30 Mar Monitorare gli smartphone: si può fare, ma con garanzie dei nostri diritti

Riproponiamo qui l’articolo scritto su agendadigitale.eu da Luca Bolognini, Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati e Founding Partner di ICT Legal Consulting. L’articolo originale è fruibile a questo link: agendadigitale.eu/sicurezza/monitorare-gli-smartphone-si-puo-fare-ma-con-garanzie-dei-nostri-diritti.

Il virus non aspetta: bisogna approvare, e di fretta, un “ultimo miglio” di regole a garanzia dei nostri diritti e permettere il monitoraggio dei dati di localizzazione dei telefoni per individuare con più precisione contatti, spostamenti e attività sociali di soggetti contagiati o a rischio. Ecco come

Un po’ tutti, compresi i giuristi esperti di privacy e protezione dei dati personali, in questi ultimi giorni ci stiamo domandando: potrebbe lo Stato italiano attivare il monitoraggio dei nostri dati di traffico telematico e telefonico nonché dei dati di localizzazione dei telefoni per individuare e perimetrare con più precisione contatti, spostamenti e attività sociali di soggetti contagiati o ad elevato rischio di contagio da covid-19, come è stato fatto con buoni risultati in Corea del Sud e, in modo più rigido, in Cina?

La risposta è sì, a certe condizioni. Vediamo quali, prima di spiegare perché, però, sarebbe meglio scolpire nella legge, il più in fretta possibile, precise garanzie e salvaguardie a tutela dei nostri diritti (durata delle misure emergenziali, minimizzazione dei dati raccolti ed elaborati, cancellazione delle informazioni).

Lavori in corso in Italia per il tracciamento

L’art. 76 del Decreto Cura Italia, approvato il 17 marzo 2020, prevede che la Presidenza del Consiglio dei Ministri o il Ministro delegato nominino un contingente di esperti per studiare soluzioni innovative, tecnologiche e di digitalizzazione al fine di contrastare e contenere il diffondersi del coronavirus. È chiaro che l’obiettivo è dotare anche lo Stato italiano di “armi” elettroniche per il contact & people tracing, cioè per individuare e perimetrare con più precisione contatti, spostamenti e attività sociali di soggetti contagiati o ad elevato rischio di contagio.

Come è stato fatto con buoni risultati in Corea del Sud e, in modo più rigido, in Cina. Sfruttando la collaborazione con le compagnie di telecomunicazioni e con i cosiddetti over the top (social network in primis). Lo propongono da più parti esponenti dell’università e delle imprese (tra tutti, ricordo la proposta di Carlo Alberto Carnevale Maffè e Alfonso Fuggetta in Italia).

Pare che, in effetti, la task force in questione – guidata da Walter Ricciardi dell’Oms, secondo quanto si legge sulla stampa – si trovi ai nastri di partenza, e dal 23 marzo inizierà a “pedalare” a pieno ritmo. L’errore più grande che potrebbe fare questo gruppo di valorosi esperti – ma non lo farà, no – sarebbe relegare gli aspetti normativi e di privacy e protezione dei dati a mere questioni ancillari, da “far risolvere” al Garante per la protezione dei dati personali. Il Governo deve invece decidere e fissare le regole che consentono il trattamento di dati nell’emergenza, assumendosene la responsabilità e facendosi certamente consigliare dagli esperti, ma non può delegare al Garante queste scelte. Il Garante darà preziose raccomandazioni, non ne dubitiamo, ma la normativa di copertura deriverà dal legislatore, cioè dal Consiglio dei Ministri e, poi, dal Parlamento.

Ebbene, quali problemi si pongono per il contact tracing all’italiana? La domanda che si pongono un po’ tutti, compresi i giuristi esperti di privacy e protezione dei dati personali, è: potrebbe lo Stato italiano attivare un monitoraggio di questo tipo, così invasivo e generalizzato, in una situazione di emergenza come quella che stiamo vivendo?

La risposta è sì, a certe condizioni.

Lo “scivolo” normativo per il diritto privacy emergenziale

L’art. 23 del Regolamento UE 2016/679 (il famoso GDPR) ammette deroghe all’applicazione di parti importanti della disciplina in materia di protezione di dati personali, in molti casi di interesse pubblico essenziale; tra questi, rientra certamente l’emergenza di sanità pubblica. Sostanzialmente, oggi, alle stesse deroghe previste dal GDPR rinvia anche l’art. 15 della Direttiva ePrivacy 2002/58/CE, in materia di tutela della vita privata e della riservatezza nelle comunicazioni elettroniche. Non solo: l’art. 9 paragrafo 2 lettera i) dello stesso GDPR ci ricorda che il trattamento di dati personali, anche sensibili, va considerato lecito, pur senza consenso degli interessati, “se è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero […], sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”. Ancora, il Considerando 46 del GDPR ricorda che “alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”.

Per attivare le app e i sistemi di monitoraggio telematico delle persone, sul territorio italiano, a scopo di contrasto e contenimento dell’epidemia, sarebbe abbastanza? No. Il GDPR e la Direttiva ePrivacy richiedono che le deroghe siano specificate nel diritto dell’Unione o nel diritto interno dello Stato membro. Quindi serve una norma nazionale – meglio: un grappolo di norme primarie e secondarie – a chiarire che lo Stato, e chi per lo Stato, possa attivare un simile tracking. Dunque, guardiamo in Italia: la delibera del Consiglio dei Ministri che ha dichiarato lo stato di emergenza è stata approvata il 31 gennaio 2020; un decreto legge (il 14 del 2020) prevede, all’articolo 14, il potere di trattare dati personali, anche sensibili o giudiziari, per tutti i soggetti partecipanti al sistema di protezione civile, nei limiti di quanto necessario e indispensabile per la finalità di contrasto all’epidemia e di relativa prevenzione ed assistenza sanitaria.

Per completare lo “scivolo” normativo, che consenta di assicurare una base giuridica senza interruzioni e di scaricare a terra con continuità questo “diritto privacy emergenziale”, serve un’ordinanza ex art. 25 del Codice della protezione civile: è l’ordinanza del Capo del Dipartimento della Protezione Civile, n. 630 del 3 febbraio 2020, pur generica, sulla quale il Garante per la protezione dei dati personali ha già dato parere positivo in data 2 febbraio e che viene legittimata, in definitiva, dal pur successivo D.L. 14/2020, sopra menzionato.

A questo punto, secondo alcuni giuristi – ma se ne discute animatamente e i punti di vista sono differenti – se la Protezione Civile (alias la macchina dello Stato impegnata con molti attori pubblici e privati nella dura battaglia contro il COVID-19) volesse avviare il tracciamento dei contatti e degli spostamenti via smartphone, servirebbe anche una migliore e più espressa specificazione, nelle norme di legge esistenti (ad esempio in fase di conversione dell’art. 14 del Decreto Legge 14/2020) o in una nuova legge, dell’utilizzabilità per questi fini dei dati di traffico telematico e telefonico, nonché dei dati di localizzazione dei telefoni; questo, per riuscire a sfondare il muro di “lex specialis” rappresentato dalla normativa in materia di privacy e comunicazioni elettroniche (e, non dimentichiamolo, anche dall’art. 15 della Costituzione e dall’art. 7 della Carta dei diritti fondamentali UE).

Il precedente a favore di un’immediata attivabilità dei tracciamenti

L’eccessiva “generalità” dell’attuale art. 14 D.L. 14/2020 e dell’Ordinanza del Capo Dipartimento della Protezione Civile 630 del 3 febbraio 2020 potrebbe non bastare per quei tipi di dati telefonici e telematici, insomma. Ad avviso di altri esperti, quella normativa generale di emergenza basterebbe eccome, poiché l’art. 15 della citata direttiva ePrivacy rimanda, appunto, alla disciplina generale delle deroghe, oggi contenuta nel menzionato art. 23 GDPR di cui il Decreto 14/2020 è chiara attuazione.

A favore dell’immediata attivabilità, legibus sic stantibus o, al più, con soltanto un’Ordinanza aggiuntiva e specifica del Capo Dipartimento della Protezione Civile a prevedere il sistema di contact tracing, quantomeno con riferimento ai dati di localizzazione, troviamo un precedente proprio fra i Provvedimenti dell’autorità Garante per la protezione dei dati personali. Nel lontano dicembre 2008, il Garante ravvisò in una base giuridica “generale” (la salvaguardia dell’incolumità e della vita delle persone) l’utilizzabilità da parte di autorità di soccorso dei dati sulla localizzazione delle celle agganciate dai telefonini di soggetti dispersi in montagna. Il Garante, allora, non ravvisò la necessità di una norma speciale a legittimare quel trattamento emergenziale di dati.

Due punti per garantire i diritti dei cittadini tracciati

Tutta la “trafila” normativa evidenziata sopra, frutto del dibattito tra giuristi, potrebbe destare sgomento: queste discussioni e riflessioni possono apparire simili alle elucubrazioni autoreferenziali e accademiche di dotti e professori all’antica, intorno al capezzale del malato mentre quest’ultimo, disgraziato, rischia di morire. La metafora è purtroppo non lontana dalla realtà reale. È pertanto necessario correre. Bisogna approvare un “ultimo miglio” di regole, se necessario, e chiudere il cerchio quanto prima. Il virus non aspetta.

Correndo, più che appassionarsi a tecnicalità relative al “sesso degli angeli” (lex specialis aut generalis?), sarebbe sensato che:

• si scolpissero nella legge (che si tratti del Decreto 14/2020 in fase di conversione o di un altro articolo di legge ad hoc, poco conta) precise garanzie e salvaguardie per la tutela dei diritti delle persone, con particolare riferimento alla durata di queste misure emergenziali digitali, alla minimizzazione dei dati raccolti ed elaborati, alla cancellazione di tali informazioni
• E, soprattutto, sarebbe importante che si prevedesse un meccanismo per la verifica periodica, sistematica e severa dell’effettivo perdurare dello stato di necessità in relazione all’uso di tali tecnologie traccianti. Non basta legarne la durata allo stato di emergenza formale, al momento semestrale, deliberato dal Consiglio dei Ministri: servirebbe fissare ex lege un esame costante, intermedio, per valutare quando, pur in pendenza dello stato d’emergenza, tali misure di tracciamento invasivo delle nostre vite digitali dovranno essere ridotte o almeno attenuate. Chi dovrebbe essere investito di tale controllo? Il Garante per la protezione dei dati personali, o perfino, direttamente, come potere aggiuntivo rispetto a quanto già stabilito ex art. 137 della Costituzione, la Corte Costituzionale.

Come si realizza, tutto questo? Semplice: scrivendo alcune righe di buoni articoli di legge e di regolamentazione secondaria, che rendano tali misure conformi all’art. 23 del GDPR. Niente di insormontabile, se si prende sul serio la problematica.

In conclusione

In definitiva, il Governo e il Parlamento non dovranno avere paura. Avere paura significherebbe relegare e delegare al Garante per la protezione dei dati personali – che non è né scienziato né legislatore – il “disegno tecnico” di questi sistemi e delle relative regole dal punto di vista della privacy e della protezione dei dati personali.

Senza rallentare la corsa, viceversa, il legislatore dovrebbe includere nella task force anche esperti di privacy, tosti, coraggiosi, di mentalità aperta, e congegnare un meccanismo che nasca, by design, rispettoso dei diritti e intriso di garanzie per le persone.