La vicenda tutto sommato molto rapida legata dapprima alla diffusione della pandemia covid e oggi alla sua auspicabilmente altrettanto veloce e definitiva uscita dall’emergenza, ha avuto un riverbero anche sul tema dei diritti e delle libertà, e in particolare sul diritto fondamentale alla protezione dei dati personali, per almeno due ragioni contingenti e collegate tra loro. Da un lato, l’idea che uno degli strumenti impiegabili per contrastare la diffusione del virus e impedirne la ripartenza sia lo sviluppo di una app di contact tracing in grado di costruire una “mappa” dei contatti tra persone dichiarate positive dalle autorità sanitarie e persone che potrebbero diventare positive per effetto dei loro contatti (sul concetto di “mappa” si tornerà più avanti), in modo da consentire un più efficace e tempestivo intervento di profilassi da parte del sistema sanitario; dall’altro lato, il fatto che per costruire questa mappa fosse necessaria una conoscibilità, al di fuori della sfera personale, di alcune informazioni che tipicamente sono mantenute riservate (i nostri contatti), e che dunque la “privacy” dovesse fare posto a questa esigenza sanitaria di interesse collettivo. Sullo sfondo di questa esperienza contingente c’è però un interrogativo più radicale e di carattere generale, del quale questa applicazione di contact tracing è una manifestazione, sul ruolo che i trattamenti di dati personali hanno, o possono avere, nel ridurre i rischi che derivano da una nostra limitata conoscenza del mondo in cui viviamo e dalle incertezze in cui questa limitata conoscenza ci lascia, e se sia giusto che la “privacy” ceda il passo di volta in volta a questo tentativo di recupero sull’incertezza.
Tutta la parte iniziale di questa vicenda è stata caratterizzata da un approccio alla questione che, sulla spinta delle emozioni, ha fatto prevalere il conflitto tra diritti: quello alla privacy contro quello alla salute, con ovvia preferenza per quest’ultimo. Una visione in cui i diritti sono contrapposti e che porta inevitabilmente a ragionare in termini di relazione d’ordine e di prevalenze dell’uno sull’altro. Esiste però una possibilità alternativa, che in questi tempi molto compressi si è venuta ad affermare nel dibattito europeo, ovvero che la protezione dei dati abbia un ruolo di sostegno al diritto alla salute. Una visione collaborativa tra diritti, che offre molti spunti di riflessione e che può costituire un valido “schema di lavoro” per future situazioni assimilabili a quella che stiamo vivendo. Se, dunque, si ribalta la prospettiva da una visione conflittuale a una visione collaborativa, ecco che ci si accorge che il rispetto dei principi della protezione dei dati personali è ciò che serve per affrontare il problema contingente della realizzazione di una efficace app di contact tracing. Il richiamo alla trasparenza sulle modalità del trattamento genera la fiducia necessaria per scaricarla e usarla su larga scala, che è ciò che serve perché i desiderati effetti di riduzione dei contagi si realizzino. La minimizzazione allontana ogni rischio di possibili improprie classificazioni, e dunque stigmatizzazioni, dei partecipanti al sistema. La correttezza si traduce nella necessità di coinvolgere tutti e di non escludere dal sistema chi è meno acculturato digitalmente o ha a disposizione terminali di vecchia generazione, nello sforzo di non aggiungere al già presente digital divide un ulteriore e persino più discriminatorio health divide. La limitazione della finalità è garanzia di libertà nell’uso dell’app, per il solo scopo per cui essa è progettata, senza che questa sia percepita come una sorta di braccialetto elettronico che controlla i nostri movimenti. L’accuratezza dei dati (importantissima!) è ciò di cui proprio non si può fare a meno, se solo proviamo a immaginare cosa significa mettere in circolo un falso positivo o, peggio, un falso negativo: trasformare lo strumento in un generatore di angoscia, nel primo caso, o mancare del tutto l’obiettivo di tempestiva profilassi nel secondo caso. La sicurezza, infine, che deve guidare le scelte progettuali in modo da impedire che possano infiltrarsi nel sistema soggetti che, sfruttando la vulnerabilità dei partecipanti, tutti predisposti a ricevere qualche forma di assistenza, possano veicolare messaggi distorti o impedire che queste forme di assistenza arrivino correttamente a destinazione o producano il desiderato effetto. È solo un breve e rapido riepilogo, ma è estremamente indicativo per comprendere come la centralità della persona, che è il cuore della protezione dei dati personali, non deve indurre a porre la questione in termini di conflitto tra diritti e a ragionare in termini di deroga ai principi se altri diritti devono essere tutelati. Se si conoscesse la materia bisognerebbe invocare in questa, e in future simili circostanze, maggiore protezione dei dati personali, non una limitazione o addirittura una “sospensione della privacy”.
Un altro tema assai dibattuto è stato quello legato alla volontarietà sull’uso delle app. Nell’immediato, sia in sede nazionale sia in quella europea, l’indirizzo delle Autorità di protezione dei dati personali, ma anche quello dei Governi e della Commissione Europea è stato sin da subito, e unanimemente, di lasciare alle persone la libertà di aderire al sistema di tracciamento dei contatti. Essendo questo un trattamento di dati personali, ciò si è tradotto nella necessità di individuare il presupposto di legittimità più idoneo per incarnare questa libertà individuale, e l’esercizio non è semplice. L’ipotesi più immediata parrebbe la scelta di rimettere la partecipazione al sistema all’espressione di un consenso al trattamento dei dati personali. Tuttavia questa opzione presenta non piccole questioni di carattere pratico e, cosa che maggiormente ci deve interessare, alcuni problemi più sostanziali di applicazione. Innanzitutto, bisogna osservare che in una applicazione di contact tracing come quella a cui si è pensato non siamo in presenza di una relazione bilaterale titolare-interessato di tipo tradizionale, ma piuttosto di una relazione tra pari di tipo solidaristico e se viene meno la partecipazione di un soggetto, si genera un impatto sui suoi contatti. In altri termini siamo in presenza di un sistema che manifesta significative esternalità positive se vi è partecipazione, ma anche altrettanto significative, e probabilmente decisive, esternalità negative se la partecipazione viene a mancare. Questa “asimmetria solidaristica” (è bene partecipare, mentre è male non farlo) mal si presta ad essere incarnata dal consenso, perché l’espressione del consenso vale quanto la revoca e a rigore non si può preferire l’uno a discapito dell’altra; d’altro canto, la simmetria consenso-opposizione ha una sua precisa ragion d’essere per ribilanciare la forza del titolare in un quadro di relazioni bilaterali. In altri termini, con la simmetria tra espressione e revoca del consenso si bilancia l’asimmetria informativa e di forze che esiste tra titolare e interessato. Non è questo il caso nel contact tracing, e non sembra idoneo ricorrere al consenso per rappresentare la libertà di partecipazione. Vi è poi la questione legata alla autodeterminazione piena della persona, che mal si concilierebbe con iniziative di promozione dell’uso dell’app che presumibilmente saranno fatte dallo Stato, anche per voce di personalità pubbliche, in ragione della finalità di pubblico interesse per cui l’app è sviluppata. Parliamo di consenso, ma consenso non è, senza neppure considerare un ulteriore, concreto argomento a favore della non perfetta corrispondenza tra la libertà di espressione del consenso e la libertà di adesione al sistema. Su un piano più operativo, infatti, non si può non rilevare come le modalità realizzative dell’app, che richiedono l’interazione tra dispositivi radiomobili, implichino l’applicazione di diversi strumenti giuridici dell’Unione Europea e se si assume il consenso come espressione della volontà di adesione al sistema ci si trova a dover “gestire” diversi tipi di consenso. Vi è infatti almeno la necessità di esprimere il consenso al trattamento dei dati memorizzati sul terminale, ai sensi della direttiva e-privacy, e quello (o quelli) al trattamento di dati idonei a rivelare uno stato di salute riferibile (o riferibili) al Regolamento, con inevitabile esplosione combinatoria, essendo ciascun consenso indipendente ed egualmente specifico e libero.
Insomma, molte ragioni inducono alla cautela nell’assimilare il consenso alla manifestazione della volontà di adesione al sistema di contact tracing. Ma più che l’aspetto contingente, la questione “sullo sfondo” che questa discussione sul consenso rivela è quanto ci si sia trovati spiazzati rispetto alla risoluzione di un problema in effetti molto semplice, ovvero l’esigenza di trovare una idonea base giuridica per un trattamento effettuato da un soggetto pubblico nel pubblico interesse. Il fatto che si sia considerata e poi scartata, pressoché unanimemente in Europa, l’opzione del consenso ci dice che non abbiamo una risposta immediata e filtrata dall’esperienza a questo problema, e che se e quando si dovesse ripresentare il caso di un soggetto che sia in grado di realizzare un servizio nell’interesse collettivo dovremo ricominciare da capo una simile sequenza di considerazioni. È come se il Regolamento non offrisse soluzioni univoche sul modo in cui affrontare questo genere di problemi. Come se, alla prova della finalità solidaristica per cui il contact tracing è stato pensato, l’impianto bipolare prevalente titolare-interessato che informa tutto il Regolamento non fosse idoneo a fornire le giuste risposte. L’idea che un soggetto possa effettuare un trattamento nel beneficio di una collettività, prima ancora che nel proprio interesse o prima ancora che come fase di un sinallagma contrattuale non ci appare immediatamente messa a fuoco nel Regolamento, e il dibattito di questi mesi ci mostra come sia necessario esplorare per via interpretativa diversi presupposti giuridici, che magari presentano una diversa ratio.
Anche il ricorso a leggi nazionali che disciplinino questo genere di trattamenti rischia di tradursi, in questa lettura bipolare, tanto del Regolamento quanto della direttiva e-privacy, nell’applicazione di una deroga rispetto a obblighi e diritti e non invece nell’occasione di una più ricca specificazione delle regole a cui un trattamento molto complesso deve attenersi per essere realizzato in un quadro di garanzie e tutele per diritti e libertà individuali. Il nervo scoperto che affiora con la vicenda della pandemia covid è in realtà profondo e se nel Regolamento facciamo fatica a trovare la messa a fuoco di trattamenti, come il contact tracing, realizzati da un soggetto pubblico nel pubblico interesse, ancor più difficile ci appare l’identificazione di un percorso di compliance per trattamenti complessi, talora molto complessi, realizzati da un soggetto privato nell’interesse collettivo, come può essere ad esempio un motore di ricerca o un sistema di ranking, o realizzati da un raggruppamento di soggetti in forma disintermediata nell’interesse del gruppo stesso, come nel caso di una blockchain.
D’altro canto, come è di tutta evidenza, davanti a tecnologie che hanno la forza di imporsi per via degli innegabili vantaggi che offrono al singolo e alla collettività è necessario individuare un percorso di compliance per rafforzare tutele e fiducia nell’impiego della tecnologia stessa. Questo percorso non è più solamente giuridico, ma anche tecnologico. La tecnologia gioca dunque due ruoli: da una parte abilita il trattamento, dall’altra offre garanzie rispetto alla sua stessa forza. È il concetto di tutela integrata nel trattamento, che costituisce l’essenza della privacy by design. Come dunque, per riferirci all’esperienza più recente di un servizio il cui beneficio collettivo sperimentiamo ogni giorno, il de-listing è stata la forma di tutela integrata nel trattamento che ha consentito alla Corte di Giustizia Europea di realizzare il bilanciamento necessario per poter fondare il trattamento effettuato dal motore di ricerca sul presupposto giuridico del legittimo interesse del titolare, oggi e in futuro altre forme di tutela integrate nel trattamento possono e devono essere esplorate per dare un concreto fondamento giuridico a questi nuovi trattamenti complessi resi possibili dalle tecnologie.
Anche nel caso del contact tracing la tecnologia ha giocato un duplice ruolo: il sistema di trasmissione a bassa potenza Bluetooth ha reso possibile la costruzione di una mappa dei contatti, senza che fosse necessario un tracciamento di mobilità degli utenti (una mappa senza luoghi), abilitando lo sviluppo della app, e la pseudonimizzazione ha reso possibile una forma di tutela integrata nel trattamento tale da consentire la ricezione degli identificativi dei positivi da parte dei partecipanti al sistema, riducendo significativamente la possibilità di re-identificazione. Sul ruolo della pseudonimizzazione giova spendere qualche parola, proprio per traguardare il caso contingente e scorgere un possibile modus operandi per casi di trattamenti complessi che si verificheranno in futuro. La pseudonimizzazione non è una forma di anonimizzazione dei dati. Lo scopo della tutela che si vuole garantire con l’adozione di tecniche di pseudonimizzazione è ben compreso se si guarda la definizione del Regolamento, che la qualifica come il risultato di un trattamento di dati personali che non consente l’attribuzione di tale risultato a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a specifiche misure tecniche e organizzative di sicurezza. Nel contesto del contact tracinglo scopo della pseudonimizzazione è consentire la distribuzione ai partecipanti al sistema degli identificativi dei positivi (vale a dire il risultato della pseudonimizzazione) per verificare se ve ne sono tra i nostri contatti, ma non delle chiavi di co-decodifica (vale a dire l’informazione aggiuntiva), venendo a mancare le quali non è possibile effettuare il collegamento necessario per risalire all’identità di qualsiasi altro partecipante. Ciò non elimina la possibilità di re-identificazione ma la riduce significativamente, rendendola possibile per ragioni puramente funzionali all’operatività del sistema (nel momento in cui un soggetto si manifesta come positivo all’autorità sanitaria, che avvia il processo di distribuzione degli pseudonimi a tutti i partecipanti perché ciascuno localmente sul proprio dispositivo verifichi se ha avuto contatti stretti con un soggetto potenzialmente contagioso nelle ultime due settimane). Molti fattori contestuali possono infatti consentire una re-identificazione di un soggetto positivo, vuoi perché si può avere consuetudine con questo soggetto del quale si conosce direttamente la storia clinica, vuoi perché il contatto è stato di carattere eccezionale ed è maturato in un quadro di abitudinarietà dei comportamenti, tale da fare emergere immediatamente la verosimile relazione causa-effetto tra la ricezione di un alert e il soggetto che può averlo determinato.
È molto importante comprendere questi dettagli sul funzionamento del sistema e sulle sue vulnerabilità. Non è soltanto una questione terminologica, ma di sostanza. Parlare di dati anonimizzati nell’ambito del contact tracing è un grave errore e non consente ulteriori margini di tutela. Il trattamento di un dato anonimizzato non è più un trattamento di un dato personale e non vi è ragione di invocare ulteriori tutele. L’anonimizzazione è la massima tutela integrata nel trattamento possibile. Scambiare un dato pseudonimizzato per uno anonimizzato chiude il discorso a possibili ulteriori salvaguardie per gli interessati. Se non si percepisce il tipo di tutela integrato nel trattamento, lo scambio terminologico pseudonimizzazione-anonimizzazione diventa sostanza e il percorso di compliance è falsato e si interrompe, dando luogo a una compliance formale, di facciata.
L’eredità che la vicenda covid ci lascia già dal primo giorno di sperimentazione del complesso trattamento di contact tracing è proprio quella di invitarci a comprendere meglio il tipo di tutela tecnologica per individuare la più idonea tutela giuridica. L’una influenza l’altra. Il primo passo tecnologico determina il primo passo giuridico. Un altro esempio può servire a chiarire la complessità di questo esercizio che dovremo abituarci a fare in futuro. Molto si è discusso sulla scelta di un’architettura centralizzata o di una distribuita, e si è argomentato che l’architettura distribuita fosse maggiormente in linea con il rispetto del principio di minimizzazione. Anche qui, bisogna cercare di fare un passo in più rispetto allo schema bipolare per comprendere come sia sempre più difficile, man mano che la complessità tecnologica aumenta, individuare una soluzione che sia in assoluto preferibile, o più conforme al dettato normativo. È bene infatti precisare che, anche nell’ipotesi di approccio decentralizzato, come abbiamo visto è comunque necessaria la presenza di un punto centrale che nell’architettura generale del sistema svolga almeno una funzione di accertamento dello stato positivo degli utenti con sintomi e una di inoltro dei loro identificativi, sottoposti a procedimenti di pseudonimizzazione, che devono essere messi a disposizione di tutti i dispositivi terminali che partecipano al sistema. Siamo dunque, a rigore, non in presenza di un’architettura centralizzata e di una distribuita ma di due alternative tecniche che potremmo definire totalmente centralizzata, in cui l’accertamento dello stato di un soggetto positivo e il matching dei suoi contatti più stretti vengono effettuati centralmente, e semi-decentralizzata in cui l’accertamento dello stato è effettuato centralmente e il matching è effettuato localmente sui dispositivi degli utenti. L’applicazione dei principi della protezione dei dati personali nelle due alternative è differente, e se ci si sofferma unicamente su uno dei principi (ad esempio la minimizzazione) si rischia di non considerare debitamente l’impatto che le scelte tecnologiche generano sugli altri principi o sull’esercizio dei diritti. La minimizzazione della soluzione semi-decentralizzata riduce certamente il numero di trattamenti effettuati dal centro, ma aumenta necessariamente quelli effettuati in periferia, e richiede una trasmissione a tutti degli identificativi pseudonimizzati dei soggetti positivi, ossia una diffusione di dati relativi allo stato di salute. La minimizzazione della soluzione centralizzata, invece, aumenta il numero di trattamenti effettuati al centro, che è messo nelle condizioni di disegnare in modo più netto una mappa dei contatti, ma allo stesso tempo rende più selettivo l’inoltro degli identificativi pseudonimizzati, dando luogo a una più controllata comunicazione, e consentendo peraltro un più agevole esercizio del diritto di rettifica in caso di inoltro (per qualsiasi ragione, e in particolare per il sempre incombente errore umano) di falsi positivi. In presenza di un matching centralizzato anche nella malaugurata ipotesi di un falso positivo è comunque possibile effettuare l’invio di un secondo alert che annulla e sostituisce il precedente. Cosa molto più macchinosa, se non impossibile, nel caso di matchingdistribuito.
Ogni opzione tecnologica realizza dunque dei trade off, che bisogna conoscere bene per calibrare gli interventi giuridici in modo da raggiungere più compiutamente la realizzazione di un quadro efficace di tutele. Ignorarli o banalizzarli significa lasciare alla tecnologia oltre allo spazio funzionale che essa è in grado di prendersi per la sua forza di imporsi in ragione dei benefici che offre, anche lo spazio di regola globale de facto, sottraendo progressivamente al diritto margini di regolamentazione dei fenomeni tecnologici, per loro natura globali e transnazionali. Questa l’eredità sostanziale che il contact tracing sin dal suo primo giorno di messa in opera ci lascia e che richiederà in futuro le più lucide e lungimiranti riflessioni di tecnologi e giuristi.
