La sfida della proporzionalità – tra tecnologia, epidemiologia e buon senso

0

 

Negli ultimi mesi, il dibattito sulle applicazioni di contact tracing ha assorbito gran parte delle energie degli esperti (e non) della protezione dei dati personali. Ciò è avvenuto sia in ragione del numero e della complessità delle questioni, sia a causa della positiva disomogeneità delle voci che hanno voluto lasciare un segno. Una volta emersa nel contesto internazionale la possibilità, ancor prima che la necessità, di implementare soluzioni all’avanguardia per fronteggiare una crisi sanitaria senza precedenti, la genesi del confronto nel nostro Paese si è assestata sul piano dei valori in gioco. In particolare, le considerazioni e le prese di posizione più o meno ideologiche sono filtrate fino ad influenzare modelli di sviluppo e tecnologie da adottare in concreto. Finalmente, a seguito dell’esemplare provvedimento di autorizzazione dell’Autorità Garante per la protezione dei dati personali del 1° giugno– prova provata della capacità delle Alte Amministrazioni nostrane, di cui il Garante rappresenta da sempre la punta di diamante, di saper ragionare, bilanciare, valutare tecnologia e diritto e scrivere adeguatamente le regole – la app made in Italy per il contact tracing anti Covid-19 è ora disponibile per il download, anche se occorrerà attendere ancora alcune settimane prima della piena operatività su tutto il territorio nazionale. Che cosa ne sarà allora del dibattito fino a qui prodotto? Certamente siamo ancora in piena cuspide, (soprattutto) grazie alla vacatio determinata dal periodo di sperimentazione – in cui verosimilmente vedremo applicate le misure prescritte dal Garante.

Personalmente ritengo tuttavia fondamentale, ora più che mai, spingere ogni riflessione oltre il contingente, ampliando così l’orizzonte temporale delle analisi. Soltanto in questo modo si potrà tentare di comprendere – e se del caso governare – l’esperienza prima che la stessa ci colga impreparati.

La questione di fondo rimane la medesima: che spazio concedere alla tecnologia nella sfida globale di contrasto e limitazione della pandemia da SARS-CoV-2?

I punti di vista dai quali affrontare, nello spirito appena esposto, un dibattito tanto stimolante quanto complesso sono naturalmente molteplici ma credo che l’intento di questo simposio sia proprio quello di valorizzare le sfumature e la prospettiva di ciascun autore. Per questa ragione si ritiene possa essere interessante affrontare la sorveglianza tecnologica in generale e gli strumenti di contact tracing dal punto di vista del principio di minimizzazione (nella sua accezione di proporzionalità, necessità, pertinenza e non eccedenza sostanziale e temporale).

 

Le lusinghe della tecnologia e l’incertezza della scienza

Come è noto, ogni trattamento di dati personali deve essere necessario, proporzionato e non eccedente rispetto alle finalità lecitamente perseguite dal titolare del trattamento. Se questa tipologia di operazione di bilanciamento poteva essere estremamente complessa (al limite dell’imponderabilità) nelle primissime fasi di questa drammatica emergenza sanitaria globale, il trascorrere dei giorni e le scelte intraprese via via dai vari Paesi hanno iniziato ad aggiungere utili elementi di valutazione per il titolare del trattamento. Come è noto, il ventaglio delle soluzioni adottate dai governi ha spaziato in linea con il tipo di ordinamento e la tradizione giuridica locale, passando dagli estremi di Cina e Corea del Sud, al controllo sui cittadini mediante l’intervento dei Servizi segreti, dall’implementazione di un’app centralizzata di Australia e Regno Unito, a quella di un’app decentralizzata come in Italia, fino alla scelta belga di non adottare in alcun caso uno strumento tecnologico con queste caratteristiche.

In particolare, uno dei temi più caldi del dibattito ha riguardato la natura (semi)obbligatoria o meno delle app di tracciamento ed il significato della soglia minima di efficacia (indicata nel 60% per la app Immuni). A questo proposito è interessante osservare cosa sta accedendo in Paesi che si trovano in uno stadio di implementazione più avanzato del nostro. In Australia, ad esempio, il Primo Ministro Scott Morrison aveva presentato a fine aprile l’app Covidsafe con un’interessante metafora: «vorrei paragonarla al fatto che se si vuole uscire quando fuori c’è il sole che batte, bisogna mettersi la protezione solare». A circa un mese di distanza, nonostante il notevole risultato costituito dall’essere a solo un milione e mezzo di download dalla soglia prefissata del 40% dei possessori di smartphone, parrebbe evidente la scarsa utilità dello strumento, vista l’identificazione di un solo soggetto per il tramite di Covidsafe.

A questo punto, con il numero di download che dopo 24 ore dal lancio dell’app in Italia ha raggiunto quota mezzo milione, è importante riflettere sul significato della soglia del 60% indicata dal Ministero dell’Innovazione. Infatti, dal punto di vista della proporzionalità e necessità del trattamento vi è una notevole differenza tra l’ipotesi che vede il gradiente di efficacia crescere (anche non proporzionalmente) all’aumentare della percentuale di copertura e quella che invece vede detto coefficiente di efficacia tendente a zero fino a quando non si raggiunge la percentuale soglia, per poi schizzare intorno al fatidico 60% ed aumentare in modo meno ripido successivamente. Se nel primo caso proporzionalità e necessità del trattamento parrebbero più facilmente sostenibili, nel secondo, sarebbe complesso giustificare la sussistenza di detti principi, se non nella prima fase: ossia quella in cui valutare in concreto, non più in astratto, la raggiungibilità della soglia di efficacia. Inoltre, non va trascurata l’attenzione rivolta all’evolversi in concreto della pandemia sul territorio nazionale e nel globo. Così come sono apparsi alcuni timori in merito al paradosso per cui il rallentamento del virus porterebbe con sé anche un rallentamento della ricerca sul vaccino, allo stesso modo un alleggerimento della pressione del Covid-19 sulla popolazione potrebbe rendere meno stringente la necessità di trattare i dati della popolazione a fini di contact tracing automatizzato.

Un aspetto della app Immuni che invece ha già visto una virtuosa applicazione dei principi di necessità e proporzionalità del trattamento è sicuramente quello legato al protocollo adottato. Infatti, con un apprezzabile cambio nel corso dello sviluppo dell’applicazione, il team di sviluppatori è passato dal modello centralizzato PEPP-PT (Pan-European Privacy Preserving Proximity Tracing) a quello decentralizzato DP-3T (Decentralized Privacy-Preserving Proximity Tracing).

 

Centralizzare, decentralizzare, tra necessità, proporzionalità e somma zero

La scelta di optare per il modello decentralizzato per lo sviluppo di Immuni deve essere sicuramente salutata favorevolmente dal punto di vista della protezione e sicurezza dei dati personali. Infatti, sintetizzando all’estremo, l’incrocio tra i dati raccolti dal dispositivo di un soggetto trovato infetto e quelli di chi l’ha incontrato nell’intervallo di tempo rilevante avverrà unicamente presso ciascun dispositivo che monta la app Immuni. In questo modo viene eliminata la presenza di un database centrale presso cui astrattamente far incontrare i dati identificativi degli utenti, nonché l’esistenza di qualsiasi forma di autenticazione (ad esempio tramite sms o email) dell’utenza. Di conseguenza ciascun utente sospetto verrà raggiunto da una notifica che lo invita a contattare urgentemente il proprio medico, senza che tuttavia nessuna autorità sanitaria centrale ne abbia evidenza diretta, sia a fini di analisi che di enforcement. Ciò è sicuramente significativo. Infatti, per quanto sia sempre vero lo slogan per cui a livello di principio la protezione dei dati non si pone in antitesi con altre finalità meritevoli di tutela come la salute o la sicurezza nazionale, il tema del bilanciamento tra istanze contrapposte riemerge fra le pieghe concrete della tecnologia. La decentralizzazione, aumentando la sicurezza dell’informazione, erode al contempo le possibilità di creazione di valore aggiunto (ottenuta sfruttando l’aspetto quantitativo della raccolta da parte del gatekeeper centrale). Ancora, e questo rimane tra i punti aperti della app, l’assenza totale di meccanismi di autenticazione e associazione di identifier agli utenti, pur allontanando i timori di re-identificazione, reca con sé anche la minaccia di forme di inquinamento e annacquamento dei dati raccolti.

Si è consapevoli che non si tratti di valutazioni di semplice soluzione e si è al contempo lieti che sia passata la linea più protettiva, supportata anche dal Garante per la Protezione dei Dati Personali. Tuttavia è importante enfatizzare la non neutralità di simili scelte. Per noi pratici e appassionati della Privacy e della Protezione dei Dati l’opportunità di partecipare in maniera corale ad un dibattito tanto acceso quanto delicato è indubbiamente un’occasione unica. Basti pensare all’enorme esercizio di valutazione in ottica di Privacy-by-Design/Default, che tuttavia, come ricorda l’art. 25 del GDPR deve essere ripetuto non solo al momento di determinare i mezzi del trattamento ma anche “all’atto del trattamento stesso”. In sintesi, al di là del destino più o meno fortunato della app ed augurandoci che possa presto risultare inutile per il venir meno delle condizioni che ne hanno determinato lo sviluppo, e non per i ritardi con cui ha visto la luce, è importante sfruttare questa occasione per non fermarsi alla retorica della somma positiva nei giochi che vedono contrapposte privacy vs  sicurezza, privacy vssalute, ecc.; indagando nel dettaglio ciò che resta sul terreno a seconda delle scelte del titolare del trattamento.

Occorre poi tenere alta la guardia rispetto ai rischi di eccessiva polarizzazione sul tema del contact tracing, che rischia di far passare sotto silenzio ben altre insidie che provengono, ad esempio dal mondo dei droni.

E’ fuor di dubbio che la disponibilità diffusa e pronta di tecnologie, app, hardware e software possa costituire un aiuto valido nella lotta al virus, e non solo. Ma tale straordinaria potenza di fuoco hi-tech reca in sé una inedita minaccia ai diritti e alle libertà personali, ove non si rispettino i principi di proporzionalità, cosi come la regola dell’uso per fini determinati, nel rispetto delle misure di sicurezza più adeguate e per un periodo limitato di tempo.

 

 

Share this article!
Share.

About Author

Leave A Reply