Dei vari conflitti tra diritti, libertà ed interessi insorti con l’emergenza sanitaria Covid-19, la dicotomia privacy ed interesse collettivo alla tutela della salute ha trovato terreno fertile con l’ormai nota App Immuni e più in generale col tracciamento dei contagi, svolgendo la raccolta ed il trattamento dei dati personali, attraverso l’ausilio della tecnologia, un compito importantissimo per ostacolare il contagio.
In Europa si è scelto di affrontare la questione assicurando alti livelli di privacy e, più in generale, garantendo quanto possibile l’esercizio dei diritti e delle libertà individuali.
Sebbene il Comitato europeo per la protezione dei dati personali – nelle Linee-guida 04/2020 adottate il 21 aprile 2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19 – ha diplomaticamente concluso che a “nessuno dovrebbe essere chiesto di scegliere tra una risposta efficace all’attuale crisi e la tutela dei diritti fondamentali”, allo stesso tempo ha affermato che in tema di dati relativi all’ubicazione occorre sempre privilegiare il trattamento di dati anonimi e che per le operazioni che non sono strettamente necessarie dovrebbe essere richiesto il consenso dell’utente. Inoltre, il Comitato ha espressamente ritenuto che le app possano solo supportare, senza perciò sostituire, il tracciamento dei contagi manuale dei contatti da effettuare comunque attraverso personale sanitario pubblico qualificato.
In sostanza il Comitato ha suggerito che la pandemia non era tale da travolgere per definizione ogni diritto sulla privacy.
Cosa dispone il Regolamento UE n. 679/16
Eppure, a ben vedere, la stessa normativa europea sul trattamento dei dati personali, non imponendo tout court il primato della privacy di fronte al diritto alla salute ed all’interesse pubblico alla tutela della salute, permette agevolmente anche la formulazione di diverse conclusioni.
E difatti l’art 6 del GDPR dispone che il trattamento è lecito – tra le varie ipotesi – se necessario per la salvaguardia degli interessi vitali della persona e qualora sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
Di rilievo poi che detto articolo fa pienamente proprio quanto suggerito dal considerando 46 che per “rilevanti motivi di interesse pubblico” intende espressamente, a titolo esemplificativo, l’evoluzione e diffusione di epidemie.
Ed ancora, a supporto della liceità di iniziative limitative dei diritti sulla privacy, l’art. 89 specifica che il trattamento a fini di ricerca scientifica (da intendersi in senso lato a mente del considerando 159) può prevedere deroghe ai diritti dell’interessato nella misura in cui tali diritti rischiano di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche; deroghe che il considerando 156 talaltro incoraggia ad opera dei singoli Stati membri.
Ora, essendo onerato il titolare del trattamento dei dati di ogni valutazione in applicazione della legge, la stessa normativa europea ha lasciato libertà agli Stati membri di decidere se il titolare del trattamento debba o meno consultare l’autorità di controllo per ottenere l’autorizzazione preliminare al trattamento per l’esecuzione di un compito di interesse
pubblico, quale la protezione sociale e la sanità pubblica.
Lo sviluppo della questione in Italia
In Italia l’Esecutivo, al fine di tracciare i contagi, benché come anticipato non imposto, ha deciso di richiedere al Garante della Privacy l’autorizzazione ad avviare il trattamento di dati personali relativo al “Sistema di allerta Covid-19”- App “Immuni”.
Ora, in base all’art. 2quinquiesdecies del novellato D.lgs. 30 giugno 2003, n.196 (c.d. Codice della Privacy), con riguardo ai trattamenti svolti per l’esecuzione di un pocanzi richiamato compito di interesse pubblico, il Garante ha la facoltà di prescrivere misure e accorgimenti vincolanti a garanzia dell’interessato e l’art. 110bis, nel richiamare il già citato art. 89 del Regolamento comunitario ed il rischio di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità, specifica che il Garante può autorizzare il trattamento anche quando, a causa di particolari ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, a condizione che siano adottate misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, comprese forme preventive di minimizzazione e di anonimizzazione dei dati.
Insomma, se la normativa europea ipotizza – al fine di scongiurarla – l’impossibilità di raggiungere il fine attraverso il trattamento ulteriore che non consenta (più) l’identificazione, la norma italiana appare pretendere in ogni caso misure a tutela della privacy.
Inoltre, se da un lato era facoltà del Governo consultarsi con il Garante della Privacy, allo stesso tempo quest’ultimo aveva, stando al dettato normativo, la sola facoltà di prescrivere misure e accorgimenti.
Non sfugga poi invero che lo stesso Garante, durante l’iter di approvazione di Immuni per il tracciamento dei contagi, ha chiaramente manifestato che il suo parere è stato espresso sulla premessa posta dal Governo della volontarietà del tracciamento.
In ogni caso, ed a prescindere da tale ultima considerazione, a riguardo dell’app Immuni né il Governo né l’Autorità indipendente hanno intravisto nel diritto alla salute ovvero nell’interesse pubblico collettivo alla tutela della salute quella finalità dal conseguimento gravemente pregiudicato da far venir meno, anche in minima parte, le garanzie sul trattamento dei dati personali.
Insomma si è deciso che la privacy gode, quantomeno nel breve periodo, di maggior attenzione in confronto alla salute che – appare forse il caso di ricordarlo – l’art. 32 della Costituzione italiana tutela espressamente e distintamente come diritto fondamentale dell’individuo ed interesse della collettività.
Eppure recentemente con la legge Gelli-Bianco il legislatore aveva stabilito che la “sicurezza delle cure è parte costitutiva del diritto alla salute ed è perseguita nell’interesse dell’individuo e della collettività”. In altre parole, oggi la sicurezza delle cure non si concretizza solo attraverso l’attività prettamente clinica ma in concerto a “tutte le attività finalizzate alla prevenzione e alla gestione del rischio”, da quelle socio-sanitarie sino a quelle organizzativo-gestionali, quali appunto la necessità del tracciamento del contagio.
Dunque rimangono forti interrogativi sui motivi che hanno guidato le autorità sulla gestione del tracciamento e con fatica ci si accontenta di risposte basate sulla matrice democratica.
Ciò detto, se questo è stato l’approccio alla questione, vale la pena soffermarsi sull’iter che ha condotto al lancio dell’app Immuni e su alcune considerazioni.
In Italia, come detto, si è deciso di impostare il Tracciamento dei contagi e l’uso dell’app sulla base giuridica della volontarietà, senza pregiudizio per le persone che non intendono o non possono utilizzare l’applicazione.
Inoltre, in osservanza dei principi di minimizzazione ed anonimizzazione, si è optato per un tracciamento dei contagi di prossimità che esclude la geolocalizzazione e la pseudonimizzazione dei dati per garantire l’anonimato, senza la possibilità di riassociazione a soggetti identificabili.
A tal fine, sono state altresì introdotte misure volte ad assicurare il tracciamento delle operazioni compiute dai gestori sui sistemi e sulla rete.
Dunque, nell’uso della tecnologia come mezzo a contrasto della problematica sanitaria, sono stati imperativamente posti i paletti della scelta volontaria dell’interessato al trattamento del dato e le garanzie per crittografare e anonimizzare tali dati al fine di impedire il rivelamento dell’identità.
In pratica, ci si ritrova a fare i conti con un tracciamento dei contagi volontario ed anonimo che, per una maggiore efficacia, utilizza le interfacce di programmazione (c.d. API) di Google ed Apple – e dunque affida sostanzialmente parte della sicurezza del paese ad un sistema chiuso, privato, sulla cui trasparenza vi sono ben pochi dubbi – e che costringe il personale sanitario a trasmettere al sistema i dati anonimizzati dell’utente contagiato.
Su queste premesse l’App Immuni è risultata un “flop” e i due i principali imputati che hanno concorso al suo fallimento sono la base volontaria del tracciamento e la complessità del trattamento del dato per garantire l’anonimizzazione.
Rimane ad oggi la certezza che l’approccio europeo non ha fornito soluzioni efficaci alle problematiche scaturite da una crisi che da sanitaria si è sviluppata in economica e sociale.
Il modello Cinese
A livello globale la Cina è sicuramente il paese che più ha saputo dimostrare un efficace sistema di contrasto alla diffusione del Coronavirus, parte del merito può essere sicuramente rintracciata nell’utilizzo capillare delle app di tracciamento.
Tuttavia, benché in Cina il peggio dell’epidemia possa ormai dirsi alle spalle, difficilmente si può dire lo stesso per le app di monitoraggio del governo. Queste ultime, infatti, stanno silenziosamente diventando un un elemento fisso della vita quotidiana della popolazione, pur essendo suscettibili di essere utilizzate in modi inquietanti e invasivi.
La popolazione Cinese, infatti, è tuttora obbligata ad utilizzare le App di tracciamento, le quali stabiliscono chi deve essere messo in quarantena o chi possa utilizzare o meno i mezzi e gli spazi pubblici.
L’app in questione porta il nome di Alipay Health Code ed è stata realizzata dal governo cinese con l’aiuto della Ant Financial, società controllata dalla multinazionale colosso dell’e-commerce Alibaba.
Ai cittadini, una volta effettuata l’iscrizione attraverso l’app di pagamento online Alipay, viene attribuito, in base al proprio stato di salute e al possibile rischio di contagio, un codice QR di tre possibili colori, verde, giallo o rosso. Il colore verde indica – intuitivamente – la mancanza di rischi e la possibilità di circolare sul territorio, il codice giallo si “accende” qualora venga rilevato un contatto con un soggetto positivo al Covid-19 e impone una quarantena preventiva di sette giorni, il rosso invece sta a significare alto rischio di contagio e l’obbligo di quarantena di almeno due settimane.
La tecnologia QR permette, dunque, la verifica immediata dello stato di salute dell’utente attraverso la scansione del codice ogni qualvolta si voglia entrare in spazi pubblici, supermercati, edifici sanitari o mezzi di trasporto pubblico. Ne consegue che, chiunque dovesse essere sprovvisto di tale codice o dovesse avere un codice di colore diverso dal verde si vedrebbe precludere l’accesso.
Ma non è tutto, perché dopo essersi registrato, l’utente autorizza – volente o nolente – l’accesso diretto ai dati raccolti dall’app, quali la propria localizzazione, il nome della città e un codice identificativo, alle autorità governative cinesi.
In questo modo, le autorità governative hanno un occhio costantemente puntato su ognuno dei 900 milioni di utenti della Alipay Health Code, senza che questi ultimi vengano informati sulle modalità e finalità del trattamento effettuato.
Insomma in Cina il virus è stato vinto optando per un sistema obbligatorio di monitoraggio centralizzato, del tutto intrusivo, per consentire il tracciamento dei contagi e con cui il governo gestisce un database che aggrega qualunque informazione sull’utente.
In definitiva, nell’incapacità del modello europeo di applicare con risolutezza la propria stessa legge, è il principio di applicazione asiatica del mezzo che giustifica il fine ad aver ottenuto i veri risultati.
A cura dell’Avv. Alfonso Massimo Cimò e del Dott. Nicolò Shargool – Studio Legale Meplaw
