In un’epoca in cui si cerca di apparire ad ogni costo, che siano media tradizionali o le reti di social network poco importa, pochi illuminati filosofi, sociologi o antropologi si trovano a pensare alle conseguenze di una tracciabilità totale della popolazione per l’emergenza Covid-19. La discussione si sviluppa intorno all’eterno dilemma tra libertà individuale e utilità pubblica.
Le tecnologie non mancano, esistono da parecchi anni in realtà. Le compagnie telefoniche possono in qualsiasi momento avere a disposizione i dati che registrano ogni nostro spostamento, ogni nostra telefonata, ogni acquisto: ogni cella telefonica un tassello della nostra storia. Dati personali, sensibili o meno. Ma in molti casi non sono più solo nostri, perché abbiamo da tempo consegnato la nostra identità digitale- che non ha nessuna differenza da quella fisica- alle web company, alle compagnie telefoniche, ai premi online, che gestiscono con il nostro permesso lo sfruttamento commerciale delle preziose informazioni. Allora perché scandalizzarsi del passo successivo. Ossia la tracciabilità governativa? Il controllo messo in atto dalla Corea del Sud è stato massiccio e ramificato. La possibilità di inviare continuamente SMS per informare la popolazione, per ricordare il rispetto delle regole. Ma si è andati oltre, ossia la completa tracciabilità e pubblicità delle persone infette. Con un evidente sovraesposizione sociale non utile allo scopo: per salvaguardare la salute pubblica si è superato il limite della libertà individuale. Certo, i risultati sono evidenti agli occhi del mondo. I contagi sono diminuiti moltissimo, così come i decessi. Ma aver fatto 200 mila tamponi, con il metodo drive-thru, forse è stato ancora più efficace.
La Cina ha usato una App creata dal gigante Ali Baba per poter raccogliere più dati possibili sugli iscritti e sui loro movimenti, ma soprattutto sui movimenti e gli incontri di chi era stato a contatto con gli infettati delle zone rosse. Anche quì il controllo della privacy è stato forse superato dall’emergenza sanitaria nazionale. E in Cina il diritto individuale vale meno di quello collettivo, nel male e nel bene.
L’emergenza italiana ha usato molto poco le tecnologie digitali per organizzare il lavoro, raccogliere informazioni, prevedere i contagi. Si usano ovviamente i modelli matematici a disposizione per fare previsioni statistiche sull’espansione del virus. L’ansia iniziale per l’individuazione del paziente zero è stata dettata dalla lentezza delle operazioni. Come ci dice Stefano Epifani sul suo sito thecheconomy2030 “La ricerca del famoso Paziente Zero: il racconto della cronaca ci dice di come siano state effettuate interviste per comprendere i movimenti delle persone e tracciarne le attività. Interviste. Ossia: nell’era dei big data e dell’intelligenza artificiale, nell’epoca del 5g e dell’always-on, siamo andati ad intervistare le persone. Una ad una. Abbiamo la possibilità di tracciare movimenti tramite gli smartphone. Ogni utente ha archiviata nel suo telefono la traccia dei suoi spostamenti. Chiunque ha ogni movimento geo-referenziato. E noi, nel momento di massima allerta, facciamo interviste. Non sarebbe stato più semplice guardare ai dati conservati negli smartphone? O alle celle telefoniche? Certo. Ma questo pone un problema: quando è lecito usare questi strumenti? E con che metodi? È opportuno che la compagnia telefonica comunichi agli enti preposti i movimenti dei cittadini coinvolti? E se si, di quali? Di tutti o di quelli che sono risultati positivi allo screening?”
Domande lecite.
E’ di poche ore fa la notizia che Israele ha mobilitato l’Intelligence per controllare la popolazione. “Niente di invasivo”, ha dichiarato il capo dei servizi segreti, “non useremo il controllo biometrico, anche se abbiamo la disponibilità tecnologica”. Si controlleranno i movimenti di tutti i cittadini che si presumono contagiati o che abbiamo frequentato gli stessi luoghi di chi è già infetto.
La tendenza sembrerebbe essere quella di risolvere la battaglia al virus attraverso il superamento delle libertà individuali. La società contemporanea potrebbe somigliare sempre più all’episodio della serie Black Mirror “Ricordi pericolosi”, il terzo ed ultimo episodio della prima stagione è ambientato in una realtà alternativa, nella quale la maggior parte delle persone ha un “grain” impiantato dietro l’orecchio, che registra tutto ciò che si fa, vede o sente. Il dispositivo consente dunque la riproduzione dei ricordi davanti agli occhi del proprietario o su uno schermo attraverso un processo conosciuto come “re-do”, esattamente come dei video (wikipedia).
Le istituzioni europee hanno segnato dei confini sempre più precisi che dovrebbero difendere le libertà individuali, compreso quello del diritto all’oblio. Sappiamo che è difficilissimo sparire dal web, cancellare la nostra memoria digitale. Se i dati che riguardano la nostra salute fossero a disposizione di tutti, verrebbe meno il diritto all’integrità della nostra stessa identità. Il discorso non può essere risolto solo a livello legislativo o giuridico. L’etica ha, o dovrebbe avere, un peso sempre più grande nelle decisioni politiche che riguardano argomenti per cui non si hanno gli strumenti adatti per decidere a livello universale.
Abbiamo intervistato l’Avvocato e docente Francesco Paolo Micozzi, uno dei maggiori esperti italiani in materia*.
Professore, se questo metodo fosse usato in Italia?
Mettiamo pure che succeda, ma chi gestirà e userà i dati raccolti? La protezione civile, l’ISS? E che fine farà il database? Il server sarà in Italia? Chi sarà il proprietario?
Il problema viene all’attenzione della società moderna proprio in questi giorni in cui sempre più spesso si invoca l’impiego delle nuove tecnologie per contrastare l’espansione di questa pandemia. Esistono vari strumenti che consentirebbero di ottimizzare le risorse sfruttando i sistemi di monitoraggio esistenti. In che senso ottimizzare le risorse? Noi tutti sappiamo che (e lo sentiamo dalla cronaca quotidiana) dispositivi di prevenzione (mascherine) o dispositivi di diagnosi (tamponi) o anche strumenti di cura (respiratori automatici) sono disponibili in un numero limitato, e quindi, ottimizzare le risorse significherebbe usare interventi mirati, conoscendo già dove, come e con quale velocità il virus si diffonda.
Gli esempi che abbiamo visto in giro per il mondo provengono da paesi che non brillano per rispetto dei diritti umani, tuttavia assistiamo sempre più spesso a un dibattito pubblico in cui sembra quasi volersi creare la contrapposizione tra due interessi apparentemente contrapposti (da un lato l’interesse del singolo alla tutela dei dati personali e dall’altro l’interesse alla salute pubblica) ma che, in realtà, sono assolutamente conciliabili. Non dobbiamo, infatti, commettere l’errore di ritenere che il diritto fondamentale alla tutela dei dati personali possa essere messo in stand by o vi si possa abdicare nell’esclusivo interesse della salute pubblica. Molti dicono “non ci interessano i dati del singolo se può essere tutelato l’interesse pubblico alla salute”. Questo sarebbe un gravissimo errore e dobbiamo cercare di evitarlo. Ma in che modo? Contemperando, come detto, i diversi interessi in gioco.
Noi abbiamo delle norme a livello europeo – come il Regolamento europeo per la protezione dei dati personali (GDPR) e ancora la direttiva e-privacy – che non hanno bisogno di essere modificate per far fronte alla situazione emergenziale imposta dal COVID-19. Sarebbe sufficiente, invece, adottare le soluzioni che già sono previste da questa normativa sulla protezione dei dati. Per capire se le esperienze che abbiamo appena visto (come ad esempio quella della Corea del Sud) siano replicabili anche da noi dobbiamo esaminare la disciplina vigente. L’articolo 126 del codice della privacy impedisce che i dati di geolocalizzazione a disposizione dei gestori dei servizi di telefonia mobile siano usati (se non anonimizzati) per finalità diverse da quelle previste dallo stesso articolo 126 da parte dei gestori di telefonia mobile. Consideriamo anche che questo articolo è diretta applicazione dell’articolo 9 della direttiva e-privacy, e ciò significa che il Parlamento (con legge) o il Governo (con decreto-legge) non potrebbe modificare l’articolo 126 del codice privacy se non nel rispetto delle garanzie previste dall’articolo 15 della direttiva e-privacy (in caso contrario l’Italia potrebbe essere condannata dalle corti europee).
Nelle ultime ore si è appreso dai media che la Regione Lombardia ha richiesto ai gestori di telefonia mobile dati anonimi di geolocalizzazione per valutare in che modo, nella regione Lombardia, siano rispettate le limitazioni di movimento imposte ai cittadini. Dall’analisi di questi dati si è scoperto che circa il 40% degli utenti probabilmente violi le prescrizioni allontanandosi per più di 300 metri. Questo dal punto di vista della normativa sulla protezione dei dati personali non crea alcun problema proprio perché si tratta di dati anonimi. Oltretutto il dato anonimo non essendo un dato personale non rientra nemmeno in ambito di applicazione del GDPR.
Quindi al momento ciò che possiamo dire è che sebbene il DL 14/2020 abbia introdotto delle rilevanti novità (all’articolo 14) in materia di protezione dei dati personali ai tempi del coronavirus semplificando i trattamenti occorre considerare che: 1) i soggetti interessati da questa “semplificazione” alla siano esclusivamente i soggetti istituzionalmente deputati a occuparsi dell’emergenza; 2) i dati relativi allo stato di salute non possono essere diffusi (con il concetto di diffusione ci si riferisce a tutte quelle ipotesi in cui un dato personale venga messo a disposizione di una serie indeterminata e indeterminabile di soggetti, come avviene nelle pubblicazioni online); 3) queste norme di semplificazione sono applicabili soltanto finché perduri lo stato di emergenza. Una volta cessato questo stato di emergenza la situazione dovrà essere riportata alla normalità e quindi quei dati personali che siano stati trattati per finalità di tutela della salute pubblica durante la fase di emergenza, dovranno essere cancellati e comunque non potranno essere riconvertiti a soddisfare scopi diversi da quelli per i quali erano stati originariamente trattati).
Può un Governo, seppur in un caso di emergenza come questo, usare le reti telefoniche per tracciare ogni cittadino sospetto di essere infettato?
In base alla normativa attuale, come abbiamo visto, potranno essere trattati senza alcuna difficoltà i dati anonimi relativi alla geolocalizzazione degli utenti dei servizi di telefonia mobile. Altre soluzioni potranno essere introdotte e disciplinate anche con legge nazionale (o atto avente forza di legge) sempre che siano rispettati i limiti previsti dall’articolo 15 della direttiva e-privacy.
Quali conseguenze potrebbe avere un passo del genere per il futuro della società contemporanea?
Le conseguenze (soprattutto quelle pericolose) che possiamo ipotizzare sono proprio quelle che si vogliono scongiurare con l’applicazione fedele della disciplina sulla protezione dei dati personali. Spesso non pensiamo a quale mole di dati personali vengono raccolti, trattati, immagazzinati e conservati al giorno d’oggi e ancora più difficilmente possiamo riuscire a ipotizzare quali tipi di trattamenti potrebbero essere posti in essere fra vent’anni con le tecnologie che avremo fra vent’anni. Poiché il futuro è incerto e dal trattamento dei dati personali possono derivare compressioni importanti (se non compromissioni) ai diritti fondamentali allora capiamo che è molto importante rispettare oggi la disciplina in materia di protezione dei dati personali per evitare di dovercene pentire un domani. Pensiamo solamente a quante persone si sarebbero potute salvare durante il periodo nazista i dati relativi fossero stati tutelati in modo forte dati come quelli relativi allo stato di salute o al credo religioso. Consideriamo, infatti, che il concetto di dato sensibile è stato elaborato negli anni ’50, immediatamente dopo l’esperienza nazista, e che sono stati definiti “sensibili” proprio quei dati personali la cui libera disponibilità ha determinato la deportazione e il campo di concentramento per milioni di persone.
Il caso più importante che precede la pandemia provocata dal virus Covid-19 è quello della terribile epidemia dell’Ebola nel 2014. In quel caso sarebbe stato vitale l’utilizzo dei big data legati alle informazioni sanitarie “...with CDRs, the information is logged in real time. If this method could be effectively implemented in a place like Sierra Leone, researchers could track population flow, thus anticipating where the disease might spread before it even gets there. Then health officials could put proper protocols in places. (fonte pri.org). Ma questo non avvenne, per il rifiuto delle compagnie telefoniche e del governo che non obbligò le compagnie a fornirli. Qual è il suo parere sull’utilizzo dei dati in questo caso di necessità?
La disciplina in materia di protezione dei dati personali non deve essere mai intesa quale ostacolo al progresso tecnologico o al contrasto di situazioni emergenziali come quelle che ci troviamo a vivere oggi. Il contemperamento degli interessi in gioco può essere fatto nel rispetto dei principi generali delle norme in materia di protezione dei dati personali e tra tali principi dobbiamo innanzitutto considerare quello di minimizzazione del trattamento in base al quale possono essere trattati solamente i dati personali che risultino necessari per fronteggiare l’emergenza, solo dai soggetti deputati a fronteggiare l’emergenza e soltanto per il periodo in cui perduri l’emergenza.
Quando parliamo di open data, si badi, non stiamo parlando necessariamente di dati anonimi (sottratti alla disciplina in materia di protezione dei dati personali) posto che abbiamo ipotesi di open data (secondo la definizione data dal codice dell’amministrazione digitale) che contengono anche dati personali. In linea di principio dovrebbero preferirsi i dataset opendata anonimi. Soltanto laddove questi non siano sufficienti si potrà ricorrere ai dati personali nel rispetto dei principi e delle disposizioni di cui si è detto.
* Francesco Paolo Micozzi. Avvocato cassazionista presso Array, Professore a contratto di Cybercrime e Digital Forensics presso Master Data Protection Cybersecurity Digital Forensic UniPg e Professore a contratto di Informatica Giuridica presso Università degli Studi di Perugia
1 thought on “Tracciare il virus. Il dilemma tra libertà e salute. Intervista a Francesco Paolo Micozzi”