Le tecniche utilizzate per tracciare il contagio del Covid-19 comportano una difficilissima opera di bilanciamento tra il diritto alla salute e il diritto alla riservatezza. Se il primo sembra prevalere nell’immediato, non vanno sottovalutati i rischi futuri derivanti dall’utilizzo esteso di tecniche di controllo del singolo. Va pensato un metodo di analisi efficace, ma decisamente rispettoso dei diritti fondamentali, in chiave non solo individuale, ma democratica.
È opinione comune che l’emergenza sanitaria in corso cambierà drasticamente le nostre vite, su ogni piano. Siamo ancora nel mezzo di un evento senza precedenti (almeno a nostra memoria: l’antecedente più vicino è quello della cd. “influenza spagnola” – così chiamata anche se la sua origine è dibattuta, ed è individuata ora in Kansas, ora in Spagna, ora in Cina: la Spagna fu la prima a diffonderne informazioni capillari, e di qui il nome).
Tra le misure volte al contenimento e a proteggere la cittadinanza, una sfida fondamentale attiene alla raccolta dei dati per consentire di tracciare la diffusione del virus e permettere una migliore forma di reazione da parte delle autorità.
Proprio a questo riguardo e, dunque, entrando più bel vivo della vita dei singoli, vengono in discussione misure di controllo di spostamenti e contatti, nel tentativo di avere un tracciamento effettivo e dominare la diffusione del COVID-19. La Slovacchia ha tracciato le numerazioni telefoniche italiane nel tentativo di trovare casi di pericolo.
La Corea del Sud ha svolto campioni su vasta scala sin dall’inizio dell’emergenza; ha sfruttato l’utilizzo dei dati telefonici per la localizzazione fino, soprattutto, a team di analisi per gli spostamenti dei soggetti infetti o a rischio. L’efficacia delle misure si deve non solo all’utilizzo capillare di tecniche di monitoraggio, ma anche su due fattori pregressi. Primo, lo sviluppo di infrastrutture altamente performanti, come messo bene in luce dall’Electronic Frontier Foundation. Secondo, la preparazione a un simile evento, data anche dall’ultima emergenza della Sars, antesignana del Coronavirus. La Corea del Sud diventata un punto di riferimento nel dibattito corrente, perché ha contenuto la diffusione evitando il lockdown nazionale.
Israele ha permesso l’applicazione ai cittadini di tecniche di sorveglianza tipiche della lotta al terrorismo. Non a caso l’ente autorizzato a tal fine è stato l’apparato dei servizi segreti. Il Governo, con una misura varata prima delle decisioni del Knesset, ha dato l’autorizzazione al tracciamento su vasta scala tramite apparati telefonici, rassicurando comunque l’operazione del fine esclusivo a fini sanitari.
Un altro caso ampiamente discusso è Singapore, dove è utilizzato un modello open source, che cripta dati dell’utente nel solo device di proprietà, senza distribuzione su server esterni. In base a specifiche tecniche, le autorità sanitarie (in possesso del solo numero telefonico, come già avviene oggi in Europa) sono in grado di individuare eventuali posizioni a rischio per il singolo e di notificare le misure da adottare. Le ultime notizie, tuttavia, hanno fatto segnare un netto peggioramento della situazione, con circa 3000 casi nuovi, che hanno sollevato nuovi dubbi sull’efficacia della misura. Anche in Olanda si sono verificati seri problemi, dovuti a una falla nel sistema che ha esposto i dati degli utenti.
Altro esempio molto importate è dato da Taiwan: le misure adottate suscitano stupore in quanto hanno consentito di frenare enormemente la diffusione dei contagi. Le misure sono un successo e osservate con attenzione a livello internazionale. Sul Verfassungblog viene analizzato in dettaglio, da parte della Prof. Wen-Chen Chang, il quadro normativo di riferimento, la difficile opera di bilanciamento e le modifiche introdotte.
In Italia, oltre alle misure di tracciamento come quelle implementate dalla regione Lombardia attraverso Vodafone, e l’Enac ha autorizzato l’uso dei droni per monitorare gli spostamenti, sono stati lanciati (e sono in corso di definizione) diversi progetti. Un primo, cui partecipa l’Associazione italiana per l’intelligenza artificiale, propone (con un progetto liberamente consultabile) una soluzione non basata né sull’installazione di una app, né sul tracciamento delle celle telefoniche, né sulla geolocalizzazione (perché troppo invasiva), ma sul bluetooth di prossimità, che prevede il “coinvolgimento attivo” delle persone, anche attraverso la gamification (si v. il lavoro di G. Sgueo).
Un secondo progetto, cui sta lavorando un gruppo di volontari (denominato Covid Watch, che opera in partnership con la Stanford University) sta sviluppando una tecnica triplice: contact tracing automatico, mediante Bluetooth anonimizzato; mappatura attraverso modelli epidemiologici e dati GPS, sempre in forma anonima, al fine di avvisare circa le aree a rischio; raccomandazioni delle autorità locali, al fine di suggerire la necessità di un test. Si intende garantire, in questo modo, l’integrale rispetto della riservatezza e di non consentire che, un domani, l’emergenza diventi una facilitazione della sorveglianza di massa (si affermano i tre principi di Privacy, Efficacy, Altruism).
Come noto, comunque, è stato poi compiuto un affidamento alla Società Bending Spoons e alla su app “Immuni” (su cui si v. E. Schneider, P. Clarizia, Immuni, l’app del governo per il tracciamento del contagio da Covid-19), che ha ampliato un ampio dibattito, da questioni proprietarie del software al rilascio del codice sorgente, dalla tecnica di raccolta dei dati al loro futuro utilizzo dei dati, fino, soprattutto, alla sua “obbligatorietà condizionale”.
Tratterò altri tentativi su questo Osservatorio, sotto la prospettiva delle scelte pubbliche e delle tecniche di condivisione (anche in merito al protocollo DP-3T e del progetto PEEP-PT). Al momento, se questo è lo scenario tecnologico, occorre ricordare le sfide che ci attendono sul piano giuridico. Sono note, e ampiamente dibattute. In primo luogo, vi è quella costituzionale. La restrizione alla libertà è già un primo segnale fondamentale di questa emergenza; l’equilibrio tra poteri e le relative fonti sono un altro importante oggetto di vivace dibattito, che deve proseguire nel senso di assicurare il ruolo del Parlamento. Come coniugare questi elementi essenziali di un sistema democratico con le tecniche utilizzate per contenere la pandemia? Si tratta di assicurare maggiore efficacia: la “connectography” (per citare Parag Khanna) ha consentito la diffusione più veloce, con le tecnologie del tempo; e l’informatica e la digitalizzazione sono il fronte opposto che potrebbe lavorare alla stessa velocità. Proprio le possibilità offerte dalla tecnica sono potenza e rischio. Se è necessario prevenire la diffusione a livello sociale, occorre limitare un potere enorme derivante da un controllo senza precedenti di dati personali (inclusi quelli sanitari) e, nell’ottica del singolo, di tutela della riservatezza – che rischia di cadere a picco (si v. l’indagine del New York Times e la richiesta al governo italiano del centro Hermes).
Le basi giuridiche per realizzare simili interventi sono rinvenibili e possono dispiegare tutta la loro efficacia. Il Comitato europeo per la protezione dei dati ha spiegato che l’art. 23, par. 1, lett. e), del Gdpr, da leggersi congiuntamente al considerando 73, garantisce la raccolta dei dati in casi di emergenza sanitaria, anche senza consenso. L ‘art. 9.2, lett. i), del Regolamento n. 2016/679, infatti, richiama i motivi di interesse pubblico, tra cui “gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici”. È ipotizzabile, in tutti i casi evidenziati, un trattamento automatizzato, ma si applica l’art. 22, par 4, per cui vi è una deroga al divieto della sua integralità nelle relative decisioni (art. 22, par. 4) e all’obbligo di informativa (art. 14, par. 5). Vi è chi richiama la disciplina dello stato di emergenza previsto da convenzioni internazionali (e assente, per evidenti ragioni storiche, nella nostra Carta), facendo espresso riferimento sia alla Convenzione europea per la salvaguardia dell’uomo e delle libertà fondamentali del 1950 (art. 15), sia al Patto sui diritti civili, politici e sociali delle Nazioni Unite del 1966 (art. 4). L’associazione European Digital Rights (EDRi), dedita alla difesa dei diritti e delle libertà nell’ambiente digitale, indica che le misure tecnologiche non dovrebbero perdurare oltre la fine della pandemia ed essere limitate allo stretto necessario.
È in ogni caso necessario adottare misure adeguate a tutela dei diritti, delle libertà, non solo in chiave individuale, ma anche, e soprattutto, in ottica di tenuta dello stato democratico: i rapporti tra poteri pubblici e privati sono delicatissimi e i rischi potrebbero superare i benefici. Senza un adeguato apparato di politiche pubbliche in materia sanitaria e sociale, vero perno di una lotta a emergenze come quella in corso, il tracciamento digitale potrebbe rivelarsi inefficace. Nella corsa a una difficilissima ricerca di un bilanciamento, gli esperti sono concordi nel ritenere che nulla sarà come prima.
Marzo 2020 – Aggiornato il 22 aprile 2020
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.