Cerca
  • Penelope Scomparsi

Contact Tracing e Privacy, cosa sappiamo

Aggiornato il: apr 8

«Una persona che era stata al ristorante X tra le 19:00 e le 20:00 è risultata positiva al test. Abbiamo disinfettato l’area e chiuso il ristorante» questo è un tipico messaggio che arriva sugli smartphone delle persone presenti nell’area. Per chi frequenti Taiwan, Singapore, il Giappone o la Corea del Sud, tali notifiche cosiddette push, quelle che arrivano direttamente sullo schermo del vostro telefonino, sono la normalità durante le emergenze.

Di sicuro, la maggior parte di voi starà inorridendo pensando alla violazione della privacy, del GDPR, della propria intimità e libertà, ma forse sarebbe meglio se cercassimo di capire brevemente cosa sta avvenendo “dall’altra parte del mondo” prima di lasciarci andare a facili emotività.

Iniziamo da Taiwan che prima ancora che lo scoppio dell’epidemia divenisse di dominio pubblico in tutto il mondo, si è mobilitata e ha incominciato a diffondere subito informazioni essenziali alla popolazione all’insegna della massima trasparenza. Merito soprattutto della passata tragica esperienza di epidemia di Sars (2002-2003), le autorità dell’isola cinese si sono mosse tempestivamente. Già da gennaio, aiutate da molte iniziative private, hanno fatto in modo che ogni cittadino sapesse come agire, quale comportamento tenere e dove procurarsi le mascherine, con applicazioni di cellulare costantemente aggiornate su dove trovarle in tutta l’isola. Dall’inizio di gennaio il governo di Taipei ha istituito un unico centro di comando e controllo per coordinare gli sforzi sanitari.

Un’altra storia di successo è la città-Stato di Singapore, che ha impiegato metodi preventivi simili a quelli di Taiwan. Anche in questo caso, l’esperienza dell’epidemia di Sars è servita molto. Il premier Lee Hsien Loong, dopo un discorso esemplare per calma, ottimismo e chiarezza, ha messo in atto tecnologie di geolocalizzazione simili al governo di Taipei.

Il caso della Corea del Sud può dunque essere più interessante per noi e per tutti, perché è una dimostrazione di come si sia riusciti a contenere un’epidemia che si era già rapidamente diffusa.

Per tracciare i casi sospetti, in Corea del Sud sono arrivati per primi degli sviluppatori privati, che hanno creato delle applicazioni per i cellulari che mostrano la mappa dei contagiati. Senza rivelare le loro identità personali, le mappe indicano dove si trovano i contagiati, dove si sono spostati, che locali hanno frequentato, fornendo automaticamente la loro posizione alle Autorità. In questo modo, grazie alla georeferenziazione dei casi di contagio e alla identificazione dei singoli focolai su mappe molto precise, i coreani, pur continuando ad essere liberi di muoversi, sanno dove è più pericoloso andare. Starete sicuramente pensando che l’altra faccia della medaglia di questo sistema è il rischio di una caccia all’untore. Benché si tratti di sistemi che rispettano la privacy un privato bravo a investigare sul Web può incrociare i dati a disposizione e risalire all’identità del malato e dei suoi contatti. Ma in casi di emergenza nazionale, o meglio globale, veramente vogliano nasconderci dietro un dito?

Ecco il sito: Coronamap.live, che ha come sottotitolo “Guarda dove puoi girare in sicurezza”, con un click gli utenti possono vedere se ci sono casi noti di coronavirus nel loro quartiere. Molti cittadini consultano la mappa per proteggersi tenendosi lontani dalle aree dove si concentrano le infezioni.

A dar vita al sito è stato il diciannovenne (sì, 19 anni!), diplomato in informatica Ryan Jun-seo Hong.

In realtà, anche l’Italia è arrivata a questo sistema; o meglio, Carlo Alberto Carnevale Maffè, docente di Strategia presso la Scuola di Direzione Aziendale dell’Università Bocconi, tra gli autori insieme con Alfonso Fuggetta, professore del Politecnico, di un progetto per combattere la diffusione del coronavirus tracciando i contatti (contact tracing in inglese) del paziente attraverso i big data in arrivo dagli smartphone. Questo progetto, un paio di giorni dopo l’esplosione dei casi di coronavirus in Lombardia, è stato recapitato all’indirizzo dei vertici della Regione che però lo hanno di fatto ignorato, preferendo proseguire – come tuttora si sta facendo – a ricostruire i contatti di un malato di Covid-19 “manualmente”, senza l’ausilio di tecnologie digitali. Atteggiamento tipicamente italico di chiusura verso le nuove tecnologie e le persone “nuove” proattive e propositive.

Ma cosa sono i Big Data?

Big data (grandi dati in inglese) è un termine che descrive un grande volume di dati, strutturati e non strutturati, che inonda il mondo informatico ogni giorno. Ma non è la quantità di dati ad essere importante: ciò che conta veramente è quello che si fa con i dati. I big data, per contare qualcosa, devono essere analizzati alla ricerca di informazioni di valore (come ad esempio la geolocalizzazione, ma non solo!) che portino a decisioni migliori e/o a mosse strategiche.

L’utilizzo in Italia dei big data, quindi, avrebbe anche potuto consentire di circoscrivere le zone in cui i contagi sono avvenuti, così da potere eventualmente adottare misure di contenimento forti della pandemia solo dove necessario e non indiscriminatamente su tutto il territorio italiano e senza un’apparente ratio (perché non chiudere tutto, uffici, negozi e trasporti inclusi, fin da subito?), come invece è stato fatto. Per ora, il progetto messo a punto dagli studiosi non è stato adottato né a livello regionale né nazionale. L’emergenza dei malati, da quel che si apprende, è stata considerata prioritaria, anche se, se si intervenisse a monte sui contagi con apposite mappature, significherebbe intervenire proprio sui malati stessi!

Quella dei Big Data rappresenta una pratica sempre più diffusa nel contesto economico-politico e sociale a livello globale.

Come noto, i dati sono una risorsa economica a tutti gli effetti; per questo molte organizzazioni, grazie anche ai progressi compiuti nel campo della Information e Communication Technology (ICT), tendono:

-a raccogliere una mole sempre più vasta di dati di qualsiasi tipo, attingendoli da diverse fonti (social networks, cookie, e-mail, internet of things, navigazione satellitare, video sorveglianza, pagamenti elettronici, ecc.)

- ad elaborarli in tempo reale, e poi

- ad estrarre da questi dati raccolti nuove informazioni.

I dati raccolti ed elaborati attraverso i processi descritti non hanno però sempre natura personale; anzi, nella maggior parte dei casi sono anonimi.

Chi intenda effettuare operazioni di trattamento secondo la metodologia propria dei Big Data, dovrà prima di tutto accertarsi della natura personale o meno dei dati trattati così da identificare la cornice normativa di riferimento ove operare; in caso di dati personali troverà applicazione il GDPR, in caso contrario, il Reg. UE 2018/1807 relativo alla libera circolazione dei dati non personali nell’Unione Europea.

Sfortunatamente, la tecnologia può rendere oggi un dato anonimizzato e domani renderlo nuovamente dato personale, incrociando una serie di data base.

Ecco perché, in questa prospettiva, appaiono alquanto utili quelle tecniche di anonimizzazione, come la randomizzazione e la generalizzazione, tendenti ad inserire nel dataset elementi di disturbo o distorsione; l’effetto che si ottiene è quello di un sovraffollamento di dati (c.d. crowding) tale da rendere più difficoltosa la re-identificazione delle persone.

Facciamo quindi una considerazione ulteriore.

Se per l’acquisizione e l’utilizzo dei Big Data dobbiamo attenerci scrupolosamente alle restrittive normative, come potremmo acquisire e utilizzare questi dati al fine di adottare misure di contenimento di un contagio?

Intanto diciamo subito che già in data 31 gennaio 2020 il Consiglio dei Ministri si era riunito per accertare e dichiarare lo stato di emergenza sul territorio nazionale.

Nell’ambito di detto stato di emergenza, il Capo Dipartimento della Protezione Civile aveva ritenuto opportuno rivolgersi al Garante della Privacy al fine di ottenere un parere favorevole in merito alla bozza di ordinanza relativa al trattamento dei dati personali sanitari, relativi alla salute, ai sensi di cui all’art. 9 oltreché i dati di cui all’art. 10 del GDPR.

Con riferimento a detta richiesta il Garante si era pronunciato favorevolmente, in particolare sostenendo che:

a) i soggetti di cui all’articolo 1 della stessa nonché quelli operanti nel Servizio nazionale di Protezione civile (artt. 4 e 13 del D. Lgs. 2 gennaio 2018, n. 1), possono “effettuare trattamenti, ivi compresa la comunicazione tra loro, di dati personali anche relativi agli artt. 9 e 10 del GDPR, che risultino necessari per l’espletamento della funzione di protezione civile al ricorrere dei casi di cui agli artt. 23, comma 1, e 24, comma 1, del D. Lgs. 2 gennaio 2018, n. 1”, con una scadenza fissata al 30 giugno 2020;

b) i dati personali raccolti possono essere comunicati a soggetti pubblici e privati diversi da quelli di cui alla lettera a), nonché è ammissibile la diffusione dei dati personali diversi da quelli di cui agli artt. 9-10, laddove la comunicazione e diffusione siano necessarie ai fini dello svolgimento delle attività previste dall’ordinanza stessa;

c) il trattamento dei dati personali deve avvenire in conformità ai principi sanciti ai sensi di cui all’art. 5 GDPR restando inteso che, attesa l’emergenza, occorre “contemperare la funzione di soccorso con quella afferente la salvaguardia della riservatezza degli interessati”.

Poi in data 06/03/2020 il Garante della Privacy, proprio in materia di coronavirus, si è occupato di quali debbano essere gli adempimenti per la raccolta dei dati, offrendo ulteriori e più specifici chiarimenti in merito alle misure che soggetti pubblici e privati devono adottare relativamente al trattamento dei dati personali in conformità alle disposizioni di cui al GDPR. Il Garante, infatti, ha dichiarato di aver ricevuto numerosi quesiti posti da soggetti pubblici e privati in merito alla possibilità di raccogliere “all’atto della registrazione di visitatori e utenti di informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura preventiva.

In particolare, l’Autorità ha invitato i soggetti titolari al trattamento dei dati, siano essi pubblici o privati, a attenersi scrupolosamente alle indicazioni fornite dal Ministero della Salute e dalle istituzioni competenti per la prevenzione della diffusione del Virus, diffidandoli dall’assumere qualsiasi iniziativa autonoma relativa alla raccolta di dati personali, anche sanitari relativi alla salute, di utenti o lavoratori, che non sia normativamente prevista o disposta dagli organi competenti.

Infatti, ciò che rileva è certamente l’obbligatoria conformità della raccolta dei dati ai sensi di cui all’art. 5, che stabilisce e determina i principi generali cui necessariamente occorre conformarsi nell’ambito del trattamento dei dati personali.

Nello specifico, infatti, il Garante ha rilevato che “l’accertamento e la raccolta di informazioni relative ai sintomi ... e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate”.

Da ciò ne deriva che, solo gli organi qualificati, competenti e a ciò preposti, possono procedere al trattamento di tali categorie particolari di dati, al fine di rendere, pertanto, illegittimo ogni trattamento eventualmente effettuato da soggetti pubblici e/o privati.

Detto questo e dato per assodato che presupposto minimo è procedere alla pseudonimizzazione dei dati personali degli interessati, in conformità con quanto disposto ai sensi di cui all’art. 5 GDPR al fine di garantire il diritto alla riservatezza, quale estrinsecazione di un altro principio fondamentale della nostra Carta Costituzionale, rinvenibile estensivamente ai sensi di cui all’art. 15, occorrerebbe procedere ad corretto bilanciamento tra il diritto alla riservatezza e il diritto alla salute.

Se rispetto ad esempio al diritto di cronaca, quest’ultimo soccomberà rispetto al diritto alla riservatezza, l’utilizzo dei Big Data a fini di contenimento della pandemia da COVID 19 potrebbe e dovrebbe essere consentito qualora operato da soggetti qualificati e secondo criteri di bilanciamento di interessi costituzionalmente garantiti.

Già in ambito penalistico (in tema di rilevamento satellitare tramite GPS) – in un’ottica di prevenzione di reati - alcuni autori hanno prospettato l’introduzione di una disciplina che si uniformi al principio di stretta necessità e di proporzionalità, soprattutto a seguito dell’entrata in vigore della legge francese del 2014 sulla tecnica di “geolocalizzazione”(Loi n. 372 “relatif à la géolocalisation), promulgata il 28 marzo 2014, che ha inserito, all’interno del Titolo IV del libro I del Code, un nuovo Capitolo V intitolato “De la géolocalisation”.

Ai posteri l’ardua sentenza.

IL COMITATO SCIENTIFICO DI PENELOPE SCOMPARSI UNITI


4 visualizzazioni