Coronavirus: l’uso della tecnologia, il modello coreano e la tutela dei dati personali
19 min letturaVorresti sapere se il tuo vicino è contagiato dal coronavirus? Vorresti sapere se nel negozio dove ti trovi adesso è passato un contagiato dal coronavirus?
Probabilmente sono queste le domande che tutti si pongono, per le quali, però, le risposte non sono semplici. L’innato istinto di sopravvivenza potrebbe far pendere la bilancia verso una maggiore trasparenza e sicurezza, ma la tutela dei diritti (e in particolare il diritto a non essere discriminati) non può essere cancellata. Compito dello Stato è bilanciare i diritti in gioco.
Lo Stato ha l’obbligo di tutelare la collettività intera, quindi di interrompere la catena del contagio, e nel contempo anche di salvaguardare la salute dei singoli individui. In Italia il diritto alla salute è riconosciuto, dagli articoli 2 e 32 della Costituzione, come diritto fondamentale sia per i singoli che per la collettività. Per cui altri diritti possono essere compressi (ma non annullati) in situazioni di emergenza, come quella attuale.
La tecnologia entra in campo
Uno dei casi più interessanti, sotto questo profilo, è dato dalla Corea del Sud (Singapore è un caso simile).
La Corea del Sud è passata in pochi giorni da qualche decina di infetti a decine di migliaia. Il focolaio di coronavirus è stato per lo più la conseguenza del comportamento incosciente del cosiddetto “paziente 31”, un membro di una chiesa locale (Shincheonji) che avrebbe portato ad infettare quasi 5.000 persone (di cui 29 morte). Il governo di Seul ha presentato denuncia formale di omicidio verso la congregazione religiosa, il cui leader si è prostrato in diretta per presentare le sue formali scuse.
La situazione nella città di Daegu (popolazione 2,5 milioni di persone) è diventata, quindi, insostenibile e le autorità hanno dovuto prendere provvedimenti rapidi e efficaci per contenere un contagio che avrebbe potuto diventare inarrestabile, con conseguenze devastanti sulla salute collettiva, ma anche sull’economia del paese. Da quel momento il presidente coreano ha dichiarato guerra al virus, una guerra a colpi di tecnologia.
La sorveglianza delle malattie infettive non è certo una novità. Praticamente tutti gli Stati hanno obblighi di comunicazione a carico degli operatori sanitari. Il problema è che per la raccolta e l’analisi dei dati occorrono tempo e strumenti adeguati. La Cina è un paese altamente tecnologizzato e ampiamente sorvegliato, quindi ha fatto ricorso ai Big Data per tracciare i cittadini in quarantena. Negli Usa i dati sono per lo più nelle mani delle grandi aziende. Mentre in Europa, oltre al problema che i dati li hanno le grandi aziende (i gestori di telefonia, e le aziende del web che sono per lo più americane) i timori per l'invasività degli strumenti di tracciamento ne frenano l’utilizzo.
Leggi anche >> Come la Cina sta affrontando il nuovo Coronavirus
La Cina ha applicato misure draconiane, quali il blocco di intere città, il controllo rigoroso della diffusione delle informazioni, la sorveglianza degli individui, obbligati ad usare una App di tracciamento con condivisione dei dati con la polizia e registrazione per prendere i mezzi pubblici.
La Corea del Sud, invece, ha adottato una politica soft di contenimento volontario, con capillare diffusione delle informazioni verso i cittadini. Il sistema si basa sul progetto già avviato di Smart City del governo centrale, ed è sviluppato di concerto tra vari ministeri (Interni, Scienza, Telecomunicazioni, Infrastrutture e Trasporti) e i Centri di controllo e prevenzione delle malattie infettive (KCDC). La tecnologia era presente, e i cittadini fanno ampio uso di smartphone (stima 95% della popolazione). Sfruttando tale situazione peculiare (che non sempre si trova in Europa) il governo ha potuto avviare la raccolta di una quantità enorme di dati, provenienti dai database governativi e non solo. Soprattutto, la legge coreana (modificata dopo l’epidemia di MERS del 2015) consente alle autorità di accedere ai dati delle telecamere, a quelli di tracciamento tramite GPS da telefoni e automobili, alle transazioni con carta di credito e altri dati personali per finalità di controllo delle malattie infettive (c’è quindi una specifica base giuridica). L’accesso a questi dati da parte degli operatori sanitari deve comunque essere autorizzato dalle autorità di polizia, ma le modifiche più recenti (dal 16 marzo 2020) consentono l’accesso diretto delle autorità sanitarie.
Il sistema coreano prevede un sito web nel quale confluiscono le informazioni da diffondere al pubblico. Su questo sito si trovano tutte le informazioni utili, compreso le statistiche sui contagi, i decessi, i guariti, e ovviamente tutti i consigli di igiene. Ma anche l’indicazione, in certi casi fin troppo dettagliata, degli spostamenti delle persone contagiate. A questo sito si affiancano messaggi via smartphone (sms) che segnalano ogni nuovo caso di coronavirus nella zona. I messaggi identificano i luoghi e il momento in cui si trovava una persona infetta (senza indicare nomi ovviamente), e sollecitano chiunque abbia incrociato il suo percorso a sottoporsi ai test diagnostici. I KCDC tengono conferenze televisive quotidiane nelle quali offrono anche consigli di igiene personali, e tutto ciò viene diffuso costantemente sui mezzi di trasporto e nelle stazioni.
Inoltre, le autorità coreane hanno lanciato un servizio (sicurezza tramite auto-quarantena, qui sul sito del Ministero della Pubblica Amministrazione e Sicurezza) disponibile tramite Android ed entro il 20 marzo anche per iPhone, con una App (App di protezione di sicurezza con auto-isolamento) sviluppata dal Ministero degli Interni e della Salute. La App registra le informazioni del soggetto interessato e in particolare la sua geolocalizzazione (la posizione). C’è una fase di autodiagnosi, nella quale l’interessato risponde ad alcune brevi domande sul suo stato di salute. Le risposte sono condivise con le autorità preposte che possono prendere provvedimenti, compreso imporre la quarantena. Le persone che presentano sintomi sono monitorate, fino a quando non diventa disponibile un letto in ospedale, in una stanza isolata e sigillata. Tramite la App si geolocalizza il soggetto per verificare se viola la quarantena.
Le persone che risultano positive o comunque sono state a contatto (per contatto si intende: a meno di due metri o in stanze chiuse con persone che presentano tosse) con persone positive sono obbligate a una quarantena di almeno due settimane in base al provvedimento dei KCDC (qui le linee guida). Le persone in quarantena sono assegnate a un funzionario governativo che le controlla due volte al giorno tramite telefono. Però possono, volontariamente, scaricare la App e farsi tracciare tramite essa, in alternativa al controllo via telefono. Comunque i funzionari governativi sono invitati a fare uso dei risultati dell’App con discernimento, considerando che i dati del GPS non sempre sono affidabili e precisi.
I dati che confluiscono alle autorità consentono non solo di supportare le attività del governo per il contrasto alla diffusione del coronavirus, ma anche di informare costantemente la popolazione di tali attività poste in essere dalle autorità, e della diffusione del contagio.
La massiccia campagna informativa si unisce alla capacità di svolgere una enorme quantità di test diagnostici per individuare i contagiati (altra condizione che non sempre si riscontra in Europa). La tecnologia ha consentito alle autorità di testare rapidamente le persone e quindi tenere sotto controllo la diffusione del contagio, senza dover necessariamente bloccare l’intero paese. Il governo ha avviato dei siti di test per il coronavirus che si ispirano ai drive-through di McDonalds (in questi giorni sono in preparazione chioschi di test rapidi anche a Bologna). Le persone ci si recano con l’auto e, senza scendere, fanno il test con operatori sanitari in tuta isolante. Così c’è meno contatto, dicono le autorità, rispetto ad un test fatto in ospedale. Un sito del genere può fare fino a 384 test al giorno. I risultati si hanno in 3 giorni (i nuovi test riducono drasticamente i tempi) e vengono comunicati via sms.
Ovviamente tenere sotto controllo la diffusione del contagio vuol dire esattamente sorvegliare le persone. Si tratta di un approccio che potrebbe risultare altamente invasivo della privacy. Ma è una scelta specifica delle autorità coreane che lo ritengono l’unico sistema per impedire la diffusione del virus, senza nel contempo azzerare le attività di un’intera nazione. Non c’è tracciamento dell’intera popolazione, ma solo dei soggetti in quarantena (volontaria o coatta) che decidono di usare la App. L’uso della App è del tutto volontario (a differenza della Cina), ed è basato sul consenso dell’individuo, che può anche non scaricarla o non usarla. Più che altro la App serve per rimanere in contatto con gli operatori sanitari, come alternativa al telefono.
I contagiati sono intervistati, per verificare i loro spostamenti, e poi i dati sono incrociati con quelli dei database governativi o privati (telecamere di sorveglianza, transazioni con carta di credito, ecc...), per raccogliere informazioni sugli spostamenti e per ricreare i loro percorsi (contact tracing). Poi sono diffusi al pubblico solo (minimizzazione) i dati sui luoghi in cui è stato possibile un contatto del contagiato con altre persone (se il paziente era senza mascherina). In qualche caso viene indicato anche il nome di un negozio specifico (cosa che ne porta alla chiusura). Le autorità precisano di diffondere solo alcuni dei dati dei soggetti contagiati.
La diffusione di tali dati, per quanto “anonimizzati”, ha creato comunque gravi problemi ad alcuni coreani, che sono stati riconosciuti incrociando le informazioni, oppure semplicemente perché qualcuno, erroneamente, ha creduto di riconoscerli, così diffamando persone del tutto incolpevoli. Uno dei messaggi ha identificato come infetta una donna di 27 anni che lavora nello stabilimento Samsung di Gumi, che alle 18:30 di sera del 18 febbraio visitava un'amica, la quale aveva partecipato al raduno della setta religiosa Shincheonji. Sembrerebbe che poi un funzionario municipale abbia anche rivelato il suo nome su Facebook. I residenti di Gumi sono andati, ovviamente, nel panico. Un manager e la sua segretaria si sono visti attribuire una relazione solo per essere stati insieme in un viaggio di lavoro. In almeno un caso la diffusione di dati personali (compreso nome e cognome dei contagiati) è avvenuta ad opera di funzionari pubblici.
Molte persone si sono lamentate sui social di tali situazioni e delle conseguenze discriminatorie, chiedendo di essere lasciate in pace. Le autorità hanno riferito di avere intenzione di limitare ulteriormente le informazioni diffuse (come sembrerebbe essere avvenuto scorrendo il sito web).
Nonostante i problemi emersi, sembra che ci sia comunque una forte richiesta di maggiori informazioni (addirittura è stata lanciata una petizione per avere più informazioni sugli spostamenti dei contagiati). Così alcuni privati hanno programmato App che, utilizzando i dati governativi, consentono di disegnare delle mappe visive degli spostamenti dei contagiati, e che sono risultate le più scaricate dal Play Store di Android. Ad esempio:
- Corona 100m (oltre 1 milione di download): consente di vedere la data in cui un paziente è risultato positivo, la nazionalità, l’età, il sesso, i luoghi visitati, segnalando se ci si avvicina più di 100 metri ad un luogo dove è transitato.
- Corona Map: mappa degli spostamenti dei contagiati.
- Coronaita: consente di ricevere informazioni aggregate sui contagi e decessi, e di diffondere informazioni quali la disinfezione di un negozio e così via.
Le App sostanzialmente rendono più fruibili per il pubblico le informazioni del governo.
In sintesi, il sistema si basa prevalentemente su una ampia trasparenza delle attività di contrasto dell’infezione, in modo da alimentare la fiducia nell’operato del governo, ma anche in misure mirate verso cittadini che sono contagiati. Ciò che ha fatto la differenza sembra essere la capacità diagnostica su vasta scala. Il servizio di tracciamento tramite App è basato sul consenso (con informativa e indicazione della base giuridica), laddove i problemi sembrano derivare da un lato dall’eccesso di dettagli inseriti nelle comunicazioni istituzionali e dall’altro dall’elaborazione di tali informazioni a mezzo di software di privati e visualizzate in forma di mappe.
Coronavirus e protezione dati personali
L’approccio draconiano della Cina appare eccessivo e sproporzionato per l’Europa. Ma gli europei hanno iniziato a discutere dell’eventuale recepimento di un approccio più soft, come quello della Corea del Sud. In Romania si parla di localizzazione tramite GPS dei contagiati, in Germania si discute se i dati sulla posizione dei contagiati possano essere utilizzati per identificare potenziali contatti. In generale l’idea che possa rendersi necessario un salto tecnologico nella lotta al coronavirus si sta diffondendo in tutta Europa.
Gli scenari possibili, sulla base del modello della Corea del Sud, sono i seguenti:
- Controllo dei soggetti in quarantena tramite geolocalizzazione.
- Tracciamento dei percorsi dei contagiati per identificare i soggetti a rischio.
- Diffusione al pubblico di informazioni sugli spostamenti dei contagiati per allertare i soggetti a rischio e invitarli a farsi sottoporre a test diagnostici.
La premessa è che il diritto alla protezione dei dati personali è anch’esso un diritto fondamentale, come il diritto alla salute. Ma il contagio implica ricadute sulla salute collettiva, mentre la tutela dei dati è un diritto del singolo individuo. Questo potrebbe far propendere per un possibile uso di sistemi di tracciamento se necessari (e proporzionati) per la finalità di tutela della salute pubblica. Occorre, però, soppesare per bene i diritti in gioco, perché la diffusione del dato “salute” (l’essere contagiato, anche se poi questo non dovesse risultare vero) può avere conseguenze particolarmente discriminatorie sull’individuo e sui suoi familiari.
GDPR - Considerando 4
Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.
Ed è pacifico che le informazioni relative alla quarantena sono ovviamente “dati relativi alla salute” (anche se il Garante norvegese la pensa diversamente), quindi soggetti alla normativa di cui all’art. 9 del GDPR. È vero che un soggetto in quarantena non necessariamente è contagiato, ma i dati relativi alla salute comprendono anche le informazioni riguardanti il rischio di malattie.
Partiamo dalla considerazione che “le norme sulla protezione dei dati (come il GDPR) non ostacolano le misure prese nella lotta contro la pandemia di coronavirus”, come ha precisato il presidente dell'European Data Protection Board, il quale ha tenuto ad aggiungere che “anche in questi tempi eccezionali, il titolare del trattamento dei dati deve garantire la protezione dei dati personali degli interessati”. Lo stesso concetto è ribadito dal commissario irlandese per la privacy (che ha giurisdizione sulle principali aziende del web) nelle linee guida da poco pubblicate, anche qui precisando che le misure adottate devono sempre essere necessarie e proporzionate. La necessità presuppone l’efficacia della misura rispetto all’obiettivo perseguito, tenendo presente anche misure meno intrusive che consentirebbero di raggiungere lo stesso risultato. La proporzionalità, invece, è il bilanciamento tra l’importanza dell’obiettivo perseguito, valutandone l’urgenza e la minaccia temuta, e la compressione del diritto, quindi gli effetti sostanziali sulle vite delle persone coinvolte. Il rispetto del principio di proporzionalità ha un ruolo centrale nelle democrazie moderne.
In caso di misure di sorveglianza sui contagiati (ad esempio il tracciamento via smartphone e GPS per verificare il rispetto del divieto di lasciare la quarantena) viene il dubbio se si debba applicare il Regolamento europeo n. 2016/679 (GDPR) oppure la direttiva Polizia n. 2016/680. L'ambito di applicazione di tale direttiva (e del relativo decreto di attuazione) è circoscritto al trattamento dei dati personali svolti dalle autorità pubbliche competenti in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, o qualsiasi altro organismo o entità incaricati dal diritto dello Stato di esercitare l'autorità pubblica e i poteri pubblici agli stessi fini sopra indicati. La direttiva, però, non si applica ai trattamenti dati relativi ad “altri compiti” conferiti alle autorità competenti e che non siano necessariamente svolti a fini di prevenzione, indagine, accertamento o perseguimento di reati, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. Nell’ipotesi che a noi interessa sembra applicabile il Regolamento europeo in materia di protezione dei dati personali.
Quindi, per prima cosa occorre una specifica base giuridica per il trattamento dei dati (art. 6 GDPR) e le condizioni per il trattamento dei dati sulla salute (art. 9 GDPR). In tal senso, il Garante irlandese individua l’art. 9(2)(i) il quale consente il trattamento di categorie speciali di dati se tale trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, come la protezione da gravi minacce transfrontaliere alla salute. In questo caso occorre, però, una legge specifica, che funga da base giuridica (come nella Corea del Sud).
Art 9 (2)(i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
Altro punto essenziale è che, secondo i Garanti dell’Italia, Francia, Lussemburgo e Irlanda, la raccolta di informazioni relative ai sintomi tipici del coronavirus, compreso le informazioni sugli spostamenti degli individui contagiati o presunti tali, spetta in via esclusiva alle autorità sanitarie (compreso enti sanitari privati) e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica. Ciò implica forti limitazioni alla possibilità di trattare dati come misura di contenimento del contagio da parte di aziende private. L’attività dei privati dovrebbe limitarsi ai dati aggregati (non identificativi).
Le autorità ovviamente devono osservare particolari garanzie, quali le limitazioni all’accesso, limiti di tempo rigorosi per la cancellazione dei dati raccolti, la formazione del personale, ecc. Il trattamento deve rispettare il principio di minimizzazione, cioè devono essere trattati solo i dati necessari per raggiungere lo scopo di attuare misure atte a prevenire e contenere il contagio. Infine, le autorità devono assicurare ampia trasparenza in relazione alle misure implementate, lo scopo della raccolta, i tempi di conservazione. Per ultimo, il trattamento deve essere effettuato secondo modalità da garantire la sicurezza dei dati.
Possiamo quindi dire che la regolamentazione in materia di protezione dei dati personali non necessita di alcuna sospensione o modifica, ma contiene in sé le regole per le situazioni emergenziali. Però qualsiasi misura deve essere necessaria e proporzionata. Ad esempio, il controllo del rispetto della quarantena dei contagiati non necessariamente deve avvenire a mezzo tracciamento, poiché ci sono misure meno invasive che portano allo stesso risultato. Nella Corea del Sud il controllo avviene telefonicamente (due volte al giorno). È evidente che il tracciamento tramite smartphone potrebbe essere ritenuto sproporzionato rispetto all’obiettivo.
Secondo il commissario federale per la protezione dei dati della Germania, Ulrich Kelber, il tracciamento dei contagiati via smartphone potrebbe aversi in presenza del consenso dell’interessato, purché sia volontario e informato. Le persone interessate devono prima essere informate in dettaglio sullo scopo della raccolta, sull’uso dei dati e sul periodo di conservazione in modo da poter valutare i potenziali rischi per loro. Il consenso è, appunto, la base giuridica utilizzata dalla Corea del Sud per l’App di auto-isolamento. Un sistema del genere dovrebbe essere sottoposto ad una dettagliata analisi del rischio e rigorose misure di sicurezza. Il rischio di abusi e possibili discriminazioni è elevatissimo (pensiamo alle compagnie assicurative che potrebbero rifiutare di stipulare contratti o aumentare i relativi premi).
GDPR – Art. (9)(2)(a)
l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche...
Per quanto riguarda il tracciamento dei percorsi dei contagiati, al fine di identificare i soggetti incrociati e quindi a rischio (contact tracing), c’è da precisare che si tratta di una ipotesi del tutto diversa dall’uso di dati aggregati (sostanzialmente anonimizzati quindi) che potrebbero essere forniti dai gestori di telefonia, come si discute in questi giorni. I dati aggregati non consentono (o almeno non dovrebbero consentire) l’identificazione fisica delle persone e sono utili solo per tracciare il flusso del contagio (cartografie). Essendo sostanzialmente anonimi non sono soggetti alle norme in materia di protezione dei dati personali.
I dati sulla geolocalizzazione tali da identificare le persone fisiche, invece, in Italia possono essere ottenuti solo dalla magistratura per finalità di accertamento e repressione dei reati. Occorre, quindi, una legge che autorizzi la raccolta e l’utilizzo di tali dati.
È da chiarire che il contact tracing si fa anche in Italia, attraverso strumenti differenti, per lo più tramite l'autorità di polizia. Con riferimento agli strumenti tecnologici, l’art. 15 della direttiva ePrivacy prevede anche che gli Stati membri possano introdurre misure legislative a tutela della sicurezza nazionale e pubblica per elaborare i dati relativi alla geolocalizzazione dei singoli individui, qualora quelli aggregati non siano sufficienti o idonei a rintracciare persone potenzialmente contagiose. Come ci ricorda il presidente dell’EDPB, si tratterebbe di una legislazione di emergenza possibile solo a condizione che risulti una misura necessaria e proporzionata all’interno di una società democratica, laddove lo Stato è tenuto a garanzie adeguate, come il diritto ad un ricorso giurisdizionale. Non c’è necessità di sospendere la normativa sulla privacy, ma occorre che il legislatore bilanci i diritti in gioco.
Un problema potrebbe essere dato dal tempo necessario a una operazione di identificazione dei soggetti a rischio per aver incrociato un contagiato. Solo isolando tempestivamente i contagiati si può evitare la diffusione ulteriore dell’infezione. Per questo motivo nella Corea del Sud si è proceduto a un ulteriore passo in avanti, diffondendo al pubblico informazioni atte a ricostruire gli spostamenti dei contagiati, così invitando le persone che hanno frequentato gli stessi luoghi a sottoporsi ai test diagnostici. Un’operazione del genere consentirebbe anche di evitare la chiusura totale di intere zone. Fermo restando che anche in questo caso il trattamento richiede una specifica base giuridica costituita da una legge, è ovvio che le garanzie a tutela dei dati dovrebbero essere molto più stringenti, per giustificare la diffusione al pubblico. In sostanza, occorre un'analisi della necessità e della proporzionalità del trattamento.
È pacifico che la situazione dovrebbe essere particolarmente grave per arrivare a una soluzione così drastica e comunque i dati diffusi dovrebbero essere minimizzati. Ad esempio, senza indicare età, né caratteristiche dei contagiati, atte in qualche modo a identificare le persone fisiche, si potrebbero indicare solo i luoghi frequentati dai contagiati e i giorni. Si tratta, evidentemente, di una soluzione estrema per casi estremi. Una misura del genere, però, sarebbe utile solo nel momento in cui lo Stato sia poi in grado di sottoporre a test in tempi brevi i soggetti che si ritengono (a torto o a ragione) a rischio. Diversamente finirebbe solo per alimentare il panico, e la sfiducia verso le istituzioni.
La situazione in Italia
Con l’ordinanza del 3 febbraio 2020 n. 630, la Protezione civile ha stabilito le regole per il trattamento dei dati del proprio personale in occasione dell’emergenza del coronavirus. Il trattamento potrà includere, ad esempio, la comunicazione tra dipendenti di dati personali relativi a:
- Origine razziale o etnica.
- Opinioni politiche, credenze religiose o filosofiche.
- Appartenenza al sindacato.
- Dati genetici, dati biometrici ai fini dell'identificazione inequivocabile di una persona fisica,
- Dati sanitari.
- Dati relativi alla salute o dati relativi alla vita o all'orientamento sessuale (articolo 9).
- Dati su condanne penali e reati (art. 10), ecc.
La finalità è lo svolgimento della funzione di protezione civile, ma non ci sono informazioni sul luogo e i tempi di conservazione dei dati.
Il Decreto legge del 9 marzo 2020 n. 14 ribadisce sostanzialmente le regole di cui all’ordinanza del Capo della Protezione civile, estendendole dove ritenuto necessario. Il comma 14 consente ai titolari del trattamento di poter conferire l’autorizzazione al trattamento, di fornire le informative e individuare gli autorizzati al trattamento in modo semplificato. L'ultimo comma prevede una clausola di garanzia, in base alla quale alla fine dell’emergenza i titolari del trattamento devono ricondurre “i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti dei dati personali”.
L’intero quadro di regole stabilite per il trattamento dei dati personali nel corso dell’emergenza coronavirus richiama il rispetto dei principi di cui all’art. 5 del GDPR, adottando misure necessarie e proporzionate (nel decreto “appropriate”) rispetto alla finalità di contenimento del contagio.
Infine il Garante per la protezione dei dati personali ha ribadito che, in base alla legislazione di emergenza, qualsiasi persona che abbia soggiornato negli ultimi 14 giorni nelle aree a rischio epidemiologico e nei comuni identificati dalle ultime disposizioni normative deve comunicarlo alle autorità sanitarie (ASL), anche tramite il medico di base, che provvederanno agli accertamenti e eventualmente all’“isolamento fiduciario”. Inoltre, i dipendenti sono tenuti ad informare il proprio datore di lavoro di rischi potenziali per la salute e la sicurezza sul luogo di lavoro.
Il controllo dei soggetti in quarantena tramite App dedicate (una sarebbe già pronta), invece, si potrebbe fare in base al consenso degli interessati. Ovviamente le App devono sottostare a specifici standard e offrire particolari garanzie (per evitare la diffusione o perdita di dati sulla salute). L’attuale normativa italiana (art. 14 sopra indicato) non consente di accedere agli altri scenari di cui al modello della Corea del Sud, se prima non si emanano le norme (base giuridica). Occorrono le leggi nelle quali sarà compito del legislatore bilanciare i diritti in gioco e stabilire quali misure sono necessarie e proporzionate.
Tale sistema dovrebbe soggiacere ad una serie di garanzie, tra le quali, indicativamente ma non esaustivamente:
- Minimizzazione dei dati (devono essere trattati solo i dati essenziali per la finalità, l'identità non deve essere divulgata a terzi senza una specifica giustificazione, in particolare dati come l’identità, l'età, la residenza, non devono essere divulgati al pubblico).
- Sicurezza dei dati (i dati devono essere trattati dal solo personale autorizzato e in base a procedure chiare).
- Finalità del trattamento (i dati devono essere trattati solo per la finalità di prevenzione della diffusione del contagio).
- Limiti soggettivi: il trattamento deve riguardare solo soggetti contagiati o esposti al contagio.
- Limiti temporali: questo è il limite più importante, tutti i dati devono essere trattati non oltre la fine dell’emergenza, con previsione fin dall’inizio della cancellazione a fine emergenza (tranne eventualmente l’utilizzo di dati esclusivamente aggregati a fini di ricerca).
Il punto essenziale è il periodo di conservazione dei dati trattati nell'emergenza che deve essere circoscritto al periodo dell’emergenza. Tale progetto di legge, ovviamente, dovrebbe essere sottoposto a consultazione del Garante (art. 57(1)(c) GDPR).
Conclusioni
Non c’è alcuna necessità di rivedere o sospendere le norme in materia di protezione dei dati personali. Queste norme, infatti, prevedono ampie eccezioni per poter contrastare le emergenze. Non si tratta di essere fondamentalisti della privacy, quanto piuttosto di comprendere che esiste una precisa differenza tra paesi democratici e non democratici, e sta proprio nel rispetto e nell’attuazione dei diritti fondamentali.
Se è vero che la privacy è un diritto che vive di bilanciamento con gli altri diritti, è altresì vero che anticipa la tutela di una serie di altri diritti, il diritto alla dignità, alla reputazione, all’autodeterminazione, gli elementi base per garantire la vita di un individuo in una società democratica (per come è intesa in Occidente). La violazione di tale diritto sicuramente può costituire un pregiudizio per la dignità personale (dagli all’untore) anche se alla condizione di contagiato non si riconnette necessariamente un comportamento colpevole. Ma non solo, la diffusione degli spostamenti di un individuo è in grado di rivelare anche altre informazioni, che possono danneggiare la reputazione del soggetto interessato (ad esempio in Corea del Sud un individuo è stato identificato in una zona rinomata per la prostituzione).
In situazioni di emergenza, come quella che stiamo vivendo oggi, è perfettamente lecito discutere di attuare misure adatte a contrastare la minaccia incombente, misure che siano anche dirette a comprimere il fondamentale diritto alla privacy, per consentire di proteggere l’altrettanto fondamentale diritto alla salute, individuale e collettiva. Ma sia chiaro che qualsiasi misura di questo tipo deve essere una misura emergenziale e che non dovrà uscire dalla fase emergenziale.
Non è ammissibile, quindi, che per tutelare un diritto (la salute) si cancelli un altro diritto. Il problema non è tanto la situazione di emergenza, ma quello che verrà dopo. Dopo occorrerà rilanciare l’economia, e in seguito ci saranno altre situazioni che potrebbero essere utilizzate come scusa per non restituire ai cittadini i diritti tolti in emergenza.
E il passato ci dà parecchi esempi. La normativa in materia di Data Retention, figlia dell’epoca degli attentati terroristici, portò alle norme nazionali di recepimento. Mentre la direttiva è stata annullata dalla Corte di Giustizia europea, in pochissimi paesi le norme nazionali di recepimento sono state annullate, in Italia addirittura sono stati aumentati i tempi di conservazione dei dati fino a 6 anni. E come dimenticare il famigerato Decreto Pisanu, norma transitoria (doveva durare 2 anni) che è stata reiterata dal 2005 al 2011? Pensiamoci bene prima di chiedere norme che cancellino dei diritti faticosamente conquistati nei secoli.
Ps: per le traduzioni dal coreano sulle foto è stato utilizzato Google Translate
Immagine in anteprima via Pixabay.com