rispetto dei principi e dei diritti fondamentali e impedire che siano piegati per adattarsi a esigenze contingenti.

Non è un caso che nelle Linee Guida adottate il 21 aprile 2020, l’EDPB metta in guardia dal rischio che le risposte date per contrastare l’emergenza in corso possano avere un impatto che vada oltre la crisi, generando il cosiddetto “ratchet effect”, ossia la mitridatizzazione verso la sorveglianza generalizzata e la rinuncia al diritto a un corretto trattamento dei dati personali.

Articolo a cura di Avv. Mario Montano (Esperto in ICT Law – Studio Legale Lisi)