Nello scenario da incubo generato dall’inedita emergenza epidemiologica da Coronavirus Covid-19, appare sempre più condivisa l’idea per la quale diritto alla privacy e tutela della salute pubblica non possano coesistere. In questo senso, a partire dalle opinioni di amici e conoscenti per finire alle dichiarazioni rilasciate ai media da personaggi influenti, pare emergere un comune sentire.
E allora capita di doversi confrontare col pensiero di chi si dice convinto che la lotta contro la diffusione pandemica possa essere vinta solo se “non ci incartiamo nella privacy”. O addirittura con visioni più estreme che valutano i principi di protezione dati alla stregua di “sciocchezze” o suggeriscono che “bisognerebbe sospendere le norme sulla privacy e lasciare ai sistemi sanitari di essere un po’ più liberi”.
Sono affermazioni forti che provengono da esponenti del mondo dell’informazione, della scienza e della politica e che, dunque, impongono riflessioni profonde, anche per soccorrere le coscienze di chi, ponendosi come me a difesa dei diritti della sfera intima della persona, possa dubitare di sé e del rispetto per la vita umana che ha sempre ritenuto di nutrire come sentimento prevalente.
Il dibattito in corso pare ab origine viziato da un errore prospettico; la quasi totalità delle considerazioni sottoposte al pubblico è sviluppata sull’assunto di fondo che le esigenze di tutela della salute e quelle di tutela della privacy operino in contrapposizione. Una visione distorta che è necessario correggere perché l’antitesi, semplicemente, non sussiste.
E’ opportuno ricordare una, benché ovvia, premessa fondamentale che alcuni dei contributori al dibattito sembrano ignorare: il sistema giuridico che ordina i rapporti tra soggetti di diritto nelle società democratiche non è un sistema imbalsamato o congelato. Al contrario, prevede in sé meccanismi di adattamento al mutare delle esigenze collettive, di adeguamento alle nuove istanze sociali e di risposta agli eventi eccezionali.
Le valvole che regolano i meccanismi di espansione/compressione dei diversi diritti fondamentali che caratterizzano il nostro Ordinamento possono e devono essere maneggiate in modo equilibrato e nel rispetto dei principi, delle garanzie, delle forme, dei fini e dei limiti che il sistema si è dato. Questo perché il nostro sistema è, “by design”, predisposto a flettersi per trovare nuovi bilanciamenti (anche provvisori ed emergenziali).
Perché, dunque, alimentare l’idea che le norme a tutela della privacy siano solo un inutile intralcio, che ostacolino l’adozione delle necessarie misure di protezione della salute pubblica tanto che sia necessario sospenderne l’efficacia?
Al contrario, bisognerebbe riflettere sul fatto che proprio l’esistenza di un complesso impianto normativo a tutela della privacy e a garanzia della protezione dei dati personali permette di mantenere gli impulsi di compressione delle libertà individuali entro gli ambiti che i principi costituzionali e le carte internazionali dei diritti dell’uomo hanno circoscritto.
Quanto più una democrazia si dota di strumenti capaci di garantire la tutela effettiva dei diritti dei cittadini, tanto più questi possono sopportare l’imposizione – eccezionale e temporanea – di limiti al loro libero esercizio. Pertanto, non v’è ragione per cui, nel pubblico dibattito concernente le misure anti Covid-19, si prosegua nell’evocare antinomie, inconciliabilità, impedimenti dovuti alla presenza nel nostro sistema di un corpo di norme a protezione dei dati personali.
Estendendo il perimetro della riflessione, occorre notare che in questi giorni pare rafforzarsi la suggestione che sussista un ulteriore livello di contrapposizione che insisterebbe tra il mondo scientifico e dell’innovazione tecnologica (pratico ed efficiente), da un lato, e il mondo del diritto (astratto e inconcludente), dall’altro. Non solo: spesso si induce il pubblico a ritenere che il secondo sia d’intralcio al primo. Trattasi di semplificazioni – purtroppo ricorrenti in una comunicazione che ormai sembra accettare solo formulazioni brevi, elementari e drastiche – fuorvianti e inutili, se non dannose. A voler parafrasare Melchiorre Gioja, sembra che a impedire l’adozione di nuove e benefiche soluzioni tecnologiche vi siano file di “legulèi incapaci di ragionare, imbevuti […] delle antiche massime di Roma, ciechi a segno da non poter fare un passo, se una legge romana non li sorregge […] e vuoti di ragione, [che] dichiarerebbero che è illecito il mangiare, se Paolo o Modestino l’avessero deciso”.
Si osserva, dunque, che in molti reputano le regole di data protection d’ostacolo agli sforzi che stiamo producendo, o che potremmo produrre, per debellare il Covid-19. Questa percezione generalizzata ha preso una forma ancor più netta da quando, tra le soluzioni di contenimento della diffusione pandemica, viene prospettata, quale miglior rimedio anche per il nostro Paese, l’adozione di sistemi di tracciamento massivo e sistematico dei cittadini con conseguente creazione di amplissime banche dati popolate da informazioni processabili in modo automatizzato e sottoponibili a molteplici interconnessioni con altri database. C’è chi invoca l’importazione del “modello” cinese, oppure singaporiano o di quello coreano (che, quantomeno, ha il pregio di risultar più rassicurante per la coscienza democratica).
Quando si parla di sistemi di tracciamento degli smartphone, è necessario considerare i diversi livelli di accuratezza e profondità d’analisi che una specifica soluzione è in grado di raggiungere a seconda dei diversi “settaggi” spazio-temporali di raccolta dei dati, della possibilità di interfacciarsi con altre informazioni e della capacità di analisi tramite meccanismi di intelligenza progressiva. Non sfugge che col ricorso all’intelligenza artificiale, ad esempio con l’adozione di tecniche di “estrazione di conoscenza”, di “data mining”, la mole di informazioni acquisite con il cd. contact tracking (per rimanere alle proposte avanzate) è di per sé idonea a generarne quantità di molto superiori, meno generiche e più specifiche rispetto ad un sistema “piatto” di ricostruzione geo-spaziale di movimenti e contatti.
Si ritiene, dunque, doveroso riflettere sul fatto che i tracking data relativi agli spostamenti di un individuo – informazioni che ad una valutazione non accorta potrebbero sembrare poco significative, con impatto minimo sulla sfera personale – possono ricondurre a ulteriori elementi di conoscenza che possono vieppiù incidere sui diritti fondamentali della persona in ragione della durata, dell’ampiezza e della sistematicità del tracciamento.
Un’indagine condotta dal New York Times ha analizzato trattamenti operati su immense banche di dati relativi agli spostamenti e alla localizzazione geografica di cittadini americani. I risultati sono stati esposti in un reportage di fine 2019 denominato “How your phone betrays democracy” che ha ben definito “tradimento” della democrazia l’effetto che potrebbe derivare dall’uso di tecniche sempre invasive della sfera privata. Si è evidenziato, in particolare, che anche la semplice rilevazione effettuata col tracciamento dei ping di localizzazione dei dispositivi mobili – grazie a tecniche automatizzate di analisi delle routine – consente l’identificazione delle singole utenze (e, dunque, singolarmente gli utenti).
Già nell’ambito di questa indagine, il cui ambito si estende a dati personali raccolti in specifici eventi risalenti già al 2016, è stato rappresentato con preoccupazione come sul piano culturale si siano avviati processi di “convincimento” dell’opinione pubblica all’accettazione dell’intromissione nella sfera personale da parte di soggetti terzi. Processi che si sono originati in alcune delle nazioni asiatiche tecnologicamente più evolute, la Cina su tutte, ma che incominciano a far breccia nei dibattiti pubblici interni alle democrazie occidentali.
Il NYT ha evidenziato le perplessità che un simile scenario desta anche in autorevoli esponenti della comunità scientifica, non parrucconi burocrati o polverosi giuristi, tra cui l’italiano Carlo Ratti (professore al M.I.T. di Boston, oggi agli onori delle cronache anche per aver sviluppato il progetto CuraPod nell’ambito del contrasto al Covid-19) secondo cui “[…] il controllo asimmetrico dell’informazione è molto pericoloso. Che sia un’azienda o uno stato, chi detiene il potere informativo può distruggere un’opponente prima ancora che si sia organizzato. Se si imbocca questa strada può essere si determina una situazione pericolosa e volatile”.
Tornando al dibattito corrente sul tracciamento delle persone come misura anti pandemica, non sono mancati riferimenti a possibili modalità di monitoraggio che non consentono l’identificazione diretta dell’interessato. Sono diversi gli opinionisti che in questi giorni hanno affermato che sarebbe inappropriata ogni perplessità sollevata in tema di privacy, magari asserendo – in modo avventato e poco avveduto – che i “modelli” tracciamento presi in considerazione si baseranno su trattamenti di dati anonimi.
In questo caso il tema è: i dati sarebbero anonimi o solo apparentemente tali? E’ noto che un dato è considerato personale se riferibile in modo diretto o indiretto a soggetti determinati o determinabili (Cfr. art. 4 GDPR), e questa definizione contiene in sé una verità tanto banale quanto incontrovertibile: l’informazione che è capace di impattare sulla sfera personale è quella che in qualunque modo (anche a seguito di tecniche di trattamento, o col ricorso a informazioni aggiuntive come nel caso della pseudonimizzazione) è ricollegabile specificamente a un dato individuo.
Se si avesse la certezza di operare su dati anonimi non si porrebbe affatto un problema di privacy, al punto che la normativa di settore non sarebbe neanche applicabile ai trattamenti operati.
Ma, come detto, la criticità riguarda la effettiva o apparente anonimizzazione del dato. Sul punto, uno studio condotto dall’Imperial College di Londra pubblicato su Nature Communications ha dimostrato come l’uso di algoritmi machine learning, di retro-ingegnerizzazione e il ricorso ai cd. generative models rendano possibile ricondurre dati considerati anonimi ai rispettivi interessati, con il potenziale effetto – tipico delle tecniche applicate ai trattamenti operati sui big data- di produrre output di profilazione comportamentale, i cui risultati si prestano ai più svariati utilizzi, leciti o illeciti, palesi od occulti.
E’ anche per la consapevolezza della capacità lesiva dell’uso incontrollato di informazioni personali che l’approccio alla regolamentazione della materia adottato dalle democrazie dell’area UE con il GDPR si fonda sull’intangibilità del diritto alla tutela della sfera personale quale ambito primario in cui si svolge e si realizza la personalità dell’individuo, quale presupposto della piena ed effettiva realizzazione di ogni libertà individuale, quale presidio essenziale di dignità e di eguaglianza.
Difesa e baluardo contro ogni aggressione alla libertà, all’eguaglianza e alla dignità che “definisce la posizione di ciascuno nella società”. Questo è il basamento su cui si sorregge la normativa di privacy, il cui significato “[…] si è progressivamente evoluto affiancando alla tutela dell’intimità e della segretezza l’obiettivo di contrastare possibili discriminazioni, di rendere effettiva l’eguaglianza. Così cambia profondamente la funzione socio-politica della privacy, che si proietta ben al di là della sfera privata, divenendo elemento costitutivo della cittadinanza del nuovo millennio” (26a Conferenza Internazionale sulla Privacy e sulla Protezione dei Dati Personali – Wroclaw (PL), 14, 15, 16 settembre 2004 – Stefano Rodotà).
Ferme queste premesse, vale la pena di evidenziare alcuni fatti, con l’auspicio che da soli bastino a stimolare le giuste riflessioni.
In Corea del Sud (a voler considerare il sistema/modello più vicino alle organizzazioni democratiche occidentali) il ricorso alle nuove tecnologie è considerevolmente più diffuso tra la popolazione di quanto non lo sia in Italia, ed ha raggiunto un livello di pervasività tale (97% abitazioni connesse a banda larga) da aver prodotto effetti negativi, già testati, sulla salute della popolazione.
Molti tratti della modernità coreana e della totale digitalizzazione del suo modello sociale mostrano i segni di una società distopica.
È noto il fenomeno della cd. digital dementia e lo sono altrettanto gli studi condotti in quelle regioni che hanno rilevato come la diffusione capillare e assoluta di nuove tecnologie abbia causato il mutamento della neuro plasticità del cervello di molti cittadini (come rilevato in particolare nei soggetti che – con chiaro riferimento alla loro dipendenza dall’uso delle nuove tecnologie – vengono definite networked persons).
Gioverebbe pure conoscere i report, anche recenti, di organizzazioni internazionali o i dossier di centri di studio dei meccanismi di promozione dei diritti umani per rendersi immediatamente conto di come in Corea del Sud la coscienza dell’inviolabilità dei diritti della persona (libertà di movimento, di espressione, di riunione, di determinazione, ecc.) non sia ancora del tutto matura. Il ricercatore di Amnesty International sull’Asia orientale Arnold Fang, stigmatizzando il comportamento delle due Coree, ha lamentato che in “ambo i lati, le autorità non dovrebbero più usare l’argomento della sicurezza nazionale come scusa per limitare arbitrariamente l’esercizio dei diritti umani, soprattutto i diritti alla libertà di espressione, di opinione, di pensiero e di movimento”.
Lascio ad altri e ad altre sedi più opportune ogni valutazione di merito, ma non si può disconoscere il fatto che la maggiore resistenza che si oppone alla compressione delle libertà fondamentali in Italia (direi in UE e nelle democrazie occidentali in generale) si è consolidata nel lungo e difficile percorso che, muovendo dal riconoscimento (ormai maturo) dei diritti dell’uomo, si pone come meta la realizzazione delle condizioni che ne rendano effettiva la protezione.
Allora il fuoco del dibattito, assodata la prevalenza del diritto alla salute e alla vita, deve mirare alla determinazione del limite da porre alla compressione di alcuni diritti (ugualmente inviolabili) quale quello alla protezione della sfera personale (ma lo stesso approfondimento potrebbe essere dedicato al diritto alla libertà di movimento ex art. 16 Costituzione), per scongiurare la lesione della “dignità” che definisce la posizione nella società di ciascun individuo in rapporto con gli altri.
Questo è il limite che traccia la normativa sulla privacy. Non limite all’uso della tecnologia utile alla migliore applicazione delle più moderne tecniche di contenimento della diffusione della pandemia, ma limite all’abuso di essa. Impedimento all’uso indiscriminato di informazioni e vincolo del trattamento a finalità specifiche e non oltre il periodo di eccezionale e contingente emergenza.
La valutazione del ruolo che il sistema di norme sulla privacy svolge nell’attività di contrasto alla diffusione della pandemia in corso deve, dunque, necessariamente passare attraverso la “comprensione” di esso. Questo sforzo aiuterebbe a cogliere parecchi spunti interessanti che superano le frettolose critiche che sono state mosse:
- la normativa in parola non mira alla protezione del dato personale in sé considerato. Basterebbe far caso che la rubrica del GDPR lo definisce come “[…] relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”. Cioè basterebbe far caso al fatto che oggetto della protezione non è “la privacy” (come spesso approssimativamente definita) ma è, piuttosto, la persona fisica in relazione alla protezione e alla libera circolazione dei dati che la riguardano
- lo stesso GDPR afferma “Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.” (Cfr. Considerando 4)
- il GDPR tiene conto del fatto che “la tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.” Fine dichiarato, dunque, non è quello di impedire o limitare la circolazione dei dati personali, ma al contrario agevolarla con modalità sicure (cfr. Considerando 6)
- per far ciò la normativa si pone l’obiettivo di creare il necessario “clima di fiducia” in ordine ai trattamenti di dati personali e quello di far in modo che “le persone fisiche abbiano il controllo dei dati personali che li riguardano” (Cfr. Considerando 7);
- “alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana” (Cfr. Considerando 46)
- “la deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell’Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, laddove ciò avvenga nell’interesse pubblico […] e per finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute. Tale deroga può avere luogo per finalità inerenti alla salute, compresa la sanità pubblica e la gestione dei servizi di assistenza sanitaria, […]” ( Considerando 52)
- il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell’interessato (Cfr. Considerando 54);
- il trattamento viene considerato lecito se e nella misura in cui ricorre almeno una delle seguenti condizioni: “[…] il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (art. 6 paragrafo 1 lettera d) ed e))
- il trattamento di dati sensibili è lecito quando “è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (Art. 9 par 2 lettera g); il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (Art. 9 par 2 lettera i); il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (Art. 9 par 2 lettera j)
- “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento” ( Cfr. art. 2 ter paragrafo 1 d.lgs. 196/03 come modificato dal d.lgs. 101/18)
- “con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento, il Garante può’, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento e’ tenuto ad adottare” (Cfr. articolo 2-quinquiesdecies lgs. 196/03 come modificato dal d.lgs. 101/18 ). “Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica;[…] A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo.[…]” (Cfr. art 15 Dir. 2002/58/CE – Eprivacy )
Il caso dell’eccezionalità, dell’emergenza temporanea, del contrasto possibile tra diritto di privacy e altri diritti della persona prevalenti sono dunque chiaramente disciplinati all’interno di una normativa che si distingue per completezza ed elasticità.
A nulla serve invocarne la sospensione additandola quale ostacolo alla difesa della salute del cittadino.
Lungo questo sentiero si sono mosse le Autority competenti. Già il 2 marzo u.s.il Garante per la protezione dei dati personali ha espresso un parere – richiesto in merito alla prassi invalsa tra soggetti privati (datori di lavoro) di raccogliere dati personali anche sensibili di lavoratori (propri e di terze parti) – ribadendo il divieto insuperabile all’adozione di misure “fai da te” nella raccolta dei dati e richiamando alle regole esistenti già idonee all’applicazione di misure ritenute necessarie dalla comunità medico/scientifica.
Anche l’European Data Protection Board (EDPB) ha prodotto un intervento specifico emanando uno “Statement on the processing of personal data in the context of the COVID-19 outbreak” il 19 marzo 2020, con cui ha ribadito che il GDPR non contiene alcun ostacolo al trattamento di dati personali resisi necessari nella condizione di pandemia mondiale attuale, e che esso autorizza le competenti Autorità pubbliche al trattamento di dati prescindendo dal consenso degli interessati e in forza di altre basi giuridiche, pur nel permanere dell’obbligo imposto a Titolari e Responsabili di trattamento di assicurare la protezione dei dati personali. Con riferimento particolare al “processing telecom data” l’EDPB ha richiamato anche la direttiva e-privacy nel punto in cui espressamente prevede la possibilità che gli stati membri si dotino con la propria legislazione di misure volte alla salvaguardia della pubblica sicurezza, purché tali misure siano necessarie, appropriate, e proporzionate in relazione alla società democratica, oltre che limitate alla durata dell’emergenza se scaturite da uno stato di emergenza.
E ancora, il Garante della protezione dei dati personali il 29 marzo 2020 si è espresso indicando i criteri da seguire nelle operazioni di tracciamento; oltre a ribadire la centralità di principi di proporzionalità, minimizzazione, ragionevolezza e temporaneità ha sollecitato l’attenzione sul ruolo di sostegno che l’applicazione della normativa sulla privacy può apportare all’utilizzo di nuove tecnologie per operazioni di trattamento su larga scala. Sul punto, l’attenzione è posta al principio di “esattezza” dei dati personali (Cfr. art. 5.1.d GDPR), e più in generale sul concetto di “qualità del dato”, che è elemento necessario e presupposto indefettibile alla realizzazione delle finalità dei trattamenti.
Il 3 aprile 2020, l’EDPB ha comunicato il proprio impegno per accelerare i lavori finalizzati a fornire quanto prima indicazioni – specie in tema di basi giuridiche e principi legali applicabili – circa:
- l’uso dei dati di localizzazione;
- l’anonimizzazione delle informazioni;
- i trattamenti di dati sulla salute per finalità scientifiche e di ricerca;
- i trattamenti di dati effettuati tramite tecnologie che consentono lo smart working.
Se è vero, dunque, che il corpus di norme poste a tutela della privacy e a protezione dei dati personali non ostacola in alcun modo l’uso (ma solo l’abuso) di evolute tecniche di trattamenti automatizzati su big data, se è vero che la sua corretta applicazione è di sostegno al raggiungimento dei fini che giustificano i trattamenti, se è vero che alcuni trattamenti altamente impattanti sulla sfera personale possono comunque trovare la loro base giuridica nella legge, se è vero che il background culturale e sociale che fa da sfondo ai modelli proposti è assai poco (o per niente) ispirato a principi realmente democratici e rispettosi dei diritti inviolabili della persona, allora, forse, sarebbe consigliabile maggiore cautela e rigore quando ci si muove lungo quella che S. Rodotà ci ha descritto come “la sottile frontiera che separa gli interventi corretti di bilanciamento tra la privacy e gli altri valori dalle limitazioni che possono snaturare i caratteri della democrazia”.
