L’emergenza coronavirus ha rappresentato uno scenario per riflettere sul rapporto tra la difesa delle proprie libertà e la rinuncia ai diritti per finalità di sicurezza pubblica. I principi della data protection nelle ultime settimane sono stati messi al centro di un acceso dibattito, che ha portato il presidente del Garante della privacy Antonello Soro a intervenire in audizione davanti alla Commissione Trasporti, Poste e Telecomunicazioni della Camera dei Deputati.
Il Garante ha invitato a studiare “modalità e ampiezza delle misure da adottare in vista della loro efficacia, gradualità e adeguatezza, senza preclusioni astratte o tantomeno ideologiche, ma anche senza improvvisazioni o velleitarie deleghe, alla sola tecnologia, di attività tanto necessarie quanto complesse. La chiave è nella proporzionalità, lungimiranza e ragionevolezza dell’intervento, oltre che naturalmente nella sua temporaneità”.
Indice degli argomenti
L’intervento del Garante della privacy
Il Garante nel corso del suo intervento ha affermato che “la gravissima emergenza che il Paese sta affrontando ha imposto l’adozione – con norme di vario rango – di misure limitative di molti diritti fondamentali, necessarie per contenere auspicabilmente, il numero dei contagi. La protezione dei dati personali – fondamentale diritto “di libertà”, sancito dalla Carta di Nizza – non poteva fare, naturalmente, eccezione, benché le limitazioni sinora adottate siano nel complesso contenute”.
In relazione al decreto Cura Italia, Soro ha sottolineato che “Alcune deroghe al regime ordinario di gestione dei dati sono state previste sin dalle primissime ordinanze intervenute pochi giorni dopo la deliberazione dello stato di emergenza, con prevalente riferimento all’ambito di comunicazione dei dati sanitari. L’art. 14 d.l. 14/2020 ha sostanzialmente replicato tale disposizione, elevandone la fonte e rimarcandone il carattere temporaneo, senza tuttavia allo stato attuale riferirsi a raccolte di dati particolarmente innovative”.
Tuttavia “nuove e più invasive raccolte di dati potrebbero fondarsi su esigenze di sanità pubblica che – al pari del soccorso di necessità- costituiscono autonomi presupposti di liceità, in presenza di una previsione normativa conforme ai principi di necessità, proporzionalità, adeguatezza, nonché del rispetto del contenuto essenziale del diritto”.
Emerge quindi l’importanza di perseguire il rispetto dei principi fondamentali del GDPR, attraverso un approccio graduale al trattamento dei dati pur nell’emergenza, per non mettere a rischio i diritti e le libertà degli interessati.
Come dovrebbe funzionare l’app per il contact tracing
Nel suo intervento Soro ha sottolineato come l’eventuale utilizzo di un’app di stato dovrebbe avvenire su base volontaria, ottenere un consenso “non condizionato” da parte del singolo cittadino ed essere previsto da una norma di rango primario e non da un DPCM.
“I criteri di necessità, proporzionalità e minimizzazione rimarcati dalla giurisprudenza europea indicano, comunque, l’esigenza di contenere tali limitazioni della privacy nella misura strettamente necessaria a perseguire fini rilevanti, con il minor sacrificio possibile per gli interessati”, sottolinea Soro. Occorre quindi scegliere, tra le app disponibili, “la misura più selettiva, che garantisca cioè il minor ricorso possibile a dati identificativi, sia in fase di raccolta sia in fase di conservazione”.
Tra le tecnologie Soro spezza una lancia in favore del Bluetooth che, “restituendo dati su interazioni più strette di quelle individuabili in celle telefoniche assai più ampie, parrebbe migliore nel selezionare i possibili contagiati all’interno di un campione più attendibile perché, appunto, limitato ai contatti significativi (così parrebbero orientati Singapore e Germania)”.
La lista dei contatti dovrebbe inoltre rimanere “esclusivamente nella disponibilità dell’utente, sul suo dispositivo, ragionevolmente per il solo periodo massimo di potenziale incubazione”.
In caso di contagio, “il soggetto che risultasse positivo dovrebbe fornire l’identificativo Imei del proprio dispositivo all’asl, che sarebbe poi tenuta a trasmetterlo al server centrale per consentirgli così di ricostruire, tramite un calcolo algoritmico, i contatti tenuti con altre persone le quali si siano, parimenti, avvalse dell’app bluetooth. Queste ultime riceverebbero poi una segnalazione (nella forma di un alert sul sistema) di potenziale contagio, con l’invito a sottoporsi ad accertamenti che, naturalmente, sarà efficace nella misura in cui sia responsabilmente seguito”.
In tal modo – conclude Soro – “il tracciamento sarebbe affidato a un flusso di dati pseudonimizzati, suscettibili di reidentificazione solo in caso di rilevata positività”.
Quanto ai soggetti che avrebbero il diritto di gestire i dati sensibili, “è auspicabile che la complessa filiera del contact tracing possa realizzarsi interamente in ambito pubblico. Ove, tuttavia, ciò non fosse possibile e anche solo un segmento del trattamento dovesse essere affidato a soggetti privati, essi dovrebbero possedere idonei requisiti di affidabilità, trasparenza e controllabilità, rigorosamente asseverati”.
La parola agli esperti: “Primo passo? Capire la finalità della tecnologia”
Francesco Paolo Micozzi, professore di Informatica giuridica al Dipartimento di Giurisprudenza dell’Università di Perugia, è d’accordo col Garante. L’autorità “non ha mai cambiato pensiero. Già nel 2015 Giovanni Buttarelli aveva scritto il parere numero 4 del 2015 intitolato Verso una nuova etica digitale in cui si parlava dell’uso delle tecnologie per il controllo della diffusione dell’ebola. In quel testo diceva che ci vuole una gradualità nell’approccio ai dati”.
La cosa fondamentale, come ricordato anche dal Garante ieri, “è chiederci qual è la finalità dell’uso della tecnologia in questo ambito? A cosa ci serve un’app, a sanzionare chi viola le restrizioni o per vedere come si sposta il virus nel territorio o ancora per verificare con quali altre persone il soggetto è entrato in contatto? È importante soprattutto – prosegue Micozzi – individuare se c’è un nesso di causalità tra l’utilizzo dell’app e l’impatto sull’epidemia. In caso contrario, da una parte avrò l’incertezza dell’efficacia dell’app, dall’altra invece la certezza della compromissione del diritto altrui, perché verrebbero messi a rischio i dati personali”.
Il nesso di causalità è importante per capire anche cosa sia successo in Corea del Sud: “La migliore gestione dell’epidemia della Corea del Sud non è detto dipenda direttamente dall’app, ma magari ad esempio dalla scelta di svolgere tamponi a tappeto”, ha rilevato Micozzi.
Dunque il Garante invita a individuare uno scopo preciso per l’uso della tecnologia nell’emergenza coronavirus. Il passo successivo è capire quali dati servono davvero: “Bisogna chiedersi se è sufficiente usare dati anonimi o bisogna usare dati personali. Oggi si possono già usare i dati di geolocalizzazione, da parte dei provider dei servizi di telecomunicazioni, ma anonimizzati. Con una soluzione di contact tracing bisognerebbe applicare proprio il principio di anonimizzazione, che è previsto dal GDPR”, per tutelare l’identità delle persone.
Del resto, anche l’articolo 14 del Decreto Cura Italia indica che nella scelta delle misure per contenere l’emergenza non sono state fatte deroghe al GDPR: “Non si può derogare al GDPR, è un regolamento europeo e si applica automaticamente in tutti i Paesi europei. Le leggi italiane devono muoversi entro i limiti consentiti”.
Dopo l’emergenza
Le misure adottate ovviamente hanno validità per la durata della situazione di emergenza. Tuttavia, data l’accesa discussione in tema privacy, c’è il rischio che il sentimento delle persone nei confronti della data protection sia di timore e diffidenza: “Diversi personaggi pubblici chiedono in sostanza alla folla se preferiscono la privacy o la morte. Sono persone che hanno la possibilità e quindi la responsabilità di infondere paura e diffidenza nelle persone. Io ripongo fiducia nel nostro ordinamento giuridico”, conclude Micozzi .
Il rischio altrimenti “è quello di un lento scivolamento verso il totalitarismo, con la rinuncia ai diritti fondamentali. Le tecnologie, spesso non comprese rischiano di diventare la chiave per far crollare le garanzie conquistate con il tempo”.
Qui potete leggere l’intervento completo del Garante.