Cerca nel blog

2024/05/31

Podcast RSI - Quando un diritto diventa un reato: app di tracciamento del ciclo mestruale, rischio di persecuzione governativa

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

[CLIP: La scena del dazio dal film “Non ci resta che piangere” (1984)]

Questa scena, tratta dal film “Non ci resta che piangere” del 1984, è diventata simbolo di tante assurdità e cecità burocratiche. È un esempio decisamente ironico, e forse per raccontarvi la storia strana di informatica di questa settimana avrei dovuto citare qualche brano della serie TV distopica Il racconto dell’ancella, perché questa è la storia di un’app legata alla riproduzione umana ed è una storia che risponde perfettamente a una domanda che viene fatta spessissimo a chi si occupa di privacy e sicurezza digitale: “Ma che male c’è a dare qualche dato personale a un’app? Cosa vuoi che se ne facciano? Io non ho niente da nascondere”.

Siamo nel 2024, e negli Stati Uniti, non in un paese totalitario, le app di monitoraggio dell’ovulazione vengono usate per tracciare in massa la fertilità femminile, anche dai datori di lavoro, e per incriminare le donne che risultano sospette solo perché hanno un ciclo mestruale irregolare. Un dato che sembrava così innocuo è di colpo diventato potenziale indizio di reato.

Benvenuti alla puntata del 31 maggio 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo, e vorrei avvisarvi che questa puntata tocca temi molto delicati riguardanti la riproduzione e la sessualità.

[SIGLA di apertura]

Benvenuti a Gilead

Questa storia comincia con una segnalazione su Reddit, ad aprile scorso, di un’app per il monitoraggio del ciclo mestruale di nome Ovia (App Store; Google Play), che ha iniziato da poco, dice la segnalazione, a chiedere in quale stato risiede l’utente, perché quest’informazione è necessaria per poter continuare a usare l’app.

Dato che la fisiologia umana fondamentale non varia in base ai confini di stato, viene spontaneo chiedersi come mai ci sia bisogno di specificare lo stato di residenza in quest’app. È una domanda che coinvolge le decine di milioni di persone che nel mondo usano app di questo genere, come BabyCenter, Clue, My Calendar o Flo, per tenere traccia del proprio ciclo o di quello dei familiari.

Nel 2019 l’app Ovia era stata criticata (Washington Post) perché condivideva i dati di salute dei suoi utenti con i loro datori di lavoro. Lo faceva, e lo fa tuttora, in forma aggregata e anonimizzata, certo, ma soprattutto in un’azienda piccola risalire alle identità precise delle persone alle quali si riferiscono i dati di salute è piuttosto banale, specialmente per situazioni molto palesi come una gravidanza, che è solo uno dei dati raccolti da quest’app.

I datori di lavoro possono infatti sapere quanti dipendenti hanno avuto gravidanze a rischio o parti prematuri e possono vedere le principali informazioni di natura medica cercate dalle utenti, i farmaci assunti, l’appetito sessuale, l’umore, i tentativi di concepimento, il tempo medio necessario per ottenere una gravidanza e i tipi di parto precedenti. Tutti dati immessi dalle persone, incoraggiate a farlo dai buoni spesa, circa un dollaro al giorno, offerti dall’app.

L’azienda che ha sviluppato l’app, Ovia Health, dice che tutto questo consente alle aziende di “minimizzare le spese sanitarie, scoprire problemi medici e pianificare meglio i mesi successivi” e aggiunge che la sua app “ha permesso alle donne di concepire dopo mesi di infertilità e ha anche salvato le vite di donne che altrimenti non si sarebbero rese conto di essere a rischio”.

Anche altre app dello stesso genere sono state criticate fortemente da Consumer Reports, una influentissima associazione statunitense di difesa dei consumatori, e da associazioni di attivisti tecnologici come la brasiliana Coding Rights, perché non tutelavano affatto la riservatezza delle persone, per esempio permettendo l’accesso ai dati sanitari altrui a chiunque conoscesse l’indirizzo di mail della persona presa di mira oppure passando direttamente i dati mestruali a Facebook.

Uno studio del 2019, pubblicato dal prestigioso British Medical Journal, ha rilevato che il 79% delle app relative alla salute disponibili nel Play Store di Google condivideva con terzi i dati sanitari degli utenti.

C’è un nome per questo sfruttamento commerciale dei dati sanitari delle donne: femtech. Alcune stime indicano che il mercato femtech, che “include le app di tracciamento mestruale, nutrizionale e di benessere sessuale”, potrebbe valere fino a 50 miliardi di dollari entro il 2025 (Washington Post).

Già così lo scenario era piuttosto orwelliano, ma il 2 maggio 2022 è successo qualcosa che ha trasformato una sorveglianza invadente in una trappola inquietante.

Da diritto a reato

In quella data, infatti, la stampa ha reso pubblica una bozza di parere della Corte suprema statunitense che indicava che il diritto costituzionale all’aborto, vigente in tutto il paese da quasi cinquant’anni, sarebbe stato eliminato, come è poi appunto avvenuto. Nel giro di pochi mesi, numerosi stati americani hanno vietato l’aborto quasi completamente, in qualunque circostanza, senza eccezioni per violenza sessuale o incesto e anche se la vita della donna è in pericolo (CNN).

In altre parole, un atto che per mezzo secolo era un diritto è diventato di colpo un reato. E altrettanto di colpo, i dati accumulati dalle app di tracciamento mestruale sono diventati potenziale indizio o prova di reato, come hanno fatto notare sui social network varie persone esperte di sicurezza informatica, come Eva Galperin, della Electronic Frontier Foundation o l’attivista e avvocato Elizabeth McLaughlin, che hanno consigliato esplicitamente di smettere di usare queste app e di cancellare tutti i dati.

Il rischio che quei dati vengano usati contro le utenti, infatti, è decisamente concreto. Anche prima di quel grande scossone del 2022, era già capitato che funzionari governativi statunitensi che sostenevano idee antiabortiste si procurassero dati provenienti da queste app. Nel 2019 l’ex direttore tecnico sanitario del governo del Missouri, Randall Williams, aveva fatto redigere uno spreadsheet che tracciava le mestruazioni delle donne che avevano visitato le sedi di Planned Parenthood, una organizzazione no-profit che fornisce assistenza alla procreazione pianificata (CNN). E lo stesso anno il direttore del programma di reinsediamento dei rifugiati, Scott Lloyd, attivista contro l’aborto, aveva dichiarato di aver tracciato i cicli mestruali delle giovanissime migranti nel tentativo di impedire che abortissero (Harper’s Bazaar).

È facile pensare che queste siano situazioni estreme che si verificano negli Stati Uniti e che non potrebbero mai capitare qui da noi grazie ai paletti imposti alle aziende dal GDPR e dalla Legge federale sulla protezione dei dati, ma secondo Lee Tien, consulente legale della Electronic Frontier Foundation, anche le aziende europee sono soggette alle procedure legali statunitensi grazie a vari trattati internazionali, e quindi è possibile che i dati personali di un’app di tracciamento sanitario europea possano essere comunque richiesti da un’azione legale che parte dagli Stati Uniti (KFF Health News).

Sono situazioni come questa che fanno dire agli esperti di sicurezza informatica, come Mikko Hyppönen, che argomentare che non c’è da preoccuparsi per queste raccolte di massa di dati personali, perché tanto siamo cittadini onesti e non abbiamo niente da nascondere, semplicemente “non ha senso”.

Non ha senso perché un dato, una volta rilasciato, è rilasciato per sempre, e non abbiamo idea se un dato che oggi non è problematico lo sarà invece in futuro. Un altro esempio in questo senso arriva sempre dagli Stati Uniti, ma in un campo che a prima vista sembra completamente differente: i sistemi di lettura automatica delle targhe dei veicoli.

Diffusissimi fra le forze di polizia e anche fra le aziende, questi sistemi memorizzano oltre un miliardo di passaggi di veicoli ogni mese. L’intento originale era usarli per tracciare i veicoli coinvolti in reati, cosa difficilmente criticabile, ma come fa notare la rivista Wired, questi sistemi possono anche tracciare i veicoli che attraversano un confine di stato, per esempio per portare una persona in uno stato in cui l’aborto è ancora legale. E dato che le targhe sono per definizione esposte al pubblico, non occorre un mandato per procurarsi i dati raccolti da questi lettori automatici (EFF; The Guardian).

Come dice Hyppönen, “possiamo forse fidarci dei nostri governi attuali… ma ci fidiamo ciecamente di qualunque possibile governo futuro, di un governo che potremmo avere fra cinquant’anni?”

[CLIP: citazione di Mikko Hyppönen, tratta da un TEDx Talk del 2011: “And while we might trust our governments right now […], do we blindly trust any future government, a government we might have 50 years from now?”]

Resistenza digitale

La segnalazione su Reddit dalla quale è partita questa storia è diventata virale ed è stata accompagnata da ulteriori avvisi di altri utenti, pubblicati direttamente nelle pagine di download dell’app di tracciamento mestruale in questione per mettere in guardia chi la scarica. Il consiglio ricorrente, in questi avvisi, è non solo di non usare questa app, ma di non usare nessuna app che raccolta dati legati alla sfera intima e di tornare ai vecchi sistemi cartacei: il calendario o l’agendina di una volta, insomma. La paura, infatti, è che una donna che ha un ciclo irregolare possa essere identificata erroneamente come una persona che ha abortito e venga quindi accusata di un reato che non ha commesso, con tutto quello che ne consegue.

Certo, oggi siamo tutti abituati a fare qualunque cosa tramite app, ma la comodità di avere tutto nello smartphone ha un prezzo, e quel prezzo può cambiare in qualunque momento, difficilmente a favore di noi utenti.

Nel frattempo, grazie alle segnalazioni di questo problema è nata una forma di resistenza informatica molto particolare: numerose persone di ogni orientamento stanno scaricando queste app, il cui uso è solitamente gratuito, e le stanno adoperando per tracciare qualunque evento ciclico tranne le mestruazioni. L'intento è riempire di dati fasulli e incomprensibili gli archivi delle aziende che gestiscono queste app, in modo da contaminare il loro database, fargli perdere valore commerciale e impedire agli algoritmi predittivi di funzionare correttamente.

Visto il numero elevatissimo di utenti, questo tipo di sabotaggio probabilmente non sarà molto efficace dal punto di vista pratico e diretto, ma aiuterà a far conoscere il problema e a far capire perché le leggi sulla privacy dei dati sembrano una scocciatura ma sono in realtà così importanti. Servono, in sostanza, a evitare che si passi dal non avere nulla da nascondere al non avere più nulla da nascondere.

Nessun commento: