I Centri per la prevenzione e il controllo delle malattie (Centers for Disease Control and Prevention, abbreviati in CDC) – un importante organismo di controllo sulla sanità pubblica degli Stati Uniti d’America – hanno pubblicato un documento nel quale sono suggerite funzionalità-chiave che le organizzazioni di salute pubblica dovrebbero seguire nelle piattaforme per il tracciamento dei contatti per il COVID-19, raccomandando in pratica di seguire varie indicazioni già previste nella piattaforma di contact tracing di Apple e Google.
Il sito Appleinsider evidenzia che nel documento intitolato “Preliminary Criteria for the Evaluation of Digital Contact Tracing Tools for COVID-19” (qui in PDF), CDC indica criteri “minimi” o “preferenziali” da implementare in app e piattaforme per il tracciamento dei contatti. Le informazioni sono un estratto di ricerche preliminari e discussioni con esperti di contact tracing e informatici.
I CDC raccomandano di fare affidamento al protocollo “PACT” per facilitare il tracciamento di prossimità anonimo bidirezionale. Nello sviluppo delle interfacce di programmazione (API) per favorire l’attivazione del tracciamento dei contatti, Apple e Google si sono ispirate al PACT, un protocollo open-source sviluppato con il contributo del Massachusetts Institute of Technology (MIT).
Oltre al reporting e alle notifiche in forma anonima, gli strumenti da preferire per i CDC devono poter essere configurati per la sincronizzazione in tempo reale dei dati con le autorità sanitarie pubbliche, supportare l’esportazione dei dati quando l’utente manifesta volontariamente il suo consenso, fornire promemoria automatici in caso di stretta prossimità con soggetti positivi, supportare il trasferimento dei dati con il protocollo OAuth (un meccanismo di scambio sicuro che garantisce l’accesso a determinate informazioni proteggendo contemporaneamente le credenziali) e permettere all’utente di cancellare o revocare il consenso in qualsiasi momento. CDC raccomanda ancora una architettura open source con un meccanismo di data entry offline e compatibilità cross-platform, alla stregua del progetto di Apple e Google.
Un aspetto-chiave della piattaforma di Apple e Google è che si tratta di una soluzione di tipo decentralizzato (in poche parole nessuno ha accesso ai dati di tutti), sfruttando un meccanismo che rende anonimi i contatti di prossimità tra dispositivi Bluetooth, un sistema ritenuto da vari esperti di privacy e non solo, migliore rispetto all’approccio centralizzato (nel quale i dati vengano raccolti su un server unico gestito da autorità governative). Stati come Regno Unito, Francia e Norvegia spingono per una soluzione centralizzata di tracciamento contatti; altre come Germania (ma anche l’Italia) sembrano preferire l’approccio decentralizzato possibile con la piattaforma di Apple e Google.
CDC non consiglia espressamente l’uno o l’altro metodo ma suggerisce quello che sembra un sistema ibrido, centralizzato per alcuni aspetti e decentralizzato per altri. Oltre alle linee-guida delineate dai CDC, Apple e Google si troveranno a breve a dover affrontare negli USA ostacoli normativi, ai sensi del Consumer Data Protection Act (la legge sulla protezione dei dati dei consumatori), con una proposta di legislazione che punta a fornire agli americani “più trasparenza, scelta e controllo sulla raccolta e uso di dati personali su salute, geolocalizzazione e prossimità”.