Ultimamente, circolano alcune voci sulla possibilità di replicare nel nostro Paese – come misura ulteriore di contenimento dell’emergenza sanitaria da Covid-19 – il c.d. “metodo coreano”, che, in sintesi, significa dare al Governo la possibilità di creare una vera e propria “mappa del contagio” tracciando gli spostamenti dei soggetti infetti tramite le celle telefoniche agganciate dai loro telefoni cellulari, i dati satellitari del GPS, piuttosto che quelli delle carte di credito. Se necessario, chiamando in causa anche i grandi colossi della comunicazione digitale come Google o Facebook. Tutto questo, in sostanza, per consentire ad ogni cittadino di sapere in anticipo se le persone che incrociamo per strada siano o meno affette da Covid-19 e, in caso, evitarle o prendere le dovute cautele.
Tra le voci più autorevoli che sostengono il progetto, c’è addirittura il Professor Giovanni Rezza, epidemiologo e Direttore del Dipartimento di Malattie Infettive dell’Istituto Superiore di Sanità (ISS), che in un’intervista a La Stampa propone di mettere da parte la protezione dei dati personali perché “siamo in guerra” e, quindi, “bisogna rispondere con tutte le armi che abbiamo”, aggiungendo – con certo savoir-faire – che le regole della privacy, in questo momento, “sono ca…te”. Nello stesso senso, in modo certamente più blando, si è espresso anche Luca Zaia, Governatore del Veneto, e persino l’Organizzazione Mondiale della Sanità (OMS), invocando controlli a tappeto, isolamento dei positivi e tracciamento dei loro contatti. Parallelamente, in questo mare magnum di misure straordinarie, c’è già stata la corsa di aziende e start-up ad elaborare le prime app per tracciare tutti gli spostamenti dei malati di Covid-19 che, dietro lo schermo dell’arginamento della pandemia, nascondono in realtà la raccolta di un quantitativo inverosimile di dati personali.
La domanda, a questo punto, sorge spontanea: un controllo così capillare dello Stato italiano sui propri cittadini, pur in una situazione emergenziale come quella che stiamo vivendo, sarebbe davvero in linea con la normativa in materia di protezione dei dati personali? Oppure configurerebbe, piuttosto, l’esercizio di una sovranità digitale non consentita dalle norme a tutela della privacy?
Se davvero si procedesse in questo senso, i limiti di una tale operazione – prima che ancora normativi – sarebbero di natura culturale: non a caso, i modelli che si vorrebbe adattare al nostro Stato provengono da Paesi – come Corea del Nord e, anche se in misura minore, la Cina – che, per quanto abituati a lavorare con grandi numeri, sono ancora poco civilizzati in materia di privacy.
Ma anche a voler accettare, con buona pace dei principi democratici, che lo Stato si trasformi in una sorta di Grande Fratello pubblico, è la normativa in materia di protezione dei dati personali a costituire, ad oggi, il principale scoglio: una disciplina che, per come è stata costruita, non ha bisogno di anticorpi per impedire che la battaglia al Covid-19 legittimi un trafugamento generalizzato di dati personali. In questo senso si è espressa anche Andrea Jelinek, Chair dell’EDPB (European Data Protection Board), chiarendo in un recente comunicato che “Le norme sulla protezione dei dati (come il GDPR) non ostacolano le misure prese nella lotta contro la pandemia di coronavirus” e che “Il GDPR (…) prevede anche che le regole si applichino al trattamento dei dati personali in un contesto come quello relativo al COVID-19”.
La risposta, infatti, è tutta all’interno del GDPR e della Direttiva 2002/58/CE, più comunemente nota come Direttiva e-privacy.
Se il Regolamento ammette una deroga al divieto generalizzato di trattare i dati sanitari senza il consenso dell’interessato (art. 9, par. 1) in presenza di “motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici” (art. 9, par. 2) – come meglio specificato ai considerando 46, 52 e 54 – non si spinge fino a consentire una geolocalizzazone in chiaro degli interessati.
Infatti, la c.d. Direttiva e-privacy, che regola il trattamento dei dati personali nel settore delle comunicazioni elettroniche (art. 3, par. 1), è rigorosa nell’indire che i dati “in chiaro” inerenti la geolocalizzazione degli interessati possono essere trattati esclusivamente previo consenso dei medesimi ovvero quale conseguenza dell’emanazione di una legge specifica diretta a tutelare esigenze straordinarie (art. 5), a condizione – precisa l’EDPB – che si tratti di una misura necessaria, adeguata e proporzionata e che lo Stato istituisca garanzie adeguate a tutela dell’interessato, come il diritto ad un ricorso giurisdizionale.
In assenza di queste condizioni, i dati satellitari potrebbero essere trattati solo in forma anonima e senza possibilità di meccanismi che consentano di risalire all’identità degli interessati.
Da queste indicazioni normative non ci resta che trarre alcune conclusioni.
Se lo Stato italiano, che tanto si sta attivando in questa situazione emergenziale, non interviene con una normativa ad hoc, con efficacia temporalmente limitata, a circoscrivere chiaramente finalità, durata, proporzionalità, sicurezza, cessazione e cancellazione dei dati di geolocalizzazione nel pieno rispetto dei principi del GDPR, oggi come oggi, non sarebbe possibile replicare il “modello coreano” al nostro Paese. Ma anche laddove il Governo intervenisse in via emergenziale, le eventuali misure adottabili dovrebbero sempre essere contemperate con i principi di adeguatezza e proporzionalità. Per esempio, come ha affermato il Garante Privacy, Antonello Soro, “apparirebbe sproporzionata la geolocalizzazione di tutti i cittadini italiani, 24 ore su 24”, dovendosi valutare prioritariamente la possibilità di ricorrere a misure meno invasive ma comunque efficaci nella lotta al contagio. Anche in questo caso: chi ci assicura che il dato verrà effettivamente utilizzato per motivi di sicurezza pubblica?
Diverse sarebbero le considerazioni ove si valutasse di acquisire informazioni in forma anonima e aggregata, tramite i dati registrati dalle celle telefoniche agganciate dai cellulari dei cittadini. In tal caso, le Autorità Istituzionali avrebbero a disposizioni informazioni “anonime”, in sostanza numeri, che in quanto tali non costituirebbero “dati personali” e quindi non rientrerebbero nel cappello applicativo del GDPR. È quanto è stato fatto, ad esempio, in Lombardia nei primi giorni di emergenza, utilizzando i dati telefonici forniti da Tim e Vodafone, oppure dall’Università degli Studi di Pavia che con l’aiuto di Facebook ha analizzato i dati sugli spostamenti da Nord a Sud nella notte del grande esodo, tra il 7 e l’8 marzo, dopo che il premier Conte ha annunciato la chiusura della Lombardia.
Non resta quindi che aspettare le mosse del Governo per il quale, in tempi di emergenza, si prospetta l’ennesima importante sfida. La speranza è che reagisca con misure pensate, ragionate e soprattutto scevre da qualsiasi logica politica, perché questo – lo dice Soro – “non è il momento dell’improvvisazione”.
Elena Massignani