La Privacy è nostra alleata nella lotta al Coronavirus

Il maremoto causato dalla più grave crisi di questa generazione ha già intaccato profondamente le nostre libertà fondamentali. Ed il concludersi dell’isolamento potrebbe non coincidere con la fine delle limitazioni.

La ministra dell’innovazione Paola Pisano ha twittato che al 24 marzo erano già arrivate 270 proposte per tecnologie utili a fini di monitoraggio, prevenzione e diagnostica del virus COVID-19. Le modalità tecniche con cui raggiungerlo sono differenti (dati delle celle telefoniche, geo-localizzazione tramite GPS, e così via) ma l’obiettivo è unico: tracciare le catene di contatto dei soggetti positivi al fine di isolare sul nascere ogni possibile nuovo focolaio pandemico. Se da un lato non ci si stupisce delle possibilità tecniche offerte dalle nuove tecnologie, dall’altro bisogna essere consapevoli che si tratterà della più grande operazione legale di monitoraggio di massa della storia del nostro paese. Nel frattempo, giornalisti autorevoli come Milena Gabanelli hanno dichiarato che «possiamo farcela se non ci incartiamo nella privacy», come se la privacy fosse una costruzione astratta di qualche sadico burocrate e non un diritto fondamentale sancito dalla Carta dei diritti fondamentali dell’Unione Europea e dalla Convenzione europea dei diritti dell’uomo. Se la frase fosse stata, più correttamente, «possiamo farcela se non ci incartiamo nei diritti e nelle libertà fondamentali» avrebbe avuto un’eco decisamente più inquietante.

Inoltre, ed è importante sottolinearlo, la privacy (ma sarebbe più corretto riferirsi alla più generale ‘protezione dei dati personali’) consiste di un’architettura giuridica molto più flessibile di quello che si è comunemente portati a pensare ed è in grado di sopportare compressioni significative, come quella che sta venendo preparata, senza tuttavia venire meno. In questo senso è sbagliato e pericoloso semplificare, auspicando una generale “deroga della privacy” per permettere allo Stato di effettuare ogni attività necessaria a monitorare la popolazione. Infatti, le norme attualmente in vigore, tra cui il celebre GDPR, sono in grado di retrocedere quando situazioni eccezionali come quella che stiamo affrontando lo richiedono, per poi ri-espandersi non appena vengono meno le ragioni che hanno giustificato la restrizione. In altri termini, la normativa in materia di protezione dei dati personali non pone ostacoli all’agire del Governo laddove il monitoraggio della popolazione sia rispettoso dei principi fondamentali dettati dal GDPR. In particolare, ci si riferisce ai principi di correttezza, trasparenza, necessità, proporzionalità, pertinenza, minimizzazione e non eccedenza.

L’adesione rigorosa a questi principi è la nostra principale difesa da quella che è stata definita qualche giorno fa da Yuval Harari sul Financial Times come sorveglianza sottopelle (under-skin surveillance). Il problema ovviamente non sta tanto nelle finalità principali di un eventuale monitoraggio di massa finalizzato al tracciamento dei contatti sociali degli infetti e al contenimento di questa paurosa pandemia, quanto piuttosto nella voracità della tecnologia e nelle sue pericolose lusinghe. Infatti, un simile monitoraggio di massa potrebbe essere relativamente indolore in quanto tale ma potrebbe al contempo spostare pericolosamente la soglia di accettazione sociale rispetto a operazioni di controllo invasive. Se oggi i punti di riferimento sono il modello Korea del Sud ed i successi conseguiti da questo paese nello sfruttare la tecnologia per limitare la circolazione del virus, domani potrebbe sembrarci non così assurdo imporre a tutti i soggetti appartenenti alle catene di contatto degli infetti l’adozione di dispositivi indossabili per il monitoraggio remoto dei dati relativi alla salute. Ancora, laddove le attività economiche cominciassero a venir riaperte, i medesimi strumenti di geo-localizzazione potrebbero venir utilizzati dalle autorità di pubblica sicurezza per verificare che la cittadinanza non si discosti dalle prescrizioni dei vari decreti. La qualità e quantità dei dati raccolti sarebbero eccezionali e bisogna rammentare che le moderne tecnologie di big data analytics, se rese libere da vincoli di finalità, sono in grado di estrarre correlazioni impensabili, economicamente inestimabili ed estremamente pericolose. Come nel caso delle possibilità di manipolazione della natura da parte delle scienze, dove uno iato di tutela tiene distinte le possibilità offerte dalla tecnica e le applicazioni ritenute legalmente (ed eticamente) accettabili, allo stesso modo l’applicazione dei principi di protezione dei dati ci protegge dal caos, dall’arbitrio dei potenti e dagli spettri del totalitarismo.

Passando ad aspetti più tecnici riguardanti il percorso giuridico sottostante ad eventuali attività di sorveglianza sanitaria di massa, l’art. 23 del GDPR prevede che gli Stati membri possano derogare a numerosi obblighi di dettaglio in una serie di circostanze, tra cui il perseguimento di importanti obiettivi di sanità pubblica e sicurezza sociale. In maniera analoga si esprime la Direttiva 2002/58/CE in materia di protezione dei dati personali nelle comunicazioni elettroniche. A questo proposito, il Governo ha già spianato la strada a future operazioni eccezionali di trattamento dei dati dei cittadini italiani mediante l’art. 14 del Decreto Legge 14 del 2020, il quale prevede la possibilità per la protezione civile, per il Ministero della Salute, per l’ISS e per altri soggetti di trattare dati personali per il raggiungimento dei propri obiettivi in connessione all’emergenza COVID-19. Se la via è tracciata dal punto di vista delle norme di copertura, ci si chiede quale sarà il ruolo dell’Autorità Garante per la Protezione dei Dati Personali. Infatti, è opinione di chi scrive che il ricorso all’Autorità non debba essere usato dal Governo come strumento di auto-assoluzione e che, al contempo, il Garante non debba limitarsi a fornire il proprio parere. Al contrario, sia per le ragioni di straordinarietà della fattispecie, ma anche per le esigenze di celerità imposte dalla drammaticità della situazione, si ritiene che il Garante dovrebbe selezionare al proprio interno un gruppo di lavoro dedicato alla supervisione e controllo delle operazioni di monitoraggio.

Provando ad osservare questa grande sfida dall’altro lato della medaglia, può scorgersi come concetti generalmente ritenuti terreno per le speculazioni dei teoreti – come ad esempio la ‘protezione dei dati fin dalla progettazione e per impostazione predefinita’ (privacy-by-design/default), il binomio pseudonimizzazione-anonimizzazione, la limitazione della conservazione e del riuso dell’informazione – giocheranno un ruolo cruciale nella tutela delle nostre libertà più care. Anche la tecnologia, nella sua neutralità, potrà aiutarci a combattere il virus senza perdere i nostri diritti, basti pensare alla possibilità offerta da tecniche come la homomorphic encryption di effettuare operazioni di analisi di dati avanzate su dati crittografati. Infine, nei limiti in cui non ne mini gli obiettivi, qualsiasi operazione di controllo e trattamento dati di massa dovrà essere ispirata dal massimo grado di trasparenza nei confronti dei cittadini. Infatti, ricordando le parole di Louis Brandeis, padre del moderno concetto di privacy, la luce del sole è il migliore dei disinfettanti, la luce dei lampioni il più efficiente dei gendarmi.