Il metodo utilizzato dalla Corea del Sud si propone, agli occhi del governo italiano come un modello che, mettendo in campo il binomio Big Data e nuove tecnologie, risulta efficace allo scopo di porre un freno – prima – e superare definitivamente – poi – il contagio da Covid-19 e la relativa situazione emergenziale.
Il fulcro di tale modello consiste in un’attenta attività di tracciamento della popolazione – espressamente consentita dalla legge coreana all’autorità sanitaria – attraverso l’accesso ai dati di telecamere di sorveglianza ovvero di GPS di telefoni e automobili, ai dati derivanti da transazioni effettuate mediante carta di credito, nonché ai dati forniti direttamente dai cittadini mediante apposite app. L’obiettivo di tale monitoraggio si declina lungo due coordinate: da un lato ricostruire spostamenti e incontri di cittadini contagiati, dunque creare una mappa del contagio e, dall’altro lato, allertare le persone che potrebbero aver avuto un contatto con un infetto.
Di certo, l’efficacia di tale modello è da ricondurre, oltre che alla particolare attenzione alle catene di contagio, anche alla capacità di effettuare e sostenere una consistente campagna di tamponi accessibili a un largo spettro di cittadini( ) e ad una rigorosa quarantena per i soggetti infetti.
MODELLO APPLICABILE IN ITALIA?
Appurata l’oggettiva efficacia di tale metodo, è necessario interrogarci circa la reale possibilità di importare il modello sudcoreano anche nel nostro paese. L’Italia è davvero in grado di attuare prontamente, sistematicamente, in modo consapevole e responsabile le soluzioni adottate dalla Corea del Sud? Ma soprattutto tali soluzioni sarebbero ammissibili nell’ordinamento italiano? Di certo le profonde differenze politico-culturali, giuridiche e tecnologiche fra la Corea del Sud e l’Italia determineranno più che una vera e propria “importazione” del modello, un adattamento dello stesso ai diversi aspetti della realtà italiana – che meritano, di seguito, un breve accenno .
Primo fra tutti è l’aspetto tecnologico che non pare porre particolari problematiche se non quelle di una maggior implementazione: l’Italia è pronta a raccogliere ed analizzare le informazioni necessarie per delineare la mappa del contagio. Da un lato verrà istituita un’apposita Task Force di esperti e tecnici del Ministero dell’Innovazione e di consulenti esterni per porre in essere l’attività di contact tracing mediante l’affidamento e lo sfruttamento di set di dati anonimi. Dall’altro lato, aziende e start-up hanno già messo a punto applicazioni – scaricabili dai cittadini sui propri dispositivi – che permettono di mappare in tempo reale e ricostruire a ritroso – dunque monitorare e tracciare – gli spostamenti delle persone positive al Coronavirus, di allertare i cittadini a rischio contagio – dunque coloro che dovranno mettersi in auto-quarantena – ed, infine, individuare sul nascere lo sviluppo di possibili nuovi focolai attraverso una sezione di “diario clinico” dove gli utenti potranno registrare anonimamente eventuali sintomi.
Il problema nell’attuazione di un monitoraggio della popolazione in Italia è prima di tutto di natura politico-culturale: il governo deve porre in essere una chiara campagna comunicativo-esplicativa circa la natura delle misure che si vorranno adottare. Infatti, per ottenere i risultati sperati è necessaria la collaborazione dei cittadini, ai quali deve essere chiaro come il tracciamento non sia un’imposizione, ma uno strumento – necessario e ormai imprescindibile – di protezione.
Infine, di centrale importanza è l’aspetto normativo: se, ad oggi, l’Italia è tecnologicamente preparata ad affrontare un “monitoraggio a tappeto”, non lo è dal punto di vista normativo. È evidente che una tale attività comporta necessariamente una compressione del dritto alla protezione dei dati personali pienamente riconosciuto e tutelato nel nostro paese. Dunque, è necessario uno specifico intervento del legislatore che definisca in modo dettagliato le misure, in che termini queste ultime limitino il diritto alla privacy e il loro rapporto con la vigente normativa in materia di protezione dei dati personali al fine di garantirne il pieno rispetto.
LIMITAZIONI AL DIRITTO ALLA PRIVACY:
(SEGUE) POSSIBILI IN TEORIA
Dal punto di vista teorico, la legittimità del trattamento di dati personali del tipo di quelli prospettati non è da escludere a priori.
Invero, la legge può introdurre limitazioni ai diritti della persona a tutela della salute e della sicurezza pubblica, vedasi le deroghe introdotte dalla normativa emergenziale alle libertà di circolazione, associazione e riunione. Una tale limitazione può prospettarsi anche con riferimento al diritto alla protezione dei dati personali, purché avvenga alla luce del principio di proporzionalità e di un attento e calibrato bilanciamento di interessi. Infatti, se è vero che il Legislatore europeo ritiene opportuno che la tutela del diritto alla protezione dei dati personali venga controbilanciata con altri interessi – non necessariamente in piena antitesi con quelli dell’interessato -, è anche vero che ne riconosce la natura di principio e di diritto fondamentale, così come delineato dalla Carta di Nizza (art. 8). Dunque, è possibile intervenire dal punto di vista legislativo in termini di limitazione della privacy, ma è necessario agire con particolare cautela e attenzione per evitare di porsi in contrasto con la normativa di stampo europeo.
Le limitazioni alla privacy non devono essere considerate isolatamente, ma, al contrario, devono essere inserite nello specifico contesto di riferimento che, nel caso di specie, si caratterizza di eccezionalità ed emergenzialità. Una tale situazione non deve giustificare operazioni in deroga al GDPR, ma permette di porre una temporanea limitazione alla tutela del diritto alla protezione dei dati personali “rendendo operative” le deroghe ammesse e previste dalla normativa. Infatti, la disciplina normativa, talvolta rigorosa, prevista dal GDPR non ostacola l’adozione di misure necessarie per affrontare situazioni emergenziali, ma addirittura, prevede disposizioni applicabili anche al trattamento dei dati personali in un contesto come quello relativo al Covid-19. In particolare, i trattamenti che saranno operati dalla Task Force rientrerebbero nell’ambito di applicazione dei presupposti legittimanti il trattamento di cui agli artt. 6, par. 1, lett. d), e); 9, par. 2, lett. g)( ), i) GDPR.
Tuttavia, il quadro normativo di riferimento non si esaurisce con il GDPR, ma comprende anche la normativa nazionale di attuazione della Dir. 2002/58/CE (c.d. Direttiva e-privacy) per quel che riguarda il trattamento dei dati relativi alle telecomunicazioni. L’utilizzo e il trattamento dei dati relativi all’ubicazione e dei dati di localizzazione di dispositivi mobili sono ammessi solo con il consenso specifico dell’interessato, ovvero se adeguatamente anonimizzati (in modo da sottrarli all’ambito di applicabilità della normativa in materia di privacy). Così come il GDPR, anche la Direttiva e-privacy prevede una deroga alle condizioni generali testé menzionate ammettendo l’adozione di misure legislative eccezionali per salvaguardare la sicurezza pubblica, purché siano adeguate, necessarie, proporzionali alle finalità perseguite, conformi alla Carta di Nizza e alla CEDU e limitate al periodo dell’emergenza.
Dunque, alla luce della normativa vigente è possibile legittimare operazioni che comprimono l’ordinaria tutela del diritto alla protezione dei dati personali. Ciononostante, una tale affermazione non deve tradursi, nella prassi, in un “via libera” generalizzato e non deve giustificare azioni improvvisate. Al contrario, il titolare del trattamento deve garantire nella maggior misura possibile la tutela di tale diritto e, dunque, ogni misura deve essere adottata nel rispetto dei principi fondamentali relativi al trattamento dei dati personali. Ciò in quanto le condizioni di liceità – basi giuridiche del trattamento che si andrà ad effettuare – assolvono solo ad una funzione selettiva dei trattamenti ammessi – «a monte» – dalla normativa in tema privacy, invero, per poter considerare il trattamento dei dati personali pienamente conforme al principio di liceità è necessario verificare anche la legittimità «a valle» sulla base delle concrete modalità di svolgimento del trattamento stesso.
(SEGUE) MA IN PRATICA?
Posto che a livello teorico non sussistono preclusioni assolute nei confronti di limitazioni del diritto alla privacy – attuate anche mediante attività di monitoraggio e tracciamento della popolazione -, è comunque necessario agire con prudenza e attenzione nella fase di concretizzazione di tali limitazioni. Invero, il rischio di violare vuoi il diritto alla protezione dei dati personali, vuoi il diritto alla riservatezza, ponendosi così in contrasto con le fonti sovranazionali, è particolarmente elevato.
In primo luogo, infatti, vi è il rischio di divulgare – in modo più o meno esplicito – dati particolari e informazioni personali dei cittadini: una volta tracciati, il governo pubblicherebbe in forma anonima gli spostamenti dei cittadini in modo da consentire a chiunque di essere in grado di capire se ha avuto contatti con persone contagiate. In tal modo, attraverso l’integrazione di diverse informazioni – relative generalmente a luogo e ora dell’incontro – vi è la possibilità che la persona contagiata, seppur nome e cognome non siano pubblicati, sia comunque identificabile, così come vi è la possibilità di rendere pubbliche le vite personali dei cittadini rivelando dati ai quali l’ordinamento dovrebbe garantire una maggior tutela (le c.d. categorie particolari di dati) come quelli relativi alle opinioni politiche, alle convinzioni religiose o all’orientamento sessuale.
Secondariamente, vi è il rischio di porre in essere ingerenze eccessive e sproporzionate nella sfera personale di tutti cittadini. Infatti, è a rischio non solo la privacy dei contagiati – che potrebbero essere tutelati da un effettivo e severo meccanismo di anonimato -, ma anche quella delle persona non ancora contagiate. Per essere avvertiti e allertati circa il rischio di contagio, anche i cittadini sani devono essere monitorati per poter incrociare i loro dati (derivanti da GPS, transazioni con carta di credito, post su social network), con gli spostamenti dei contagiati ricostruiti a ritroso.
Risulta quindi imprescindibile – anche alla luce delle considerazioni relative alla realtà italiana supra esposte – un adeguato intervento normativo che definisca nel modo più chiaro possibile il quadro di azione e in particolare:
• individui in modo specifico il titolare del trattamento, dunque le sue prerogative e le sue responsabilità;
• individui, in concerto con la Task Force tecnica e a seguito di una puntuale valutazione del progetto dal punto di vista tecnico, le modalità e i mezzi mediante i quali verrà effettuato il trattamento;
• individui chiaramente e tassativamente le fonti dei dati oggetto del trattamento. In particolare, se verranno coinvolte piattaforme private, sarà necessario regolamentare il loro apporto di dati e soprattutto i loro obblighi nei confronti vuoi del titolare del trattamento, vuoi degli utenti – che dovranno essere adeguatamente informati circa il nuovo flusso di dati indirizzato alle autorità pubbliche per la specifica finalità di prevenzione epidemiologica -;
• imponga una valutazione – la più attenta possibile alla luce delle tempistiche emergenziali – sulla base di una visione integrata, dunque tecnico-informatica, giuridica, organizzativa, circa le misure di sicurezza appropriate per far fronte ai rischi derivanti dal trattamento, anche alla luce di una valutazione preventiva di impatto sulla protezione dei dati. Ciò anche per garantire che il trattamento dei dati e il pregiudizio arrecato al cittadino siano proporzionali all’obiettivo di prevenire e arginare il contagio;
• imponga come guida il criterio di gradualità e i principi di proporzionalità, correttezza, pertinenza e non eccedenza;
• delimiti in modo preciso, tassativo e stringente il periodo di emergenza che giustifica e coincide con il periodo di trattamento dei dati personali;
• preveda garanzie sul ripristino della situazione precedente all’emergenza – dunque quella di ordinaria tutela del diritto alla protezione dei dati ordinari – mediante strumenti quali la totale distruzione dei dati raccolti e trattati.
Ciò per garantire l’adozione di misure opportune, proporzionate, necessarie e ragionevoli alla luce delle esigenze di prevenzione e sconfitta del Covid-19, le quali, sì, permettono una compressione del diritto alla privacy, ma non ne giustificano una violazione.
Vero ciò, le autorità pubbliche dovrebbero farsi guidare dal criterio di gradualità e, in primis, cercare di trattare i dati relativi all’ubicazione in modo anonimo, dunque trattarli in forma aggregata, così da non consentire la successiva re-identificazione degli interessati. Un tale trattamento permetterebbe, attraverso l’analisi della concentrazione di dispositivi mobili, di realizzare una cartografia del contagio. Solo se ciò dovesse risultare inefficace si potrebbero attuare misure invasive come il tracciamento, ovverosia il trattamento di dati storici di localizzazione in forma non anonimizzata. Alla luce della circostanza emergenziale e delle accortezze necessarie nelle concrete modalità di trattamento, una tale misura è da ritenere coerente con il principio di proporzionalità. Ciononostante, l’attività di tracciamento deve essere soggetta ad un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati.
L’attività di contact tracing e di tracciamento, dunque, non comportano – rectius non devono comportare – una disapplicazione del GDPR, ma, al contrario, alla luce delle scelte normative in tema di bilanciamento di interessi e delle deroghe ammesse dalla normativa privacy, devono garantire un trattamento proporzionale alle finalità perseguite nel massimo rispetto tecnicamente e concretamente possibile del diritto alla protezione dei dati personali. Laddove le misure meno invasive – che comportano l’acquisizione di trend anonimi di mobilità – si rivelino insufficienti e si renda necessario un vero e proprio tracciamento, sarà «necessario prevedere adeguate garanzie, con una norma ad efficacia temporalmente limitata e conforme ai principi di proporzionalità, necessità, ragionevolezza. In tal senso, andrebbe effettuata un’analisi dell’effettiva idoneità della misura a conseguire risultati utili nell’azione di contrasto. […] In ogni caso, è indispensabile una valutazione puntuale del progetto. Non è il tempo dell’approssimazione e della superficialità».
A cura di Vittorio Colomba e Giorgia Benatti
