Covid-19 e protezione dei dati personali.

“Vi controlliamo attraverso le celle telefoniche”. Queste le parole pronunciate dall’assessore al Welfare della Lombardia, Giulio Gallera, dopo aver riscontrato, per mezzo dei dati raccolti dagli operatori telefonici, che nella Regione quattro persone su dieci continuano a muoversi nonostante i divieti del governo. Un numero che è ovviamente allarmante – considerando soprattutto che, sulla base delle stesse informazioni, si riscontra che prima che scoppiasse l’emergenza le percentuali non si discostavano di molto da quelle sopracitate – e che testimonia probabilmente come il messaggio non sia stato recepito dai cittadini. Un’affermazione, quella di Gallera, che deve essere interpretata come un monito, e non come un’effettiva sorveglianza sui cittadini. Mettiamo le cose in chiaro: tali dati non permettono l’identificazione dei singoli individui, ma sono esclusivamente concernenti il tracciamento degli spostamenti in generale.
Un monito che però non deve essere sottovalutato in giorni difficili come quelli che stiamo vivendo. Sono state infatti diverse in questi giorni le dichiarazioni relative alla necessità di limitare la protezione dei dati personali dei cittadini italiani – e di quelli europei in generale – per sconfiggere il Coronavirus. Dagli esperti irlandesi che hanno espresso il proprio parere positivo circa la possibilità di appropriarsi delle password degli account Google, al Robert Koch Institute – l’istituto di sanità pubblica tedesco – il quale sta considerando l’utilizzo dei dati personali provenienti dai cellulari delle persone risultate positive, l’eco del successo della strategia sudcoreana risuona forte. I dati forniscono inoltre un’ulteriore spinta alle voci di coloro che spingono per utilizzare dette strategie: in Corea infatti, a parità di casi, il numero di decessi è inferiore. Questo è un dato che fa riflettere, in quanto è ovviamente irrisorio pensare che i sudcoreani siano più resilienti al virus degli italiani. Le strategie digitali, ovvero la limitazione del diritto alla protezione dei dati personali, possono dunque essere una risposta a detta di molti. In questi giorni ci si interroga dunque pesantemente sulle scelte da prendere a tal proposito. Ad ogni modo, è necessario considerare che all’interno dell’Unione Europea vige un regime di protezione dei dati personali differente da quello sudcoreano. Un regime che è indiscutibilmente il più stringente al mondo, ma che contiene comunque degli elementi di flessibilità. Procediamo però per gradi, incominciando da una disamina di quella che è stata la strategia messa in campo dalle autorità di Seul.
In Sud Corea si è sostanzialmente fatto uso di un’applicazione per smartphone sviluppata dal Ministero dell’Interno e della Sicurezza, la quale permette, a chi ha ricevuto l’ordine di non uscire di casa, di rimanere in contatto con gli assistenti sociali e di riferire i progressi fatti. Ovviamente tale applicazione utilizza il GPS al fine di tracciare le posizioni degli stessi, così da controllare effettivamente che non violino la quarantena. L’elemento attrattivo che induce all’utilizzo di tale app è la possibilità di controllare se nelle vicinanze ci sono altre persone contagiate. Per questo l’applicazione ha potuto riscuotere successo anche tra i non contagiati, considerato che in Sud Corea si è imposta la quarantena anche a coloro che sono entrati in contatto – anche essere stati nella stessa stanza di un individuo che ha mostrato i sintomi del Coronavirus – con un infettato. Le deroghe dunque derivano dall’utilizzo di un’applicazione, la quale permette agli interessati di conoscere le basi giuridiche e lo scopo del trattamento per mezzo dell’informativa e delle condizioni d’uso. In letteratura sono però molti gli studi che testimoniano la scarsa propensione alla lettura delle condizioni d’uso, ovvero la difficoltà relativa alla comprensione degli stessi. Problematiche dalle quali origina il cosiddetto fenomeno del “consent paradox”, che in questo caso rischia di essere esacerbato dalla sopramenzionata attrattività di tale applicazione, e dal senso di emergenza che per forza di cose deriva dal diffondersi del virus.
Sebbene, dunque, la strategia segua un approccio bilanciato, non è esente da criticità, soprattutto se si considera l’impianto normativo europeo in materia di protezione dei dati personali. A tal proposito, il Presidente del Comitato Europeo per la Protezione dei Dati, Andrea Jelinek – così come altre Autorità di controllo nazionali, tra le quali quella francese e quella danese – ribadendo come il GDPR presenta delle basi giuridiche per consentire alle autorità pubbliche di trattare i dati personali in situazioni di emergenza senza il consenso degli interessati, ha altresì ricordato come le stesse dovrebbero però condurre trattamenti concernenti l’ubicazione in modo anonimo – ecco spiegato perché ai sensi della normativa europea le affermazioni di Gallera sono meramente da considerarsi un monito – e dunque per mezzo di un’elaborazione di dati aggregati tali da impedire che tali possano essere convertiti in dati personali, come per esempio limitandosi alla rilevazione di concentrazioni di cellulari in un dato luogo.
La strategia sudcoreana dunque è un’opzione allettante, ma che mal si concilia con la normativa europea. Nonostante ciò, è doveroso sottolineare come essa, permettendo di ricostruire gli spostamenti dei soggetti infetti, permetterebbe altresì di imporre divieti nelle aree meno colpite dal virus. Un buon compromesso potrebbe dunque essere la possibilità di utilizzare delle strategie simili, omettendo alcuni dati, utilizzando le cosiddette tecniche di pseudoanonimizzazione e – ad esempio- permettendo esclusivamente ai cittadini di conoscere se un soggetto infetto sia stato in una determinata zona così da evitarla, o alternativamente alle autorità di comprendere dove siano potuti potenzialmente occorrere dei contagi. Una soluzione dunque che, nel rispetto del principio di minimizzazione, potrebbe essere presa in considerazione quando la situazione inizierà a “normalizzarsi”. Ricordiamoci infatti che, nell’ordinamento europeo, ogni limitazione dei diritti e delle libertà fondamentali – e la protezione dei dati personali è considerato un diritto fondamentale all’interno della Carta di Nizza – deve essere necessaria e proporzionata. Stiamo vivendo giorni in cui alla popolazione sono già imposte – giustamente – forti restrizioni alla libertà di movimento, e la stessa libertà di impresa è soggetta a forti interferenze. Ulteriori restrizioni, come quelle alla protezione dei dati personali, potrebbero risultare eccessivamente sproporzionate.
Siamo una democrazia, crediamo nello stato di diritto e nella tutela dei diritti e delle libertà fondamentali. Come già scritto qui, chiunque si definisca liberale non deve scordarselo e rimanere all’erta.