ACM Europe Technology Policy Committee Issues Statement on Contact Tracing
----- Forwarded message from ACM MemberNet Europe <membernet@acm.org> ----- ACM Europe Technology Policy Committee Issues Statement on Contact Tracing 7 May 2020 ACM's Europe Technology Policy Committee (https://europe.acm.org/europe-tpc) has issued detailed principles and practices for the development and deployment of contact tracing technologies intended to track and arrest the spread of COVID-19. Europe TPC's statement calls on governments that adopt such systems to choose "only those which, by technical and legal design: respect and protect the rights of all individuals; safeguard personal data and privacy to the highest degree technically possible; and are subject to scrutiny by the scientific community and civil society before, during and after deployment." The Committee's principles and practices address five critical areas of policy: technical architecture, development transparency, expert oversight, legal safeguards, and public engagement. Key recommendations include making contact tracing applications: * voluntary for members of the public to use (individual "opt-in"); * internationally interoperable; * subject to oversight by multidisciplinary committees of experts; * strictly limited in their use and data collection by clear legal safeguards; and * available for formal comment by the public and civil society. Read the full statement and essential contact tracing principles and practices at (https://www.acm.org/binaries/content/assets/public-policy/europe-tpc-contact...). Read the statement in Italian at (https://www.acm.org/binaries/content/assets/public-policy/europe-tpc-contact...) ----- End forwarded message ----- -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »
Ciao Stefano, grazie per la segnalazione, IMHO l'executive summary che hai inoltrato omette di comunicare il succo della dichiarazione, mi permetto quindi di fare io l'executive summary :-D Al 5 Maggio 2020 ACM Europe TPC ritiene che: 1. Le applicazioni note per il tracciamento digitale dei contatti non sono attualmente in grado di preservare completamente la privacy individuale e l'anonimato. 2. L'accuratezza delle applicazioni per il tracciamento digitale dei contatti non è stata dimostrata e non può essere assunta per molteplici ragioni tecniche (in particolare Bluetooth). Ciascuno può verificare se traviso. A proposito degli autori: --8<---------------cut here---------------start------------->8--- autori principali di questo documento sono: Michel Beaudouin-Lafon, Enrico Nardelli, and Gerhard Schimpf. Altri membri che hanno contribuito sono: Panagiota Fatourou, Mario Fritz, Fabrizio Gagliardi, Oliver Grau, and Chris Hankin. Versione italiana a cura di Enrico Nardelli con la revisione di Paola Inverardi. --8<---------------cut here---------------end--------------->8--- Si tratta quindi di argomenti già dibattuti in questa lista perché Enrico ha scritto molto in merito; ora sono stati riassunti, integrati e "fatti propri" anche da AMC Europe TPC. Stefano Zacchiroli <zack@upsilon.cc> writes:
----- Forwarded message from ACM MemberNet Europe <membernet@acm.org> -----
[...]
Read the statement in Italian at (https://www.acm.org/binaries/content/assets/public-policy/europe-tpc-contact...
Anche questo solo in PDF, purtroppo... ma non mi scoraggio :-) --8<---------------cut here---------------start------------->8--- Per quanto riguarda i sistemi di tracciamento digitale dei contatti che si stanno considerando, Europe TPC ritiene che: • Anche se tutti i protocolli di tracciamento digitale dei contatti attualmente proposti possono essere perfezionati tecnologicamente per massimizzare la privacy e l'anonimato [2] rimangono comunque altamente vulnerabili agli attacchi. [3] Di conseguenza, **le applicazioni note per il tracciamento digitale dei contatti non sono attualmente in grado di preservare completamente la privacy individuale e l'anonimato.** • **L'accuratezza delle applicazioni per il tracciamento digitale dei contatti non è stata dimostrata e non può essere assunta per molteplici ragioni tecniche.** In particolare, la tecnologia Bluetooth non è stata progettata per misurare le distanze tra i dispositivi; non è in grado di riconoscere quando dispositivi vicini sono separati da un muro o da un'altra barriera al flusso d'aria; e potrebbe non registrare i dispositivi vicini, a seconda di diversi fattori. [4] Sembra quindi probabile che un tracciamento digitale dei contatti basato sulla tecnologia Bluetooth riporti contatti in eccesso generando un gran numero di falsi positivi; • **Funzioni tecniche di elevata qualità non basteranno da sole a rendere efficace il tracciamento digitale dei contatti**. È necessario che molti milioni di persone installino l'applicazione per far sì che il sistema registri una frazione significativa di tutti i contatti tra le persone. [5] La fiducia del pubblico nella protezione dei dati personali è quindi un prerequisito essenziale per il successo di qualsiasi programma di tracciamento e controllo delle infezioni supportato dalla tecnologia. Di conseguenza, devono essere adottate misure legali e/o regolamentari che forniscano solide garanzie e che siano ampiamente comprese dal pubblico. [...] fornisce informazioni tecniche pertinenti per consentire ai decisori politici di realizzare, prima di prendere tali decisioni, un'attenta analisi dei rischi e del rapporto costo-benefici sulle conseguenze di un'ampia diffusione in nuove circostanze di una tecnologia non precedentemente verificata. [6] [...] PRINCÌPI E PRATICHE FONDAMENTALI PER LE APPLICAZIONI DI TRACCIAMENTO DEI CONTATTI (omissis) (Note a piè pagina) [2] Per esempio, invece di usare identificatori convenzionali dei cellulari o dei loro proprietari, possono es-sere utilizzati identificatori generati casualmente, univoci e cambiati ad intervalli regolari. Si possono usare meccanismi crittografici per proteggere le trasmissioni e i dati di geo-localizzazione possono non essere raccolti. In aggiunta, si può proibire la raccolta sui server centrali di dati o metadati che possono permet-tere la ricostruzione dell’identità di un cellulare o di una person [3] Cfr, p.es ., “Analysis of DP3T, Between Scylla and Charybdis” (https://eprint.iacr.org/2020/399.pdf), Serge Vaudenay, IACR eprint 2020/399 op-pure “Le traçage anonyme, dangereux oxymore” (https://risques-tracage.fr/), Xavier Bonnetain et al., risques-tracage.fr (in francese). [4] Cfr, p.es., GitHub Open Trace Calibration forum analysis. (https://github.com/opentrace-community/opentrace-calibration/blob/master/Tri...) [5] Cfr, p.es., Science: Quantifying SARS-CoV-2 transmission suggests epidemic control with digital contact tracing (https://science.sciencemag.org/content/early/2020/04/09/science.abb6936) e The Lancet: Feasibility of controlling COVID-19 outbreaks by isolation of cases and contacts. (https://www.thelancet.com/journals/langlo/article/PIIS2214-109X(20)30074-7/f...) [6] Per quanto riguarda la valutazione dei rischi, ricordiamo le vulnerabilità di sicurezza presenti nella tecnologia Bluetooth. Ci si può quindi aspettare che il crimine organizzato cercherà di trarre vantaggio dalla nuova situazione di milioni di smartphone in Europa che avranno Bluetooth “sempre attivo”. (Questo non è stato sinora un problema dal momento che la maggior parte delle persone lo usa solo per un periodo di tempo limitato o in situazioni controllate, tipo la casa o l’auto.) Per quanto riguarda i costi, osserviamo che il Belgio ha rinunciato per il momento a sviluppare un’applicazione di tracciamento dei contatti (cfr Lire Coronavirus: la Belgique renonce à une application de traçage des malades) (https://www.numerama.com/tech/620121-coronavirus-la-belgique-renonce-a-une-a...) e a Valencia è stata sperimentata una soluzione di “tracciamento basato sui cittadini” (cfr POLITICO - EU Confidential (April 25, 2020)) (https://www.politico.eu/newsletter/eu-confidential/politico-eu-confidential-...) --8<---------------cut here---------------end--------------->8--- Saluti, Giovanni. -- Giovanni Biscuolo
participants (2)
-
Giovanni Biscuolo -
Stefano Zacchiroli