LA RIFLESSIONE

Contract tracing e tutela dei diritti fondamentali: analisi critica della situazione attuale

Ora che l’app di contact tracing Immuni è attiva in tutta Italia, può essere interessante descrivere alcuni argomenti meta-giuridici che descrivono la ratio del sottile equilibrio di norme in cui devono dispiegarsi due diritti in gioco di pari dignità, quali interesse collettivo alla salute pubblica e libertà individuali

24 Giu 2020
T
Nicola Tilli

Avvocato di Novastudia Professional Alliance


L’applicazione di contact tracing è ormai realtà nel nostro come in altri paesi e centinaia di commenti ci hanno già spiegato tutto, ma credo serva parlarne ulteriormente per due ordini di motivi:

  1. un profilo programmatico-culturale e di visione generale.Ad indirizzo normativo preso e soluzione tecnica adottata, si può prescindere ora dalle posizioni convinte o scettiche e parlarne in modo più obbiettivo e riflessivo. Il contact tracing non era e non è la questione “dell’app di Tizio o Caio” (è contact tracing anche la geolocalizzazione dei soggetti nelle aree inquinate per risolvere problemi globali ambientali) ma è l’oggetto di un opportuno esame della tenuta del sistema di tutela dei dati personali e del tracciamento dell’individuo che, a fronte della compressione di alcuni nostri diritti in via di eccezione, consente una riflessione più generale, scissa dal caso concreto di turno, sul bilanciamento tra interessi e diritti contrapposti, nel caso di specie tra eventuale necessità di limitare il diritto alla riservatezza e “dovere superiore” di risolvere il contagio pandemico in una disputa di prevalenza o equivalenza tra interesse collettivo alla salute pubblica e libertà personali;
  2. la ricostruzione pratica, tecnica ed operativa della situazione attuale e delle soluzioni adottate di cui parleremo nei prossimi paragrafi.

In relazione al primo profilo, il problema del controllo sociale da parte della tecnologia è inflazionato e datato, in quanto già posto alla base dei propri lavori (circa 50 anni fa) dai padri fondatori della Data Protection[1].

Certamente le ragioni di tutela sanitaria contengono in sé l’idea di una priorità di intervento anche nelle cure ordinarie e non emergenziali che possono incidere sui diritti individuali (si pensi alla telemedicina) e il bilanciamento di interessi è presidio di pesi e contrappesi, dove i pesi potrebbero identificarsi in:

  • Articolo 9 GDPR: “È vietato trattare dati personali che rivelino (omissis) dati relativi alla salute (omissis) della persona (omissis) i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero”.
  • Articolo 23 GDPR “1. Il diritto dell’Unione o dello Stato … può limitare, mediante misure legislative, la portata degli obblighi e dei diritti (omissis), qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare: (omissis) … e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare (omissis), di sanità pubblica e sicurezza sociale”;
  • Articolo 15 Direttiva e-privacy (2002/58/CE); “1. Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi (omissis) qualora tale restrizione costituisca, (omissis) una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica;
  • Considerando 46 GDPR: “Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie…”).

e i relativi contrappesi per un esercizio proporzionato, adeguato e regolamentato dei poteri che limitano diritti individuali si ritrovano in:

  • Cost. it. art. 2, 3, 13 (che non riporto testualmente per ovvia notorietà e facile reperibilità della fonte).
  • Trattati istitutivi UE (in varie norme per cui vale quanto al punto precedente).
  • Articolo 7 (“Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza”) e art. 8 (“1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. 2 Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica”) della Carta di Nizza.
  • Articolo 8 Convenzione europea dei diritti dell’uomo: “Diritto al rispetto della vita privata e familiare 1. Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza. 2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui”.
  • Articolo 12 della Dichiarazione Universale dei diritti umani del 1948 e art. 17 Patto per i diritti civili e politici dell’Onu del 1966 che riprende integralmente la fonte precedente: “Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni”.
  • Considerando 52 GDPR: “La deroga al divieto di trattare categorie particolari di dati personali dovrebbe essere consentita anche quando è prevista dal diritto dell’Unione o degli Stati membri, fatte salve adeguate garanzie, per proteggere i dati personali e altri diritti fondamentali, laddove ciò avvenga nell’interesse pubblico, in particolare (omissis) per finalità di sicurezza sanitaria, controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute”.
  • Considerando 53 GDPR: “Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società (omissis). Il diritto dell’Unione o degli Stati membri dovrebbe prevedere misure specifiche e appropriate a protezione dei diritti fondamentali e dei dati personali delle persone fisiche”.
  • Articolo 9, par. 4 GDPR “Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.
  • Articolo 23 GDPR sono ammesse restrizioni a patto che la “limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata”.
  • Articolo 15 Direttiva e-privacy: in relazione al trattamento di dati particolari…, “gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo”.

Già la gerarchia delle fonti (nei contrappesi troviamo fonti di rango massimo) chiarisce che nessuna limitazione potrà mai prevaricare i diritti inviolabili dell’uomo e che non è ammissibile una minimizzazione o sottovalutazione della portata e rilevanza di tali diritti.

Oltre a ciò, le origini del diritto alla riservatezza – per come si è poi ulteriormente rafforzato e consolidato negli ultimi vent’anni –ci ricordano come tale genesi stia proprio nella Costituzione, nei diritti universali dell’uomo e nelle libertà fondamentali del cittadino e come tale diritto sia irrinunciabile, incomprimibile[2] e di massimo rango in quanto parte di quei diritti che costituiscono il novero delle libertà personali costituzionalmente garantite dall’ art. 13.

In verità, nel dibattito sul contact tracing la privacy ha, a mio parere, pagato un dazio anche endogeno e inevitabile.

Infatti, dall’entrata in vigore del GDPR, il concetto ha assunto una “accezione sociale talmente comune”, una sorta di massificazione a-giuridica della vulgata della cd. “privacy” (che in realtà dovrebbe chiamarsi Data Protection) in cui chiunque:

  1. si cimenta in reclami al Garante (non costano nulla);
  2. lamenta violazioni della riservatezza anche in relazione a vicende che nulla hanno a che vedere con la privacy (si pensi, ad esempio, ai debitori che evitano di produrre documenti contabili per non meglio precisate ragioni di privacy);
  3. assume la nota qualifica di neo-esperto di compliance (basti pensare agli oltre 50.000 DPO nominati successivamente all’entrata in vigore del GDPR che era impensabile avere nel Paese prima della nuova normativa).

Questo “possesso” generalizzato (e abusato) della materia ha portato a una sorta di banalizzazione e volgarizzazione della stessa e può aver inflazionato il principio presso quella parte di opinione pubblica che ritiene oggi non giustificate le riserve di molti esperti a fronte del dovere di tracciamento connesso alla pandemia.

D’altra parte, il cittadino parrebbe ampiamente garantito dal fatto che non si tratti di dovere imposto ma dell’esercizio di una facoltà (facoltà di entrata nel sistema dell’app e facoltà successiva di comunicare o non comunicare la propria positività) il che è già netta riprova di tutela della privacy, come lo sono gli introdotti limiti temporali di trattamento e le modalità anonimizzate d’uso anche se sui punti sono già intervenute preziose critiche costruttive a cui non intendiamo in questa sede aggiungere altro.

Potrebbe invece risultare interessante descrivere alcuni argomenti meta-giuridici che descrivono la ratio del sottile equilibrio di norme in cui devono dispiegarsi due diritti in gioco di pari dignità quali interesse collettivo alla salute pubblica e libertà individuali:

  1. argomento costituzionale: libertà e dignità personale (di non essere spiati, indirizzati nelle proprie scelte di vita o ammoniti per aver assunto uno specifico comportamento individuale) sono espressi dagli artt. 3 e 13 della Costituzione, norme che precedono il diritto alla salute sancito dall’art. 32 della stessa Carta; la prima di tali norme (art. 3) ha rango differente in quanto appartiene ai primi 12 articoli della Costituzione che costituiscono i cd. “principi fondamentali” che contengono un livello di sacralità e immodificabilità superiore rispetto alle norme costituzionali successive (compreso l’art. 32 sul diritto alla salute). Pertanto, la tutela della salute non può prevaricare il rispetto della dignità umana (art. 32 vs art. 3 Cost.) dato che quest’ultimo è principio fondamentale della Carta, il che spiega l’impossibilità costituzionale di obbligare allo scaricamento dell’app. È comunque lo stesso art. 32 Cost. (“La Repubblica tutela la salute come fondamentale … interesse della collettività”) che si autolimita, contenendo un esplicito contrappeso in tal senso: “La legge non può in nessun caso violare i limiti imposti dal rispetto della persona umana: non c’è quindi norma sul distanziamento o tracciamento sociale che possa far venire meno il rispetto della persona umana. Oltre a ciò sullo sfondo degli argomenti costituzionali (a prescindere dal tema app) dobbiamo ricordare l’ampio dibattito, nelle denunce ex pluribus assunte, circa la fonte giuridica da cui devono promanare dette limitazioni ovvero attraverso gli strumenti di legge costituzionalmente previsti nel rispetto della rappresentanza parlamentare (“nelle ipotesi di emergenza, lo strumento, non surrogabile, da utilizzare per interventi immediati, è il decreto legge (art. 77 Cost. : «In casi straordinari di necessità e urgenza…»)[3], elementare affermazione per ogni giurista di qualsiasi livello, anziché attraverso “DPCM” di turno[4]. In altre parole, la delega di potere ad individui, anche se rappresentanti dello Stato, senza l’ossequio di dovuti passaggi legislativi parlamentari, non è la strada prevista dalla legge fondamentale (Costituzione). L’assenza di iter parlamentare[5] è un punto di assoluta debolezza dell’azione del Governo, in quanto il rispetto della forma in certi ambiti e frangenti diventa ineluttabile sostanza e sintesi di una democrazia: pertanto le libertà personali – tra cui la privacy – sono talmente primarie da non poter sottostare ad indiscriminate limitazioni neppure per l’interesse collettivo alla salute, se non secondo determinati crismi, creando, in caso contrario il rischio del famoso precedente che potrebbe ripetersi: in altre parole “sostenere che non è tempo per discutere di filosofia e di libertà individuali, che ora è il tempo dell’emergenza, è esattamente il tipo di risposta che non promette nulla di buono[6];
  2. argomento storico: non è vero che il diritto alla salute a lungo termine prevalga sulla libertà personale. Pensiamo ai trascorsi di tutte le guerre dove, invece, è vero il contrario: i cittadini si trasformavano in soldati e mettevano a repentaglio la loro salute, rischiando la morte per non perdere la propria (più importante) libertà personale che consideravano quindi degna del sacrificio della loro stessa vita. Ciò dimostra che, “a tendere”, la libertà personale prevale sulla salute ovvero vivere non liberi (ma prigionieri) comporterebbe, infine, l’accettazione del rischio di ammalarsi;
  3. argomento logico-sociale: non è comunque vero che il diritto alla salute prevarrebbe sulla libertà individuale, perché se, per paradosso, un’ipotetica segregazione domiciliare senza termine tendesse a “più infinito”, indipendentemente dal raggiungimento dello scopo di sconfiggere la malattia, tutti, presto o tardi, farebbero valere il proprio diritto alla vita e non accetterebbero di rimanere in “lockdown” se non per periodi brevi-medi e determinati, affrontando a viso aperto la malattia come dato di fatto con cui convivere. A pieno regime, le libertà personali prevarrebbero sul diritto alla salute spontaneamente;
  4. argomento socio-politico: “quando si avvalla il principio etico-politico che la sola vera libertà è quella che esprime il bene universale (che non è mai universale, ma di qualche particolare che ha la forza per imporsi come universale), la persona è in pericolo, perché la persona è la sua libertà individuale, insindacabile, ingiudicabile, indominabile[7].

Siccome la ratio di un sistema di leggi non dovrebbe essere che l’espressione degli intenti morali e programmatici di una società, gli argomenti sopra espressi confermano che “privacy” (rectius, Data Protection) non è una parolina vezzosa ma una libertà personale che non è seconda al diritto alla salute, ma, essendo tra le forme di libertà personali più attuali e moderne proprio perché sulla bocca di tutti e spesso al centro dell’attenzione, può fungere da esempio rafforzato di come debba essere sempre creato uno “scudo di protezione” dei nostri diritti individuali e costituzionali a rischio di limitazione (come potrebbe essere anche per diritto di circolazione, di riunione, di professione di culto ecc.).

Date le premesse è facile superare alcune elementari questioni del dibattito su app e tracing immeritevoli di attenzione in quanto semplici luoghi comuni:

  1. si tratta del diritto alla salute che è di più alto rango rispetto a quello della privacy e deve prevalere” (mentre non si tratta di prevalenza o contrapposizione ma di armonizzazione);
  2. si tratta della nostra riservatezza ovvero della libertà personale irrinunciabile anche in casi come questo” (valga quanto sopra);
  3. comunque se accettassimo limitazioni alla nostra privacy queste dovrebbero essere solo temporanee” (nessun giurista di senno può ovviamente pensare che tali misure siano definitive);
  4. in ogni caso si applicherebbero sempre i principi sul trattamento dei dati personali” (deduzione scontata in quanto è chiaro che non sia abrogata o sospesa la normativa in materia);
  5. bisognerà tracciare solo i dati necessari allo scopo di prevenzione della salute” (ovvio in quanto il contrario sarebbe tracciare i dati indiscriminatamente e indipendentemente dallo scopo);
  6. “ovviamente si applica il principio di minimizzazione del trattamento” (e ci mancherebbe altro…);
  7. sono tutti e due diritti di livello costituzionale” (grazie per la notizia…);

Sullo sfondo rimane quindi un concetto di democrazia liberale: le libertà individuali prevalgono in quanto anche in caso di pandemia, è facoltà del singolo vedersi tracciare e nessuna limitazione, anche non connessa direttamente alla privacy, può prevaricare il rispetto del singolo e i suoi diritti fondamentali.

Contract tracing e tutela dei diritti fondamentali: pandemia normativa

In realtà, sul tema “app si, app no, app forse, quale app” ormai archiviato a livello decisionale e pratico si trattava di rispondere ad alcune semplici domande:

  1. Quale fosse la regolamentazione (fonte) del tracciamento, sperando di evitare (cosa fatta per fortuna) un DPCM e le varie nuove fonti di ultima generazione quali le “FAQ” [8] (Frequently asked questions), che nell’opinione pubblica hanno profumo di diritto vivente in quanto consultate da tutti come se fossero norma, per errore stesso di chi, nelle istituzioni, ad esse demanda, nel tentativo di sanare/supplire/spiegare i casi concreti incerti nella norma, mentre, in realtà, si tratta di contenuti di un sito, benché nobile, neppure firmati; insomma le FAQ stanno al principio di legalità come gli appunti di viaggio di un Presidente del Consiglio stanno alla legge ordinaria[9];
  2. Quale sarebbe lo strumento utile adottato ovvero quale app sarebbe più opportuno utilizzare ed ora che abbiamo la risposta operativa, possiamo disquisirne con serenità.

Vi è peraltro una interfunzionalità di regola e strumento: una buona legge senza un’app valida non servirebbe, un’app valida senza regole che la limitino efficacemente sarebbe pericolosa.

La regola deve dirigere l’app e lo strumento deve essere usato con raggio ed ampiezza di applicazione a seconda di quello che prevedono legislatori ed Authorities di settore.

Verificare quale sia la regolamentazione del tracciamento, significa altresì rivolgersi a tutte le fonti emergenziali connesse al tema e si tratta di un’operazione complessa dati i “chiari di luna” della ipengiofobia[10] attuale.

Il contesto normativo è infatti di per sé un problema in quanto alla pandemia sanitaria si è aggiunta la pandemia legislativa generale che incide in quanto il tema della tutela del diritto individuale alla riservatezza quale libertà personale non si esaurisce con la norma che introduce un’App, ma vive del contesto normativo di contorno che continuamente riconduce al tema della riservatezza in altri mille rivoli regolamentari[11].

Già agli esordi (fine marzo) era chiaro che “il DL Cura Italia primigenio necessita di oltre 30 decreti che serviranno per la sua attuazione e che presumibilmente non vedremo mai, dato che in Italia sono certe le tasse, la morte e la mancanza del decreto attuativo” e dato che solo al 31 marzo sono state generate più di 300 pagine di decreti legge, Decreti del Presidente del consiglio dei ministri, decreti ministeriali, ordinanze della protezione civile (alla data del 24 Marzo qui), in un corto circuito di norme, rimandi, modifiche a decreti precedenti con utilizzo di terminologie che paiono provenienti più da Wikipedia che da giuristi[12].

Successivamente si è giunti ad oltre 500 provvedimenti di vario genere e livello con il decreto “Rilancio Italia” che aggrava il contagio della pandemia normativa oltre ogni limite, dato che, in quanto a decreti attuativi “per ora ne sono stati contati 98, necessari per rendere attive tutte le procedure, senza poi contare le Circolari, Risoluzioni e provvedimenti Regionali per implementare i 266 articoli”[13].

Per la cronaca, a nulla è servito il distanziamento sociale dei politici indotto dalla situazione sanitaria in quanto sottoforma di emergenza hanno invaso il paese con migliaia di articoli altamente autoriproduttivi in quanto attuati da ulteriori regole regionali per effetto di contagio intra-legislativo.

La nostra malattia all’iperlegiferazione, genetica e cronica ostilità alla sintesi, ha condotto all’attuale asfissia normativa e alla necessità di iperventilazione dello studioso per salvarlo da morte certa.

In questa camera di rianimazione del diritto si inserisce anche la produzione di regole relative al trattamento complessivo dei dati nel contesto Covid-19: smart working, misurazione temperature dei lavoratori, geolocalizzazione, necessità di manifestare la volontà a distanza (tra cui volontà assembleari, volontà contrattuali) con strumenti di riconoscimento personale o biometrico e via dicendo.

Aggiungiamo poi ai provvedimenti normativi anti-coronavirus con risvolti privacy quelli delle Authority, facilmente rinvenibili in elenco sul sito del Garante nazionale costantemente aggiornato (ultimo aggiornamento dell’11 giugno di 41 fonti).

E ricordiamoci anche che, grazie al contesto normativo uniformato europeo dal GDPR in poi, anche le altre Authorities nazionali intra-UE hanno espresso il loro pensiero che rileva e, inesorabilmente, si aggiunge, a livello dottrinale-interpretativo, al pensiero del nostro Garante, in quanto attiene sempre alla fonte comune del GDPR e ne potremmo fare uso.

Insomma, per avere un quadro completo, si dovrebbe ragionare su una quarantina (27 Garanti oltre all’EDPB e ai vari Garanti dei Lander tedeschi, che si esprimono nell’autonomia loro concessa dallo Stato Federale) di fonti sulla tutela combinata di privacy e diritto alla salute il che è una partita persa in partenza[14].

Riguardo alla forma delle fonti aggiungiamo, alle FAQ di cui sopra, l’ormai variegato panorama del soft law in materia di Data Protection quale formante statuente/decidente/interpretante/chiarificante che si avvale di un carnet talmente variegato e duttile di pubblicazioni e fonti (?) ormai fuori controllo che prendono forma e nome di Linee guida, memorandum, circolari, pareri, comunicazioni, audizioni informali, webinars, videoconference, dichiarazioni congiunte[15] ecc., fungendo da effetto moltiplicatore allucinogeno che scolora il quadro di certezza del diritto su cui l’interprete fonda la validità di tutte le sue assunzioni e minando di continuo il terreno di Autorità della fonte classica del diritto per come intesa ancora da taluni nostalgici secondo cui “il rispetto dell’ordine costituzionale delle fonti non è concessione ad una mania classificatoria di specialisti autoreferenziali, ma la carne viva della democrazia “reale[16], quando ormai, per prassi, i nuovi formanti[17] assurgono allo stesso prestigio in un pericoloso confine tra diritto formale e diritto vivente che nessuno ha ancora tracciato e non si sa bene dove sia.

Ciò detto, con fatica, si è giunti alla composizione del marasma legale e della disputa sociale tra “restocasisti” e “viruscettici” dapprima con un documento finale di sintesi costituito dalle Linee guida 04/2020 EDPB sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata alla Covid-19 adottate il 21 aprile 2020 che non poteva che richiamare il quadro normativo vigente (Direttiva e-privacy e GDPR), sottolineando:

  • che “le informazioni, compresi i dati relativi all’ubicazione, raccolte direttamente dall’apparecchiatura terminale”, possono essere trattate solo su consenso espresso dell’Interessato e se la memorizzazione e/o l’accesso sono strettamente necessari al servizio della società dell’informazione esplicitamente richiesto dall’utente (art. 5 direttiva relativa alla vita privata e alle comunicazioni elettroniche cd. Direttiva E-privacy 2002/58/CE);
  • che sono possibili deroghe quando costituiscono una misura necessaria, adeguata e proporzionata all’interno di una società democratica per determinati obiettivi (art. 15 stessa fonte);
  • che ricordano come (ex art. 9 comma 2 lett. I GDPR) si possa prescindere dal consenso quando il trattamento è reso “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.

Nihil sub sole novi, dato che si tratta dei principi normativi arcinoti e appositamente richiamati dal Board.

Successivamente il Garante nazionale[18] ci ha reso noti i principi in base ai quali ha commisurato la tutela dei dati personali alla soluzione proposta dal Ministero della Salute (Titolare del trattamento) con DPIA[19] attraverso un adeguato perimetro di finalità, base giuridica ad hoc[20], termini di Data Retention (fine 2020) e nomina a responsabili di soggetti deputati alla gestione del tracing quali il MEF e la società SOGEI “Società Generale d’Informatica Spa” limitatamente all’uso del sistema TS (Tessera Sanitaria Nazionale).

A valle di ciò, quello che deve essere adeguatamente sottolineato è il capovolgimento di questa architettura di trattamenti.

Lo Stato, di norma, sancisce principi generali – anche un po’ astratti – in materia di Compliance in cui indica il comportamento necessario dei privati ovvero come devono essere trattati i dati dell’Interessato da parte del Titolare del trattamento e, giocoforza, si tratta di principi teorici e non molto pratici quali proporzionalità, necessità, minimizzazione, adeguatezza, tutte parole declinabili con diversi gradi di rigore a seconda di chi le deve applicare. Ciò che per l’uno è adeguato o proporzionale per l’altro non lo è.

È per questo che nel mercato abbiamo imprese Titolari del trattamento che adottano misure di sicurezza e adeguatezza più stringenti ed altre più blande.

Per questa incertezza circa il valore di determinate parole, il legislatore ha introdotto l’escamotagè di lasciarci liberi dichiarandoci auto-responsabili del trattamento (accountable).

Ora, invece, accade una cosa diversa.

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Lo Stato deve declinare in concreto per legge che cosa intende fare di fronte ad una situazione nuova in cui il Titolare del trattamento sarà lui, con un cambio di prospettiva totale; inutile è anche dire che se formalmente fosse stata Titolare la società privata incaricata del servizio che avesse consegnato allo Stato i dati, quest’ultimo sarebbe stato Responsabile dello stesso trattamento e la sostanza non sarebbe di molto cambiata, con lo Stato destinatario e controllore finale dei nostri dati[21].

Quindi ciò che ci interessa in concreto: vige l’accountability per il Titolare del trattamento Stato italiano (alias Ministero della Salute)?

Questo è il punto, perché al di là delle rassicurazioni di leggi e Garanti, esiste pur sempre una interpretazione autonoma dei principi di necessità, proporzionalità, minimizzazione ed eventuale eccedenza del trattamento che il Titolare ha ampiezza di manovra nel declinare in quanto accountable.

Pertanto, il pericolo che si palesa è che lo Stato, in quanto Titolare, non possa essere trattato diversamente dagli altri Titolari ed abbia libertà di azione in applicazione del principio di auto-responsabilizzazione nel trattamento dato che la normativa non ha sancito un’eccezione al principio nel caso specifico.

Sembra quindi inevitabile, per stessa struttura del sistema che, in quanto cittadini che acconsentono di ingerire nella loro sfera privata (valga oggi per Covid-19 e domani per qualsiasi altra ingerenza pubblica nella sfera privata) non ci possa essere detto, neppure volendo, quali siano esattamente i comportamenti concreti che lo Stato assume per autolimitarsi e preservare la nostra privacy (conosciamo i principi ma non i processi concreti di gestione) data l’autonomia in accountability che gli viene riconosciuta in quanto Titolare.

Il processo contrario (una profonda autolimitazione di manovra nei trattamenti) non dovrebbe contenere solo una enunciazione di principi, ma la descrizione precisa di misure concrete e operative che però sconfesserebbero l’autonomia del principio di cui sopra.

In sostanza, dato che chi tratterà i dati sarà proprio colui che fa anche le regole, in questa situazione di conflitto di interesse del redigente/tracciatore/Titolare/ non ci interessa che ci si dica come dovremo comportarci noi, ma come si comporterà Lui: il Titolare anomalo che ci governa con procedimentalizzazioni ed azioni di trattamento e preservazione dei dati, con meccanismi tecnici ed organizzativi posti a limite che dovremmo conoscere.

La costruzione di un modello rigoroso e ineluttabile di privacy by design è stata resa pubblica e condivisa in modo che il cittadino sapesse come e perché i suoi dati sono tracciati ma forse sarebbe stato necessario irrigidire un processo di accountability e non affidarsi a quello discrezionale adottato sul mercato, con differenze macroscopiche tra loro, dai Titolari del trattamento privati.

Non secondario è il profilo sanzionatorio su cui è necessario interrogarsi: già a priori, è arduo prefigurare che il Titolare-Stato (pur nell’ambito della sua longa manus giurisdizionale o amministrativa attraversi gli organismi a ciò deputati) possa sanzionare adeguatamente se stesso in caso di violazione.

Difatti, affermazioni di principio del tipo “saranno trattati solo i dati necessari” non significano nulla mentre occorrerebbe identificare il vero perimetro di azione di questo Titolare pubblico atipico dato che il fatto che sia detentore di potere politico amplifica le preoccupazioni di controllo sociale, addirittura rispetto a quello esercitabile da un controllore privato come ad es. le note multinazionali anch’esse coinvolte nelle operazioni di tracing che hanno altrettanti detrattori benché sia evidente che (a) già ci tracciano a 360 gradi e (b) non hanno comunque interessi diretti di condizionamento sociale sottesi.

Una volta tracciato questo perimetro, prevedere conseguenze repressive gravi in caso di violazione, forse ulteriori e ad hoc (come ad hoc è stata creata una base giuridica) per il caso speciale ed eccezionale di cui si sta discutendo e non il ventaglio di sanzioni già presenti nelle norme attuali.

Ulteriormente, qualora il quadro sanzionatorio attuale o potenziale fosse adeguato, chi garantisce che un domani il Titolare atipico non cambi normativa pro domo sua, proponendo all’opinione pubblica anche attraverso un pressing con mezzi di stampa di conservare i dati raccolti per altre meritevoli e nuove finalità, adducendo ciò come una nuova opportunità?

Un meccanismo di garanzia, che è assente, sarebbe stato, ad esempio, che gli obblighi di data retention e cancellazione Covid-19 fossero sanciti da fonte comunitaria con espressione di sanzioni nuova e ad hoc della stessa fonte, sicché se uno Stato si prolungasse nell’uso dei dati, sarebbe sotto il focus dell’UE e le Authority nazionali, tutte concordemente all’unisono, dovrebbero di conseguenza applicare le reprimende del caso senza indugiare.

Come si vede, la fonte non è forma, ma a volte diventa sostanza essenziale del diritto e delle garanzie del cittadino.

La fase applicativa e le difficoltà operative

Alcune considerazioni finali meccanismi di contact tracing (app) in sé, prescindendo dallo strumento adottato, vanno svolte.

Il meccanismo possiede ovvia valenza e funzione meritoria dato che è in discussione la salvaguardia della salute ed è già stato implementato da tempo in altri ordinamenti quindi possiamo verificarne la bontà all’atto pratico. Prima ancora delle verifiche interne dei prossimi mesi.

In alcuni ordinamenti (Singapore) è in uso da mesi un’app (Trace Together) e l’effetto dei pochi contagi era stato imputato anche al beneficio dell’uso di tale app salvo poi ricredersi per una successiva risalita del contagio e per la considerazione che lo scarso uso dello strumento non può, per ragioni statistiche aver influito positivamente sul controllo della pandemia.

In altri paesi (Olanda) a pochi giorni dall’introduzione si parla purtroppo già di data breach[22] e l’app è stata screditata e volge al disuso, a meno di successiva rivitalizzazione.

In generale non vi è un riscontro positivo laddove l’app sia entrata in uso.

La società francese Pradeo (società di sicurezza esperta nella mobile security) ha condotto uno studio sul livello di sicurezza e privacy di 30 applicazioni nazionali mobile (più comunemente conosciute come app) relative alla Covid-19.

Questo a seguito del fatto che molte nazioni hanno rese disponibili recentemente applicazioni mobile relative alla pandemia con vari scopi quali tracciare l’evoluzione del virus piuttosto che collezionare lo stato di salute dei loro cittadini.

Il risultato di questo studio ha mostrato che:

  • tre di queste applicazioni sono chiaramente problematiche;
  • più della metà delle applicazioni violano le regole di privacy.

Occorre vedere in che target si posizionerà l’app italiana Immuni, appena licenziata[23].

Ricordiamo il funzionamento del tracciamento: si tratta di monitorare i cellulari di Tizio e Caio non tramite geolocalizzazione ma tramite contatto tra gli stessi via Bluetooth: quando Tizio si ammala lui dà il consenso affinché, sempre in forma anonima, i vari Caio e Sempronio siano avvisati (perché lo dicono gli smartphone che raccontano della vicinanza tra loro e Tizio) che sono potenzialmente contagiabili da un positivo (non svelato) previo contatto sociale assunto.

Siamo sufficientemente garantiti dal funzionamento di un sistema di informazioni reso in forma anonima: Tizio non è identificato e non rilascia alcun dato personale (neppure l’indirizzo IP è conservato) e lancia dei codici che si linkano ad altri codici (telefoni incontrati in passato) per trasmettere ad altri soggetti notizia del contatto tra terminali partendo da quello del soggetto positivo.

Ci si chiede però: se il sistema è totalmente anonimizzato perché è sottoposto al GDPR?

Quando è in gioco la privacy è più logico pensare che si tratti di dati pseudonimizzati ovvero che, con processo di reversibilità, rendono in qualche modo rintracciabile il proprietario dei dati personali[24].

Letta l’informativa privacy di Immuni andrebbero effettuate considerazioni più approfondite in altra sede, in quanto non vi è chiarezza su molti profili ovvero su quali dati vengano eventualmente trattati e come siano rintracciabili in futuro dal Titolare, cosa che invece dovrebbe essere spiegato in modo lampante in ogni informativa (informativa già peraltro modificata in corso d’opera ovvero il 15 giugno a pochi giorni dal rilascio dell’app del 3 giugno).

Che senso ha infatti prevedere nell’informativa che “non oltre il 31 dicembre 2020 tutti i dati personali trattati dovranno essere cancellati o resi definitivamente anonimi.”? Se si tratta già di un sistema totalmente anonimo e “non risalente”, come di fatto viene descritto nel funzionamento dell’app cos’è che non è anonimo e verrà cancellato entro il 31dicembre 2020?

Si pensi che queste incertezze (circa il principio di anonimizzazione ed altri) erano state rese da noti esperti privacy a livello nazionale in audizione presso la Commissione del Senato incaricata[25] ma nessun accorgimento è stato poi recepito nel disegno di legge ora in discussione alla Camera.

Una exit strategy sicura e certa da cui non si possa prescindere, che eviti cioè usi aggiunti per altre sopravvenute urgenze del provvedere (una c.d. “sunset clause” che fissi termini certi di vigenza dei provvedimenti e di cancellazione dei dati) sarebbe stata quella posta da una fonte UE, come sopra accennato: dal momento della sconfitta dell’epidemia tutto dovrà essere distrutto seduta stante e chi verrà compromesso e scoperto ad aver trattenuto dati dovrà subire deterrenti sanzionatori adeguati, altrimenti una violazione non punita sarebbe tanquam non esset (nullum crimen sine poena).

Questi in sostanza i veri problemi senza volersi soffermare sulla bontà dei vari canoni di utilizzo e strutturazione dell’operazione di tracing che vanno – nelle varie app – dall’architettura di generazione di codici che dovrebbe garantire l’anonimato, all’applicazione di tecnologia di collegamento via Bluetooth senza geolocalizzazione (GPS) in quanto non è necessario per evidenziare i contatti tra persone, sapere dove fossero geograficamente (principio di necessità); all’exposure notification (terminologia usata da Google ed Apple) che è più elegante di contact tracing in quanto rende il concetto che non ti traccio e non ti seguo ma sei tu che mi rendi disponibile l’informazione-la notifica, ma in sostanza cambia poco); all’uso di modello decentrato o modello centralizzato, tema troppo importante per poterne parlare compiutamente in poche pagine ma è ovvio che se le informazioni raccolte rimangono nell’apparecchiatura terminale dell’utente anziché in quella di un “cervellone centrale”, le possibilità di uso (ma anche di abuso) del decisore saranno minori.

A margine di tutto occorre però anche riproporre un pre-argomento di policy generale che andrebbe tenuto in conto prima di attivare strumenti di limitazione dei diritti fondamentali dell’individuo costituito da una preventiva analisi di costi-benefici basata sull’efficacia della soluzione.

E qui il sistema scricchiola.

Ad esempio, come si fa a tracciare od ottenere il consenso di quei due miliardi di soggetti che non sono dotati della tecnologia adeguata sul pianeta[26]? Potrebbero essere i nostri anziani conviventi che sono peraltro i soggetti più a rischio.

È chiaro che l’app del parente (marito o figlio) più tecnologico potrebbe tracciare anche il congiunto senza tecnologia adeguata ma il dato sarebbe approssimativo e mediato in quanto non sempre i congiunti stanziano nello stesso luogo durante la giornata.

Rimane quindi aperto il problema di giungere alla soglia statistica di utilità funzionale del tracing tramite tecnologia applicata ai device in quanto la base dei consenzienti, necessari ai fini statistici è ricondotta dagli studi almeno il 60% della popolazione per l’attendibilità dei dati aggregati mentre gli studi in Italia sono ben lontani da quella soglia[27].

E si badi che non si tratta solo del cittadino privo di tecnologia di ultima generazione, ma anche e più semplicemente del cittadino che non presti il suo consenso.

In assenza di installazioni sufficienti, semplicemente il sistema non funziona.

Il consenso, appunto. Altro problema.

Il rigore legislativo si dovrebbe spingere oltre la soglia ionosferica della più ampia garanzia del cittadino circa la certezza del consenso prestato per risolvere casi di dubbio sul rilascio dello stesso.

E si ritorna al conflitto di interessi del Titolare-pubblico potere: normalmente lo Stato è arbitro della partita tra Titolare e Interessato: “Mi hai prestato il consenso. No, non è vero”.

Nel caso di specie, chi deve controbattere al cittadino che dichiari di non avere prestato il consenso al tracciamento e si ritrovi tracciato?

Si potrà rispondere che è facilmente determinare il rilascio del consenso in quanto coincidente con lo scaricamento dell’applicazione, ma nel caso in cui si cancelli l’app scaricata che accade?

Abbiamo la certezza che i nostri dati non vengano ancora raccolti e che non si sia più tracciati? Come possiamo avere fiducia nello Stato a cui chiediamo tutela circa l’accertamento della revoca del consenso tramite disinstallazione se è la controparte?

Occorrerebbe una soluzione indiscutibile e inoppugnabile, neutra e non manipolabile.

Penso, per analogia, all’inoppugnabilità del Registro delle opposizioni: è indubitabile che chi vi sia iscritto abbia espresso in modo inequivocabile una manifestazione di volontà che di per sé è prova inconfutabile e certezza circa ciò che nei suoi confronti si può fare o non fare in tema di contatto marketing (ovvero non possiamo telefonargli).

È un meccanismo sano anche perché obbliga le aziende o in ogni caso chi vuole trattare i dati altrui a compiere azioni pro-attive e ad informarsi circa la presenza dei soggetti che si vogliono contattare in questo elenco.

Una soluzione simile, concreta ed attivabile, avrebbe potuto essere quella di un “Registro provvisorio dei consensi al tracing temporizzati all’emergenza e sempre revocabili”; un registro che funziona al contrario dove confermo la concessione del consenso effettuata con l’app anziché negarlo e in cui sarebbe possibile attestare anche la sua revoca.

Questa soluzione prescinderebbe anche dal fornitore del servizio, ponendo il caso che possa cambiare in corso d’opera dopo le prime verifiche di efficacia o mancata efficacia della prima soluzione prescelta dato che è difficile per tutti competere in tecnologia con “Google & Apple United”.

Tale strumento potrebbe avere anche quella sorta di funzione di “contratto sociale di accesso”, scandendo con appropriatezza giuridica e tecnica di redazione inconfutabile che esso è concesso solo ed unitamente al contesto sanitario di emergenza odierno e che nessun trattamento ulteriore rispetto a quelli finalizzati alla tutela della salute pubblica verrà mai posto in essere e che se le autorità mai ponessero in essere trattamenti esorbitanti saranno sanzionabili sia dal punto di vista della responsabilità dell’ente che da quella personale, per i singoli funzionari incaricati del trattamento, quali preposti alla funzione pubblica che esercitano.

Questa funzione è iper-garantista rispetto al consenso espresso nell’app in quanto nell’informativa redatta in relazione al quale si prestano i consensi su terminale potrebbe nascondersi una formula anche involontariamente equivoca ed ambigua che lasci spazi aperti all’uso “esteso” o “parzialmente estendibile” del tracciamento mentre ciò non sarebbe possibile se tale “registro provvisorio dei consensi al tracing” o un suo strumento omologo, fosse provvisto di un Regolamento netto che sancisce la unicità del consenso relativa all’unicità straordinaria del trattamento.

In sostanza la pubblicità del consenso espresso (non nelle pieghe di una privacy policy letta sul telefono) sarebbe garanzia di trasparenza e uso costituzionale del dato personale.

Importante è infine il ruolo del soggetto “profilatore”, che opera per conto delle Autorità sulla base di licenza, rispetto ai meccanismi di compressione del diritto alla riservatezza.

E qui è noto che siamo di fronte a un contesto mondiale in cui da una parte stanno i due leaders dell’universo digital consociati (Apple e Google) e dall’altra le soluzioni alternative adottate ad hoc, sulla cui scelta ci siamo concentrati nel nostro paese.

La differenza è chiara: i leaders di mercato già ci tracciano e hanno da subito gli strumenti necessari per attendere alla richiesta dei Governi. Le loro tecnologie sono consolidate, il margine di un mal funzionamento minore. La facilità di esecuzione more friendly (“G & A United” hanno già dichiarato che si tratterebbe di un aggiornamento del sistema operativo, mentre per il resto del Mondo dei players si deve scaricare un’app).

Ai due leader il 90% della popolazione tecnologica mondiale (il 20% non lo è) ha già ampiamente concesso di raccogliere ogni tipo di dato; abbiamo già “l’ospite in casa”; i nostri consensi sono necessari per poter usare le mappe di navigazione, per poter inviare messaggi vocali o scritti e per tutta la serie di attività quotidiane che deleghiamo/compiamo al telefono.

Sarebbe stato più facile per un paese (ancor di più per chi ha limitate risorse) stringere un accordo con le due multinazionali per aprire, con un’operazione concertata, le loro banche dati già esistenti, semplicemente aggiornando il sistema operativo.

D’altra parte, si dice, il potere direttivo di una tale attività di tracciamento deve essere degli Stati: anche se a questa controindicazione, c’è chi rispondere che:

  1. potrebbe avere più interesse ai dati chi ora non li possiede (il nuovo player/lo Stato committente) rispetto a chi possiede già i dati di gran parte del genere umano;
  2. tale possesso consolidato è talmente radicato in Google ed Apple che hanno già dato ampia prova di buon uso dei diritti degli individui mentre non si sa cosa accadrà con l’altra soluzione;
  3. i Big Players, per dimensione economica, possono essere sanzionati se sbagliano (si pensi alla sanzione del CNIL – Garante francese verso Google nel recente passato) mentre chi sanziona sé stesso? Lo Stato che abusa dei nostri dati? O lo Stato sanzionerà serenamente, senza conflitto sostanziale di interessi, il suo licenziatario? E se lo sanzionasse, il licenziatario avrebbe la capacità economica di far fronte al pagamento?
  4. E, da ultimo, chi potrebbe opporsi meglio al pubblico potere che volesse usare in eccesso i nostri dati: Google ed Apple o il piccolo appaltatore di turno?

I punti sollevati esprimono tutta l’incertezza di valore di ipotesi e ragionamenti da condividere e non certo di asserzioni certe che, al momento, paiono impossibili da parte di chiunque sull’argomento.

Da ultimo, ribadiamo quanto già accennato: limitazioni della riservatezza “tanto per fare un tentativo” di tracciamento non sono ammissibili e i principi di privacy by design, di DPIA e di necessità e opportunità del trattamento dovrebbero essere generati non come espressione di garanzia del trattamento successivo ma come tecnica di screening preliminare adottata per verificare a priori il senso funzionale dell’opera.

In parole povere, come già egregiamente commentato[28], l’app è il punto di partenza e se non si vede all’orizzonte il punto d’arrivo meglio rinunciare a scardinare dati personali.

E qui sorgono altri dubbi relativi alla gestione politico-sociale della pandemia in Italia che differisce dalle scelte di fondo di altri paesi, dove il tracing sarebbe più giustificabile.

Difatti, il punto d’arrivo di cui occorreva verificare l’attuabilità tecnica e programmatica – ora e prima di agire con il tracing sui dati del cittadino – sarebbe quello di svolgere un’adeguata attività preventiva ed intercettare soggetti asintomatici da porre in quarantena, ma ciò stride con quanto avvenuto sinora in Italia che della sottovalutazione degli asintomatici e dell’uso scarno dei tamponi ha fatto una linea Guida espressa a più riprese e da più fonti, il che appare esattamente opposto agli scopi di un’app di tracciamento.

Mettiamo anche che questo “trend culturale” del famoso CTS (comitato tecnico scientifico) muti (direi tardivamente rispetto alla tragedia, ad esempio, dei non diagnosticati deceduti tra mura domestiche) occorrerebbe avere strumenti (essere capaci) di circoscrivere i potenziali contagiati inconsapevoli per avvertirli ed effettuare screening di medicina domiciliare che, visto il scarso (nullo) impiego della medicina preventiva sinora effettuato, spinge verso una prospettiva di uso inutile dei dati personali scaricati.

Un cambio di passo auspicabile sarebbe l’unico che potrebbe dare senso compiuto al sistema.

In altre parole, per il giurista-datista, la finalità del trattamento concretamente irraggiungibile è un po’ come per il civilista l’ipotesi del contratto nullo per impossibilità di perseguire l’oggetto (si caelum digito tetigeris) per cui il mondo dei sogni non concretizzabile renderebbe non solo non fattibile ma illegittima l’operazione di trattamento.

Conclusioni

Esprimo infine due osservazioni finali:

  • la prima: occorrerebbe pensare ad una più ampia cabina di regia, visto che il contatto pandemico è sovranazionale e che molti riprenderanno a viaggiare per l’Europa (territorio interamente interessato da questa devastazione) è importante tracciare sincronicamente anche i contatti francesi o tedeschi di un cittadino italiano e viceversa per salvare più esseri umani, sicché occorrerebbe un contesto di regole comuni (e app comuni) e una limitata diffusione reciproca o una differenziata tecnologia di paese in paese renderebbe inesistente una tutela sovranazionale ed europea;
  • la seconda: ci si sarebbe potuti accertare preventivamente (si fanno tante indagini di mercato meno importanti), quanti fossero disponibili al sacrificio dato che, si è detto, dal punto di vista scientifico-statistico il margine di popolazione necessario per poter validare l’affidabilità di un sistema di tracciamento simile anti-Covid è rilevante.

Ultima speranza per dirigere tutto questo traffico: la “Task force dati per l’emergenza Covid-19” (in totale 74 esperti e non entro nel merito del numero), il cui sottogruppo di lavoro dedicato ai “Profili giuridici della gestione dei dati connessa all’emergenza” contiene nomi di massimo livello nel contesto degli studiosi del diritto della protezione dei dati personali.

Buon lavoro. Ne abbiamo bisogno.

NOTE

  1. V., ad es., S. Rodotà, Elaboratori elettronici e controllo sociale, Bologna, 1973; Id., Il controllo sociale delle attività private, Bologna, 1977; Id., Tecnopolitica: la democrazia e le nuove tecnologie della comunicazione, Roma-Bari (1997-) 2004.
  2. S. Rodotà, Il diritto di avere diritti, Roma-Bari, (2013-) 2015.
  3. G. Silvestri “Covid 19 e Costituzione”, 10 aprile 2020.
  4. Se non fosse che anche le normative comunitaria e nazionale prevedono che per incidere su questi diritti occorra una fonte di rango determinato (sic. Art. 9 par. 2 lett. i) GDPR e art. 2 ter e 2 sexies Codice privacy).
  5. Lo Stato di emergenza e le limitazioni personali conseguenti in Francia, ad esempio, sono state decise in Parlamento.
  6. Intervista a Felice Cimatti, 13 aprile 2020 fonti varie.
  7. Riccardo Manzotti in Leoni Blog 8 aprile 2020.
  8. Valga per tutti Sabino Cassese “il giurista che sussurra consigli al Quirinale, fa a pezzi i decreti di Conte, definiti «frutto di poteri illegittimi»” di Tino Oldani in Italia Oggi del 16.04.2020 contra chi sostiene che dal Codice della Protezione Civile – dicunt – in casi emergenziali si possano adottare con urgenza soluzioni con DPCM.
  9. Le FAQ versus la legge o Gli Stati Generali (Think Tank autopromosso dal Governo con le parti industriali e sociali) versus il ruolo del Parlamento, evocano discussioni in corso sulla pericolosa “destrutturazione” di parte dello Stato di diritto per come lo conosciamo.
  10. Ipengiofobia: paura delle regole (su dizionari vari) ovvero nel nostro contesto dell’iperproduzione normativa e della confusione che provoca.
  11. Si pensi solo a cosa succederà e a come ci si dovrà comportare quando si riceve la notifica di essere stati in contatto con un soggetto positivo: a chi si ha il dovere di comunicarlo? Al datore di lavoro? Ai privati con cui sono stato in contatto da ultimo? In quanto, quale untore potrei essere dagli stessi citato per danni se si ammalassero e non si curassero per tempo a causa della mia mancata comunicazione di essere non infetto, ma anche e solo potenzialmente tale.
  12. Stefano Capaccioli “Il Coronavirus richiede statisti, ma vince la burocrazia e abbiamo solo statali”, in Econopoly – Il Sole 24 Ore, 31 marzo 2020.
  13. Stefano Capaccioli “Decreto Rilancio. Sette cose che proprio non vanno”, in Econopoly – Il Sole 24 Ore, 22 maggio 2020
  14. Dalla proliferazione delle fonti reciprocamente rilevanti tra vari paesi in applicazione di una normativa Comunitaria e dalle relative disamine di Authorities, giurisprudenza Europea e giurisprudenze nazionali basate su norme comuni Europee, nasce l’esigenza di data-base basati su sistemi legali esperti che traccino le singole esperienze nazionali per fornire tracce comuni utili agli operatori del diritto e si rende evidente la commistione interdisciplinare tra settore legal e settore tech.
  15. Cfr. nota 1 Penso a quella del 30 marzo 2020 di Chair of the Committee of Convention e Data Protection Commissioner del Consiglio d’Europa.
  16. Sempre Silvestri “Covid-19 e Costituzione”, 10 Aprile 2020.
  17. Sulla dottrina dei formanti vedi Rodolfo Sacco, opere varie.
  18. Provvedimento di Autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 – App Immuni, primo giugno 2020 [9356568].
  19. DPIA, sulla quale il Garante aveva giù espresso suo parere con Provvedimento n. 79 del 29 aprile 2020, doc web n. 9328050.
  20. La possibilità di ampliare le basi giuridiche è ammessa dal GDPR, che prevede la possibilità per le leggi dello Stato di costituirla ex art. 6 co. 3 “La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:a) dal diritto dell’Unione; ob) dal diritto dello Stato membro cui è soggetto il titolare del trattamento (omissis) Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al Capo IX”.
  21. La sostanza non cambia al punto che anche se formalmente lo Stato non fosse dichiarato Titolare dovrebbe esserlo per ruolo assunto nel trattare i dati di tracciamento, in quanto tra gli operatori del settore è noto che la Titolarità non si assume in maniera volontaria ma per ragioni di effettivo trattamento autonomo, sicchè, a mio parere, lo Stato sarebbe quantomeno il Contitolare del trattamento della società privata creatrice dell’Applicazione di tracing perché certamente la autorizza, la indirizza, ne controlla l’attività.
  22. cfr. “In Olanda falla l’app Covid 19 Alert! che ha subito un Data Breach in Federprivacy flashnews 20 Aprile 2020”.
  23. Per il momento si parla di flop avendola scaricata circa 3,5 di italiani, dato statisticamente insufficiente per un monitoraggio dei contagi.
  24. È elementare principio di coinvolgimento del GDPR il fatto che si sia in presenza di pseudonimizzazione (dati crittografati ma con potenziale processo di reverse encryption) mentre l’anonimizzazione (dati crittografati senza possibilità di successiva decodifica) non riguarda dati personali e, per stessa ammissione di legge, è fuori dal perimetro delle normative sulla privacy.
  25. Nello scorso mese alcuni noti giuristi di privacy sono stati ascoltati dalla Commissione Giustizia del Senato nell’audizione di esperti sui lavori di conversione in legge del d.l. 28/2020, che all’art. 6 reca la disciplina sul sistema nazionale di allerta Covid-19. Hanno informato i legislatori delle numerose criticità del testo, es: lo scarso coordinamento delle norme data protection del contesto emergenziale e i conflitti tra d.l. 18/2020 art. 14 – ora art. 17-bis della L. 27/2020 – d.l. 28/2020, art. 6, d.l. 30/2020 e gli artt. 7, 11 e 13 del DL Rilancio, i dubbi sulla effettiva anonimizzazione dei dati, ai sensi delle Linee Guida EDPB 4/2020 e del parere 5/2014 WP sulle tecniche di anonimizzazione; quelli sulla reale assenza di conseguenze se non si installa l’app (tematica attuale visto che gli italiani non la stanno scaricando). Risultato dell’audizione? Il 17 giugno i senatori hanno licenziato il testo dell’articolo 6 senza modificare una sola virgola e senza apportare alcuno dei miglioramenti suggeriti. Questo è il grado di impermeabilità della Politica rispetto ai contributi (tra l’altro richiesti!) dei professionisti. (fonte resoconto pubblicato su pagina Linkedin di uno degli studiosi intervenuti.
  26. Molti sono i cellulari entry level per caratteristiche tecniche tagliati fuori dal progetto dato che si parla di circa due miliardi di device non di ultima generazione al mondo, posseduti da utenti di fascia bassa che, forse, per condizione sociale, sono anche i più esposti ed attaccabili dal Virus (“2bn phones cannot use Google and Apple contact-tracing tech” – Financial Times Aprile 2020).
  27. Per i sistemi Android occorre la versione di Android 6.0 (“Marshmallow”) o successive dell’ottobre 2015 sicchè gli gli smartphone precedenti potrebbero non essere aggiornati (l’11% del totale secondo dati StatCounter, considerando anche che il sistema (API) necessario non è integrato direttamente in Android, bensì nell’applicazione di sistema “Google Play Services” (preinstallata di default in tutti gli smartphone Android) e aggiornata in automatico, a meno di malfunzionamenti che non eseguono l’update. Pare anche che l’App adottata non sia ancora perfettamente supportata da alcuni brand leader di mercato (Huawei e Honor). Per Apple è invece la versione 13.5 di iOS ovvero è necessaria la tecnologia minima di un iPhone 6s (del 2015) o successivo; Gli Apple precedenti all’iPhone 6s, quindi usciti prima del 2015, non potranno scaricare l’applicazione e sitratta di una limitazione del 30% circa del totale (fonte: Apple App Store).
  28. A. Lisi e F. Sarzana di S. Ippolito in AgendaDigitale 2 maggio 2020.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4