Il dibattito sull’app di contact tracing anti-COVID-19 si è infiammato negli ultimi due mesi; ad esso hanno partecipato, a vario titolo, con sensibilità e da angoli i più diversi, anche parecchi giuristi. Non mi sono sottratto, in molteplici occasioni, all’acceso confronto.
Più che di una mera “app”, sarebbe corretto parlare di un sistema complesso e organico, composto sia da elementi tecnologici – quali, appunto, l’applicazione per smartphone Android e iOS (che in Italia si chiama “Immuni” e si basa sul codice sviluppato e donato dalla società Bending Spoons) e la piattaforma di gestione delle informazioni, con relativi database, direttamente manovrata dai soggetti sanitari di volta in volta competenti – sia da elementi regolatori, organizzativi, procedurali di sanità pubblica nelle “mani” di esseri umani. In alcuni frangenti, il dibattito si è concentrato eccessivamente sul solo elemento-app, perdendo di vista il quadro complessivo e amplificando a dismisura prospettive di rilievo assai minore rispetto al “tutto”.
Il contact tracing è qualcosa che si svolge, inevitabilmente, sia con l’aiuto di strumenti informatici e telematici, sia, soprattutto, con “olio di gomito” di risorse umane dedicate a ricostruire e ad analizzare i dati raccolti, oltre che ad intervenire dal punto di vista sanitario con tempestività.
A cosa servirebbe la più intelligente, efficace, pervasiva ed invasiva delle applicazioni tecnologiche se, una volta scovati i soggetti a rischio, non vi fosse la capacità di eseguire test e, a valle, di impartire ad essi le protezioni e poi le cure più adeguate? A (quasi) nulla. E una norma di legge che prevedesse un sistema inutile dovrebbe essere considerata, a parere di chi scrive, una norma viziata da irragionevolezza.
Naturalmente, al centro del confronto, non solo in Italia, si è posto il grande tema “privacy” al quale il sottoscritto e tanti autorevoli Colleghi dedicano la propria vita scientifica e professionale. Un sistema di contact tracing pubblico rischia davvero di mettere in pericolo la tutela della sfera privata, della riservatezza e dei dati personali della popolazione (ben scolpiti negli articoli 7 e 8 della Carta dei Diritti Fondamentali UE e nella nostra Costituzione, dall’art. 2 “a scendere”). Non c’è dubbio che sia così, il contact tracing massivo è, in linea di principio, pericoloso per i nostri diritti e le nostre libertà fondamentali e inviolabili, e il dibattito di queste settimane è stato un felice esempio di risposta “anticorpale” giuridico-democratica a questi pericoli.
Malgrado taluni rappresentanti ed esperti del Governo abbiano comprensibilmente sofferto (chi opera in emergenza, può fisiologicamente affaticarsi in queste fasi concitate) la cacofonia delle critiche che si accavallavano – a volte feroci e imprecise – sui media, dovremmo comunque tutti gioire di questa vitalità e reattività delle discussioni. Sono segnali preziosi di vita democratica e di consapevolezza giuridica, nell’esercizio di una piena libertà di espressione.
Per semplificare, le posizioni estreme in “fase 1” sono state all’incirca di questo tipo:
- Per contrastare il coronavirus serve intervenire subito, massicciamente ed efficacemente, con forme di contact tracing di impatto generale e profondo. La “privacy” è una fisima e un dannoso ostacolo per la lotta contro il COVID-19, l’interesse di sanità pubblica è rilevantissimo e il diritto alla vita è prevalente, si lascino perdere le normative a tutela della riservatezza e dei dati personali, e si corra ad attivare un sistema invasivo e obbligatorio per tutti, che accumuli più dati possibile – anche con la collaborazione dei grandi provider di servizi ICT – e assicuri la migliore precisione e tempestività d’intervento alle autorità competenti.
- Si abbandoni il progetto: no al tracciamento della popolazione, no al trattamento massivo di dati sui contatti gestito dallo Stato in collaborazione con fornitori tecnologici privati. La “privacy” delle persone, tantopiù se riguardante dati contenuti nei loro smartphone e magari collezionati da grandi provider di servizi ICT, è un diritto prevalente anche in un’emergenza di sanità pubblica.
In mezzo a questi estremi, sono emerse miriadi di posizioni sfumate – certamente frutto di riflessione e meno massimaliste – alcune pendenti più da una parte, altre più dall’altra.
Oltre al principio di ragionevolezza, che ho già avuto modo di sfiorare sopra e che imporrebbe a qualsiasi governo o legislatore di prevedere misure necessarie, razionali e non platealmente inutili o “campate in aria”, la chiave per affrontare la questione in maniera non estremista è ovviamente da rintracciarsi nel principio di proporzionalità, positivizzato, ad esempio, nell’art. 52 della Carta di Nizza. I diritti e le libertà fondamentali, così come gli interessi pubblici in gioco, debbono bilanciarsi tra loro, senza essere considerati univocamente “assoluti” né potendo, viceversa, essere annichiliti a zero. Peraltro, gli stessi articoli 9 e 23 del Regolamento (UE) 2016/679 (“GPDR”) ammettono margini di manovra nazionali per l’individuazione di basi giuridiche nell’interesse pubblico rilevante e per una limitazione dei diritti alla protezione dei dati personali, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica.
Abbiamo assistito, in queste settimane, a significativi interventi nel dibattito pubblico sul contact tracing anche da parte di istituzioni europee e nazionali, come le autorità di controllo sulla protezione dei dati, le quali non solo hanno rilasciato pareri ufficiali a favore dei governi e dei parlamenti, ma – per voce sola del Comitato Europeo per la Protezione dei Dati che le riunisce – hanno inoltre rilasciato specifiche linee guida sul contact tracing lo scorso 21 aprile 2020. In tale documento, decisamente sintonico rispetto alle posizioni espresse dalla Commissione UE e dallo European Data Protection Supervisor, mi ha sorpreso trovare indicazioni tranchant, nettissime, come l’esclusione a priori della possibilità di geolocalizzare con GPS e un sostanziale divieto di imporre come obbligatoria (o comunque pesantemente condizionata) la app alla popolazione (“The systematic and large scale monitoring of location and/or contacts between natural persons is a grave intrusion into their privacy. It can only be legitimised by relying on a voluntary adoption by the users for each of the respective purposes. This would imply, in particular, that individuals who decide not to or cannot use such applications should not suffer from any disadvantage at all…”).
Ora, il vaglio preventivo di ragionevolezza e proporzionalità può portare a prescegliere soluzioni più o meno invasive ed efficaci, a seconda delle conclusioni che ne tragga chi questa valutazione opera. Ma, appunto, chi deve operare tale valutazione ex ante? È forse il coro delle autorità indipendenti legittimato a “dare ordini” o vincolare i governi e i legislatori degli Stati Membri dell’Unione Europea, con riferimento al grado di invasività e pervasività delle soluzioni tecnologiche da prevedere con decreti-legge e leggi? Naturalmente, no. Sono interpretazioni che suggeriscono una strada (seppur poste in modo così assertivo), e la dimensione politico-legislativa dovrebbe tenerne conto ma, infine, operare scelte autonome. Sì, perché di decisioni politiche – e al più alto livello – si deve trattare, non di tecnicalità informatiche e legali, quelle stesse riduttive tecnicalità che hanno imprigionato la privacy e la protezione dei dati personali, per decenni, nelle nicchie degli esperti specializzati, invece di liberarne il potenziale nelle piazze e negli ordini del giorno delle assemblee parlamentari. Come scrissi tempo fa: il privacyista, il giurista dei dati è lo statista del futuro.
Sappiamo che la strada scelta dal legislatore italiano, con l’art. 6 del D.L. 28/2020, va nella direzione di maggior tutela della privacy dei cittadini, in armonia con le raccomandazioni delle istituzioni europee. Traducendo la lettera della norma, potremmo così riassumere le caratteristiche del sistema-Immuni: volontarietà (cioè mera facoltatività e non obbligo) dell’installazione e dell’uso dell’app, no condizionamento all’uso dell’app per la fruizione di servizi pubblici o privati (ad esempio, non potrà esserci vietato di salire in metro o di entrare in un negozio se non abbiamo l’app attiva), open source, no GPS, contatti appresi solo dal dialogo di prossimità tra Bluetooth Low Energy degli smartphone, pseudonimizzazione forte con ID Bluetooth LE random rigenerati più volte ogni giorno, conservazione dei dati distribuita principalmente sugli smartphone personali e una limitata centralizzazione – su db di piattaforma – con riferimento ai soli dati dei soggetti positivi al COVID-19 al momento del test sanitario, tempi di conservazione dei dati ristretti (seppur con qualche valvola di apertura ad un possibile allungamento che lascia perplessi). Risultato: massima tutela della privacy, almeno in astratto, ma grande debolezza in termini di efficacia.
L’obbligatorietà o il forte condizionamento all’installazione e all’uso, come in Corea del Sud, avrebbero comportato una pesante invasione nelle vite di tutti noi, ma anche assicurato una diffusione su circa il 60-70% della popolazione, e quindi una maggiore copertura, capillarità e affidabilità dei dati. L’assenza di geolocalizzazione impedirà di ricostruire percorsi e luoghi, allertando soggetti a rischio non dotati di smartphone e app, che si siano trovati vicino a soggetti contagiati nelle stesse ore nei medesimi luoghi pubblici o aperti al pubblico. La mancata centralizzazione e identificabilità dei contatti dei positivi comporterà l’impossibilità di un intervento sanitario proattivo verso i soggetti a rischio, i quali si limiteranno a ricevere un alert e poi, per buona e spontanea volontà, potranno rivolgersi al sistema sanitario per eventuali controlli. Insomma, meccanismi di allerta più simile a una “pubblicità progresso 2.0”, sensibilizzante e mirata, che a strumenti emergenziali di sanità pubblica.
Queste sono state le scelte di ragionevolezza e proporzionalità operate finora dal Governo, nelle vesti di legislatore d’emergenza, in Italia: c’è chi dice, come il sottoscritto, che si sia, paradossalmente, ecceduto in zelo e accettato quasi ciecamente le indicazioni provenienti dalle istituzioni europee e dalle autorità indipendenti, affidandosi ad esse senza spirito critico-politico. Non sono, peraltro, il solo giurista dei dati e della privacy a pensarla in questo modo.
Invece di ragionare per opposti estremi e per variegate sfumature in mezzo ad essi – come se esistesse solo un piano “bidimensionale” ideale sopra il quale si contendono, drammaticamente, un 100% finito di superficie i diversi diritti, libertà e interessi pubblici – avrei seguito una terza via. La proporzionalità e la ragionevolezza di misure straordinarie come quelle richieste dalla crisi pandemica in atto avrebbero ben potuto essere garantite in senso “tridimensionale”, secondo il criterio del rilancio: più privacy, più innovazione, più sanità pubblica, insieme.
Strumenti maggiormente invasivi, pervasivi, efficienti ed efficaci nel contrasto ai contagi – uniti a una macchina sanitaria solida, in grado di testare e curare con tempestività i soggetti a rischio o positivi – avrebbero potuto condurci all’innalzamento e potenziamento, in parallelo, di inedite difese tecnologiche (abilitanti un “self-control” diretto da parte degli utenti) ma anche salvaguardie normative primarie per la tutela della sfera privata, della riservatezza e dei dati personali della popolazione. Un esempio su queste ultime, mi rendo conto assai provocatorio: il Parlamento avrebbe potuto (potrebbe ancora) emendare la legge costituzionale n. 1 del 1948, riconoscendo anche al Garante per la protezione dei dati personali quella legittimazione al ricorso diretto alla Corte Costituzionale che, invece, riserviamo soltanto alle Regioni per questioni di conflitti di competenza con lo Stato. Questo, almeno con riferimento all’impugnazione della legislazione di emergenza, ove irragionevolmente e sproporzionatamente compressiva dei diritti fondamentali alla protezione della sfera privata, della riservatezza e dei dati personali. Eresia? Aberrazione giuridica? O più coraggiosa e realistica visione politica, ai tempi del coronavirus?
1 Comment
Pingback: ICT Legal Consulting | Il bilanciamento tra diritti, libertà e interessi pubblici nel contact tracing è questione di alta politica