Qualche riflessione su privacy e innovazioni tecnologiche nella lotta al Coronavirus
Poche cose come un’emergenza epidemica, come quella che ha colpito il nostro Paese e il resto del mondo, generano una fame di dati. Siamo abituati ormai tutti a vedere quelli aggregati forniti quotidianamente dalla Protezione Civile su contagi, ricoveri e, ahimè, decessi, ma la lotta al virus richiede informazioni molto più qualificate. Negli ultimi giorni si sente dire che il Governo italiano stia virando verso un uso più aggressivo della tecnologia nella lotta al Coronavirus, ispirandosi tra l’altro al c.d. modello (sud)coreano. Se ciò è vero, la nuova strategia finirà, quasi inevitabilmente, per porre questioni di privacy. Provo a fare qualche riflessione sul tema, senza pretese di completezza.
Il “modello coreano” è caratterizzato dall’uso intensivo di test diagnostici combinato a tecniche aggressive di contact tracing. Le autorità coreane hanno incrociato i dati sulla positività al virus del singolo contagiato con quelli sugli spostamenti individuali, estratti dai dispositivi GPS dei cellulari personali, dalle telecamere a circuito chiuso sparse sul territorio e dall’uso di carte di credito. Ciò ha permesso loro di ricostruire a ritroso con estrema precisione i movimenti del contagiato nei giorni precedenti all’esposizione, e così individuare i suoi contatti, esposti a loro volta al rischio di trasmissione del virus, per testarli o isolarli. E’ un metodo incredibilmente meno laborioso, più veloce ed efficace di quello tradizionale, che si basa su interviste personali,. Ma i Coreani si sono spinti oltre, inviando ai cittadini messaggi di testo che li informavano della cronologia dei movimenti di soggetti positivi al test nella loro zona di residenza, indicando l’età e il sesso del soggetto o dei soggetti in questione, per renderli meglio identificabili. L’idea sottostante è di indurre potenziali nuovi contagiati, sfuggiti all’indagine degli epidemiologi, a valutare in autonomia il proprio rischio di esposizione e farsi avanti spontaneamente, per essere eventualmente sottoposti a test diagnostico.
Allo stato, nessuna autorità italiana sembra aver adottato misure simili. Un esempio di uso molto più “morbido” di big data nella lotta al virus è il ricorso della Regione Lombardia alla collaborazione dei principali operatori telefonici per estrarre dall’analisi delle celle telefoniche dei dati aggregati (ergo, anonimi) sugli spostamenti dei residenti lombardi, per una valutazione d’insieme sul rispetto delle misure di contenimento e del social distancing.
Il vento che tira, tuttavia, specie le critiche che si levano ormai da settimane nella comunità scientifica circa l’inefficacia dell’indagine epidemiologica condotta nel nostro Paese, suggerisce che le cose stiano per cambiare. Anche se ciò è passato sotto traccia, nelle scorse settimane il Governo italiano ha preparato il terreno, non solo varando una serie di norme eccezionali direttamente incidenti sul diritto alla privacy (come vedremo più sotto), ma inserendo nel Decreto “Cura Italia” (D. l. n. 18 del 17 marzo 2020) un articolo, il 76, che prevede la nomina a supporto del Governo di un contingente di esperti con competenze tecnologiche “al fine di dare concreta attuazione alle misure adottate per il contrasto e il contenimento del diffondersi del virus COVID-19, con particolare riferimento all’introduzione di soluzioni di innovazione tecnologica (omissis)”.
In astratto, si può pensare a infiniti possibili usi della tecnologia per la raccolta e l’elaborazione di dati personali in un’emergenza epidemica come quella che stiamo vivendo. Nell’ambito della tele-medicina, ad esempio, per diagnosi a distanza e/o autodiagnosi e successiva trasmissione dei dati all’autorità sanitaria. Come strumento di indagine epidemiologica: contact tracing, che passa attraverso la ricostruzione della cronologia dei movimenti. Per il contenimento: verifica del rispetto della quarantena da parte dei soggetti in isolamento domiciliare; verifica del rispetto dei divieti di circolazione da parte della collettività. Per, naturalmente, la ricerca. In realtà, non serve eccessiva immaginazione per ipotizzare anche scenari vagamente più inquietanti, ad esempio, l’uso di tecniche di riconoscimento facciale per identificare soggetti positivi che circolano in divieto dell’obbligo di quarantena. Le strade astrattamente percorribili sono forse troppe per pretendere di fare un elenco anche solo approssimativamente esaustivo.
A prescindere da quali saranno le concrete misure adottate, è ragionevole prevedere che alcune di esse saranno caratterizzate dalla raccolta, l’elaborazione e l’incrocio di dati relativi allo stato di salute, dati biometrici (come quelli ottenuti ad esempio mediante i dispositivi di misurazione della temperatura corporea), dati di geo-localizzazione e tracciamento degli spostamenti.
Sempre ragionando in astratto, tali misure potrebbero richiedere, dal lato per così dire attivo, cioè del reperimento del dato, la collaborazione di diversi soggetti, pubblici e privati, in possesso di informazioni sulla posizione e i movimenti degli individui (aggregati o non): operatori di telecomunicazione, titolari di piattaforme social, titolari di app e fornitori di servizi che integrano la geo-localizzazione o che comunque consentono l’estrazione di informazioni di tracciamento (es. gestori di carte di credito, gestori di dispositivi tipo Telepass, società di trasporti ecc.). In alternativa, o in aggiunta, si potrebbe scegliere di ottenere parte dei dati direttamente alla fonte, cioè dall’individuo interessato – su base consensuale o non – ad esempio mediante installazione sul dispositivo mobile personale di app create ad hoc che consentano la geo-localizzazione.
Il coinvolgimento di soggetti privati in questo approccio tecnologico potrebbe, poi, assumere la forma dell’outsourcing, cioè di affidamento dello sviluppo e/o fornitura di servizi per l’acquisizione, conservazione ed elaborazione dei dati richiesti, come ad esempio app di telemedicina o di geo-localizzazione; ciò potrebbe comportare in certa misura una circolazione dei dati stessi tra soggetti pubblici e privati.
Ora, i dati personali oggetto dei trattamenti ipotizzati sopra sono tra i più protetti nell’ordinamento comunitario. Ciò emerge in particolare in relazione al tema del consenso. Nonostante quanto comunemente si crede, il consenso dell’interessato, nel sistema delineato dal Regolamento 2016/679/CE, c.d. “GDPR”, è, in generale, solo una delle possibili condizioni di liceità del trattamento di dati personali. Quando tuttavia si trattino dati personali biometrici, dati relativi alla salute e dati relativi all’ubicazione (limitatamente, però, a quelli a disposizione dei fornitori di reti e servizi di telecomunicazione), se essi non sono (o sono resi) anonimi, il previo consenso dell’interessato diventa la regola (cfr. art. 9 GDPR e art. 126 D. Lgs. 196/2003, c.d. Codice della privacy).
Tuttavia, le stesse norme che introducono la regola, tutte di origine comunitaria, prevedono contemporaneamente le eccezioni: per i dati biometrici e relativi alla salute, ad esempio, annoverati tra i dati c.d. “particolari”, consentendo agli Stati membri di introdurre deroghe alla regola del consenso nei casi in cui il trattamento sia necessario per “motivi di interesse pubblico rilevante”[1], per finalità di “medicina preventiva o di medicina del lavoro, assistenza o terapia sanitaria o sociale” o “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero”; per i dati di ubicazione nelle telecomunicazioni, per fini, tra gli altri, di sicurezza pubblica (arg. ex art. 15 Direttiva 2002/58). Per quanto riguarda, poi, i dati di ubicazione diversi da quelli delle telecomunicazioni – si pensi a quelli desumibili, ad esempio, dai GPS del cellulare – vale la regola generale (ex art. 6 GDPR) per cui, in alternativa al consenso, il trattamento dei dati può essere fondato, tra l’altro, sulla necessità di salvaguardare interessi vitali del diretto interessato o di terzi, o di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, secondo il diritto interno del singolo Stato membro.
Nel GDPR vi è poi una norma di chiusura, l’art. 23, che consente agli Stati membri di limitare con norme di diritto interno, per finalità e categorie di dati specifici, la portata di tutti gli obblighi e diritti che costituiscono l’ossatura del diritto alla privacy, allo scopo di salvaguardare interessi superiori, quali, ad esempio, la sicurezza pubblica o un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale.
È a queste eccezioni che si agganciano le recenti norme interne emergenziali in tema di privacy, cui ho accennato più sopra.
In particolare, il D.l. n. 14 del 9 marzo 2020 prevede, all’art. 14, che, fino al termine dello stato di emergenza dichiarato con delibera del Consiglio dei ministri del 31 gennaio 2020 (e, per ora, fissato in 6 mesi)[2] la Protezione Civile, gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del SSN e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure di contenimento dell’epidemia – tra cui polizia e forze armate – possano effettuare trattamenti, “ivi inclusa la comunicazione tra loro”, dei dati personali, “anche particolari”, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19.
Le finalità di questi trattamenti sono individuate dal decreto in “motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonché’ per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale” (è evidente qui il richiamo alle eccezioni previste dall’art. 9). I dati così trattati potranno essere comunicati anche a terzi “nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto”.
Senza soffermarmi sulla qualità della tecnica redazionale, che è figlia dell’emergenza, lo scopo o uno degli scopi primari di queste norme è, a mio parere, proprio quello di permettere a tutti i soggetti sopra menzionati di acquisire e comunicare tra loro, e a terzi eventualmente reclutati alla bisogna (come gli sviluppatori di app), i dati personali che potrebbero essere necessari per un uso della tecnologia più efficace nella lotta al Coronavirus, prescindendo dal consenso degli interessati. Cioè, tutti noi. E prescindendo, inoltre, dalla più rigorosa trasparenza su caratteristiche e scopi della raccolta, quanto meno nei confronti del singolo interessato: lo stesso articolo, al comma 5, consente infatti ai soggetti sopra indicati di omettere l’informativa agli interessati, o fornire loro un’informativa semplificata (deroga, questa, che trova legittimazione nell’art. 23 del GDPR sopra citato).
E così, quei soggetti ipoteticamente potranno, anche in assenza di consenso esplicito dell’interessato e di previa informativa: acquisire, conservare e trasmettere dati sulla positività al virus; tracciare a ritroso i movimenti dei contagiati a fini contact tracing, eventualmente attingendo diverse fonti di dati sugli spostamenti individuali, se del caso mediante app dedicate; trattare dati di geo-localizzazione in tempo reale, per assicurarsi il rispetto dei provvedimenti di quarantena; combinare ed incrociare tra loro tutti questi dati.
Non si tratta, però, di un’abdicazione integrale ai principi fondanti della privacy, che vanno ben oltre il requisito- che spesso riceve un’attenzione sproporzionata – del consenso (e che peraltro, come visto, non è mai stato un paradigma inviolabile nella normativa comunitaria, così come l’informativa). Lo stesso articolo 14, al comma 3, fa formalmente salvo il rispetto, nel trattamento dei dati per la lotta all’epidemia, dei principi di cui all’articolo 5 del GDPR: trasparenza, liceità, limitazione della finalità, minimizzazione, sicurezza, limitazione della conservazione.
La norma, infatti, come visto, ancora questi trattamenti a ben precise finalità contingenti: la protezione dalla diffusione del COVID-19 mediante adeguate misure di profilassi, la diagnosi e l’assistenza sanitaria dei contagiati, la gestione emergenziale del Servizio sanitario nazionale. Ciò significa, per cominciare, che una volta “esaurito lo scopo”, i dati così raccolti non dovrebbero essere conservati se non previa anonimizzazione, né utilizzati per finalità incompatibili con quelle dichiarate, con l’eccezione degli scopi di ricerca o statistici, che costituiscono un caso di “eterogenesi dei fini” consentito dall’ordinamento comunitario – e che, tuttavia, dovrebbero in larga parte poter essere assolti anonimizzando comunque i dati. Al riguardo, il comma 6 dell’art. 14 prevede espressamente, sebbene con espressione poco felice, che, al termine dello stato di emergenza, i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza “all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali”.
Il rispetto del principio di minimizzazione implica, d’altra parte, che nel trattare i dati raccolti si dovrà sempre prediligere, tra quelle astrattamente disponibili per il raggiungimento dello scopo immediato, la modalità che impatta meno sui diritti degli individui: se ad esempio lo scopo immediato è verificare la presenza di assembramenti pericolosi per il rischio di contagio, esso potrà essere raggiunto mediante l’analisi della concentrazione di dispositivi mobili in un determinato luogo, trattando esclusivamente dati anonimi.
Resta fermo, infine, l’obbligo di circondare questi dati di misure di sicurezza adeguate per prevenire il rischio di distruzione, dispersione e accesso da parte di soggetti non autorizzati. A questo riguardo, il coinvolgimento in outsourcing di terzi privati nelle attività di trattamento, ed in particolare nella veste di fornitori di piattaforme, software e servizi IT, prevedibilmente richiederà il loro inquadramento come “responsabili del trattamento” (data processor, secondo la meno ambigua terminologia in lingua inglese) e la loro contrattualizzazione con accordi di trattamento dei dati che prevedano, tra le altre cose, il divieto di trattamento delle informazioni personali per fini e per tempi diversi da quelli per cui sono affidati e l’applicazione di stringenti misure di sicurezza.
A mio parere, se le eccezioni qui descritte saranno applicate nei limiti dettati dai loro scopi dichiarati, il costo che esse comportano in termini di compressione della privacy è accettabile: il vantaggio che l’uso della tecnologia può dare nell’emergenza epidemica fa, infatti, pendere la bilancia dal lato dei benefici.
[1] L’Art. 2-sexies del nostro Codice della privacy specifica che, per l’ordinamento italiano, i trattamenti necessari per “motivi di interesse pubblico rilevante” ai sensi dell’art. 9 GDPR sono, tra gli altri, quelli effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri inerenti ai compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché’ compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica.
[2] Mi astengo volutamente da considerazioni circa la legittimità formale e sostanziale del ricorso a determinati strumenti normativi e il rispetto della gerarchia delle fonti (qui, peraltro, complicate dal fatto che la principale fonte normativa è di natura comunitaria), che eccederebbero le mie competenze e, per di più, sono state già ampiamente trattate da giuristi più qualificati.