L’ATTACCO DEL CORONAVIRUS ALLA PRIVACY MONDIALE

Prof. Avv. Lorica Marturano

La COVID-19 (acronimo dell’inglese CoronaVirus Disease 19), o malattia respiratoria acuta da SARS-CoV-2 (dall’inglese Severe acute respiratory syndrome coronavirus 2) o più semplicemente malattia da coronavirus è entrata nelle vite di tutta la popolazione mondiale in maniera improvvisa e violenta, proprio come gli effetti del virus. Da un giorno all’altro i Governi delle varie nazioni colpite si sono trovati a dover scegliere tra la tutela della privacy e quella della salute, cercando, pur nella supremazia di quest’ultima, di contemperarle entrambe.

La necessità di limitare il più possibile la diffusione del contagio, evitando il sovraccarico delle strutture sanitarie, ha richiesto misure sempre più stringenti e strumenti di controllo più incisivi per vigilare sulla attuazione di norme dettate in questo clima emergenziale in tutto il mondo.

Un excursus degli interventi nei vari Stati.

Il 31 dicembre 2019 la Commissione Sanitaria Municipale di Wuhan (Cina) ha segnalato all’Organizzazione Mondiale della Sanità un cluster di casi di polmonite ad eziologia ignota nella città di Wuhan, divenendo il primo Paese in cui il virus si è diffuso.

Per il contenimento del contagio la Cina ha fortemente intensificato il suo sofisticato e criticato sistema di sorveglianza, con circa 200.000.000 telecamere di sicurezza installate in tutto il Paese utilizzando specifiche applicazioni per la creazione di cluster di big data con la polizia e registrazione per prendere i mezzi pubblici, il blocco di intere città, il controllo rigoroso della diffusione delle informazioni, la sorveglianza degli individui al fine di far rispettare la quarantena ai pazienti infetti e per mappare i movimenti degli stessi.

Il sistema si impernia sul “numero di identificazione nazionale”, che permette di “schedare” in modo completo ogni cittadino, inclusa l’eventuale diagnosi di infezione da coronavirus. La localizzazione e l’isolamento dei focolai, grazie alle nuove tecnologie adottate, ha consentito di limitare fortemente il contagio.

La Corea del Sud, invece, ha adottato una politica soft di contenimento volontario del contagio, con una capillare diffusione delle informazioni verso i cittadini. Il sistema si basa sul progetto già avviato di “Smart City” del governo centrale, ed è sviluppato di concerto tra vari ministeri (Interno, Scienza, Telecomunicazioni, infrastrutture e Trasporti) e i centri di controllo e prevenzione delle malattie infettive. Soprattutto la legge coreana, modificata dopo l’epidemia di Mers del 2015, ha consentito alle autorità di accedere ai dati delle telecamere, a quelli di tracciamento tramite GPS da telefoni e automobili, alle transazioni con carta di credito e altri dati personali per finalità di controllo delle malattie infettive.

Inoltre, il sistema coreano prevede l’istituzione di un sito web nel quale confluiscono le informazioni da diffondere al pubblico, comprese le statistiche sui contagi, i decessi, i guariti, e l’indicazione degli spostamenti delle persone contagiate. Fino a giungere ad un’App creata dai ministeri dell’interno e della salute che registra la geo-localizzazione dell’interessato.

Si tratta di un approccio altamente invasivo della privacy, ma, a differenza della Cina, l’uso della App è del tutto volontario e si basa sul consenso dell’individuo; tuttavia la diffusione dei dati, per quanto “anonimizzati” hanno creato gravi conseguenze alla popolazione.

In sintesi, il sistema si basa su un’ampia trasparenza delle attività di contrasto dell’infezione, in modo da alimentare la fiducia nell’operato del governo, ma anche per realizzare misure idonee verso i contadini che sono contagiati.

Uno degli ultimi Stati ad aver sposato la terapia “zero privacy” per combattere l’epidemia è stato Singapore (così come Hong Kong) che ha annunciato di avere imposto ai propri cittadini, aggiungendo a tutto “il pacchetto tecnologico” di controllo anche l’invio di continui messaggi sullo smartphone per controllare chi è in isolamento, sorveglianza totale anche attraverso telefonate a cui rispondere mandando un selfie per dimostrare dove ci si trovi in quel momento incrociate al rilevamento istantaneo della posizione tramite Gps.

C’è da aggiungere, poi, oltre ad una massiccia campagna di controllo in un territorio con una popolazione numericamente esigua, si devono aggiungere frontiere aeree, navali e terrestri sigillate e quarantena forzata sin dai primi casi di contagio; una sanità ad altissimo livello; la disciplina della popolazione e, non ultima, la disponibilità di grandi risorse economiche spese immediatamente dal governo per contrastare l’epidemia.

Anche Israele ha scelto una via di mezzo pur senza mettere in atto la massiccia sorveglianza cinese che sta derogando alla privacy. Il primo ministro, in data 14 marzo 2020, dopo aver dichiarato lo stato di emergenza ed aver imposto restrizioni severe, ha dichiarato di voler utilizzare sistemi di sorveglianza tecnologica che i servizi segreti usano nella guerra al terrorismo. Si tratterebbe di un programma per ricostruire gli spostamenti dei soggetti che risultano positivi al Covid-19 mediante la geo-localizzazione. Oltre a questo, verrebbe verificato che i positivi non violino il periodo di isolamento a casa. Il Procuratore Generale avrebbe già dato la propria approvazione alle misure speciali, mentre i servizi segreti hanno garantito che non verrà violata la privacy e le informazioni non saranno sfruttate per imporre la quarantena, ma dovrebbero servire a ricostruire la mappa degli spostamenti degli infettati. Quest’ultima dichiarazione dovrà essere verificata e desta non poche perplessità.

Le misure di emergenza permettono alla polizia di tracciare i cellullari dei contagiati senza la necessità di un ordine del tribunale. I dati verranno utilizzati anche per informare le persone che potrebbero essere venute a contatto con un contagiato per far rispettare i termini di quarantena. Le nuove disposizioni prevedono che le informazioni vengano eliminate quando le misure decadranno. Inoltre, al ministero della Sanità è consentito di conservare i dati per altri 60 giorni oltre questa scadenza per motivi di “indagine interna sulle attività condotte dal Ministero”. In prima linea è stato schierato lo Shin Bet, i servizi segreti interni, autorizzato a rintracciare tutti coloro che sono entrati in contatto con persone sospettate di essere state infettate prima che il virus venisse diagnosticato. Lo Shin Bet può utilizzare a questo scopo gli strumenti solitamente impiegati per contrastare il terrorismo, seppur con meno libertà rispetto alla polizia.

Inoltre, l’azienda israeliana NSO specializzata in Spyware, ha annunciato di aver sviluppato una tecnologia in grado di analizzare gli enormi volumi di dati per mappare i movimenti delle persone contagiate e per identificare con chi sono venuti a contatti. Questi dati, poi, possono essere utilizzati per fermare la diffusione dell’infezione.

Il software sviluppato dalla NSO raccoglie ed elabora le informazioni relative al tracciamento dei telefoni cellullari delle persone infette per un periodo di due settimane – il tempo di incubazione del coronavirus – e poi confronta questi dati con quelli raccolti dalle compagnie nazionali di telefonia mobile che individuano i cittadini che sono stati nelle vicinanze del paziente per più di 15 minuti e sono vulnerabili al contagio. Lo strumento di analisi dei dati contro il coronavirus è il primo prodotto della NSO ideato per uso civile (per quest’ultimo aspetto, cfr Sole 24 ore “dall’antiterrorismo al coronavirus: così un’azienda israeliana traccia l’epidemia”).

L’INDIA ha adottato una app “Aarogya Setu”, il cui nome tradotto dal sanscrito significa “Un ponte di salute“, la quale utilizza i dati sulla posizione del telefono e il Bluetooth al fine di valutare se un utente è stato vicino ad una persona con Covid-19. I dati restano sul dispositivo in forma crittografata – pertanto anonima – e condivisi con il Governo solo nell’ipotesi in cui un utente sia positivo al coronavirus ovvero sia entrato in contatto con una persona ritenuta positiva.

L’app, lanciata dal Ministero dell’Elettronica e della Tecnologia dell’Informazione e creata in collaborazione con aziende private, ha anche una funzione di ‘triage’ digitale per aiutare l’utente a riconoscere i sintomi del coronavirus. L’applicazione supporta 11 lingue ed include aggiornamenti in tempo reale dal Ministero della Salute, ed un elenco di numeri di assistenza per ogni stato in India.

Gli USA. Anche gli Stati Uniti stanno fronteggiando l’emergenza coronavirus e già nello scorso febbraio Google si è fatta avanti per offrire uno strumento volto a tranquillizzare la popolazione offrendo informazioni aggiornate sul virus e consigli per verificare il rischio di essere contagiati. Si chiama Verily, un portale operativo solo in alcune zone della California, il quale consente a chi teme di essere stato contagiato di richiedere l’accesso ad un test. In particolare, agli utenti viene chiesto di rispondere ad un questionario, al termine del quale il sito dirà loro se sono idonei ad essere testati per la positività e dove effettuare il test. L’utilizzo del sito desta non poche perplessità in ambito privacy, perché l’utente deve fornire una serie di informazioni personali sensibili e inoltre deve utilizzare un account Google e, quindi, i dati sopravviveranno all’emergenza.

Una delle ultime soluzioni adottate è quella del Massachusetts Institute of tecnology (MIT) di Boston che risulta una combinazione di GPS e bluetooth, che avvisa l’utente nel caso di incontro con una persona positiva, garantendo al contempo la protezione dei dati, i quali rimangono sul dispositivo. L’App Private Kit in questione ha come obbiettivo prioritario la protezione dei dati. I dati dei movimenti, infatti, non sarebbero salvati in server centralizzato, ma sul dispositivo, in modo che nessuno potrà mai sapere dove si è stati e con chi.

Dopo l’installazione l’App inizia a registrare la posizione GPS, fornendo all’utente l’opzione, su base volontaria, di importare le geo-localizzazioni di Google per capire dove è stato negli ultimi 28 giorni. I dati sono importati come punti cardinali. Quando il paziente positivo dà il consenso all’accesso dei dati salvati sul dispositivo mobile, queste informazioni vengono caricate su un server in modo criptato. Il server, a questo punto, inoltra le geo-localizzazioni in forma aggregata ai dispositivi che hanno scaricato l’App. Solo chi ha incontrato una persona positiva riceverà una notifica che avvertirà l’utente di aver incontrato un portatore sano e per quanto tempo. Pertanto, chi non ha incontrato nessun positivo, non riceverà alcun avvertimento.

La legislazione europea e il modello Germania, Irlanda, Francia, Lussemburgo, Norvegia, Danimarca e Gran Bretagna. Il Consiglio d’Europa con una dichiarazione congiunta del Chair of the Committee of Convention 108 e del Data Protection of the Council of Europe, è intervenuto sul tema del trattamento di dati nell’ambito delle misure di contrasto al morbo.

Lo stesso Consiglio, in maniera analoga alla posizione adottata dall’ EPDB in merito al coronavirus e privacy, ribadisce in primo luogo che il quadro normativo vigente (nello specifico, la convenzione 108 e la sua versione modernizzata “Convenzione 108+) stabilisce standard elevati per la protezione dei dati personali compatibili con un’efficace tutela di altri diritti, incluso quello alla salute pubblica ed individuale. Ne discende la centralità del principio di proporzionalità e della valutazione dei rischi connessi.

Con specifico riguardo all’elaborazione dei dati relativi alla salute, il Consiglio d’Europa richiama il principio del primato dell’essere umano e sottolinea la necessaria compatibilità fra tutela della salute e degli altri diritti umani, incluso quello alla protezione dei dati personali, esortando a far riferimento alle linee guida recentemente adottate con la Raccomandazione CM/Rec (2019) 2.

La parte più rilevante della comunicazione riguarda però il trattamento dei dati su larga scala con fini predittivi, includendo l’uso di dati di tracciamento, tema di particolare interesse, considerate anche le esperienze dei paesi sopra citati.

Al riguardo il Consiglio d’Europa richiama le proprie linee guida in materia di Big Data e soprattutto quelle più recenti su Artificial Intelligence e tutela dei dati personali che, specificamente dirette a sviluppatori e governi, possono essere strumenti utili per modellare i trattamenti in modo da prevenire eventuali bias, usi impropri e conseguenze negative sugli individui, in termini di pregiudizio delle loro libertà e diritti fondamentali, inclusa la discriminazione di individui o gruppi di individui.

In questo contesto, la trasparenza delle soluzioni adottate, inclusi i profili tecnici degli stessi e la possibilità di realizzare audit indipendenti hanno un ruolo centrale. La natura pubblica e la potenziale invasività delle misure di controllo richiedono, poi, un approccio precauzionale e, ove si opti per mettere in pratica sistemi di trattamento dati, il Consiglio d’Europa richiama all’adozione di appropriate strategie di gestione del rischio, incluso il rischio di re-identificazione in caso di dati anonimi e la previa valutazione delle soluzioni possibili all’interno di ambiti limitati ai test.

In particolare, nel contesto del monitoraggio e della sorveglianza epidemiologica, ove è anche possibile un coinvolgimento attivo di soggetti privati del settore I.C.T., il Consiglio d’Europa esorta i paesi membri ad operare un’elaborazione di dati personali su larga scala solo quando, sulla base di evidenze scientifiche, i potenziali benefici concreti per la salute pubblica di una simile indagine siano tali da prevalere – in un’ottica di bilanciamento di interessi – sulla tutela dei dati, secondo un principio di proporzionalità, e ove non sussistano altre misure meno intrusive, anche di tipo non digitale.

Con riferimento, poi, ai paesi che di recente hanno verificato ipotesi di deroga ai principi internazionali definiti dal Consiglio d’Europa, quest’ultimo, nel ribadire in ogni caso la conciliabilità del contrasto al Covid-19 con il quadro normativo esistente, ha comunque ricordato che ogni restrizione è ammissibile, solo se ex lege, a titolo provvisorio e per un periodo di tempo esplicitamente limitato ex ante. Eventuali limitazioni devono, poi, rispondere a requisiti molto puntuali, essere in linea con i principi dello Stato di diritto e rispettare i diritti e le libertà fondamentali, costituendo una misura necessaria e proporzionata in una società democratica.

La dichiarazione del Consiglio d’Europa perché rappresenta una pietra miliare della regolamentazione del trattamento dei dati in Europa e dà un valido contributo al tema del bilanciamento di interessi, in particolare nel contesto della tutela della vita privata ed anche del trattamento dei dati personali.

E’ necessario, quindi, avere evidenze concrete, sia di tipo scientifico che tecnologico, circa la reale efficacia dei provvedimenti. A tal proposito, vanno a titolo meramente esemplificativo considerati i limiti intrinseci delle tecnologie in questione, quali, ad esempio, il range di operatività delle stesse nei progetti basati sulla comunicazione fra devices o su sistemi di geo-localizzazione, ove il livello di precisione ed il raggio operativo offerto da questi ultimi messi in relazione al metro canonico di distanza sociale possono generare un significativo numero di falsi positivi.

Va anche evidenziato che le tecnologie in argomento funzionino in maniera spaziale o relazionale, senza considerare l’esistenza di misure di protezione individuale o altri fattori inerenti il contagio rispetto ai soggetti cui potenzialmente si riferiscono.

Se si coniuga tale rischio di falsi positivi con il potenziale uso concreto di tali dati nel caso di alcune applicazioni, quali ad esempio il tracciamento dei percorsi dei contagiati e quindi a rischio (contract tracking), servirebbe, poi, un’adeguata implementazione della fase precedente. Pertanto, in carenza di efficaci e tempestivi strumenti di diagnosi dei supposti contagiati, alcuni sistemi rischiano solo di generare un monitoraggio senza benefici concreti.

Il contract tracking è un approccio collaudato e affidabile utilizzato per molti anni da alcuni paesi per prevenire la diffusione dell’infezione e fermare le epidemie e le pandemie (come nel caso di Covid-19). La ricerca dei contatti è una parte importante dell’indagine epidemiologica e della sorveglianza attiva. Essa è applicabile alle diverse fasi dell’epidemia/pandemia, come il “contenimento”, il “ritardo”, la “mitigazione”.

Inoltre, in un’ottica di valutazione del rischio del trattamento vanno considerate, come ricordato dal Consiglio d’Europa, non solo la specifica applicazione, ma anche l’efficacia di soluzioni alternative a più basso impatto sui dati e libertà personali. Se, dunque, misure di protezione e ed altre forme di rimedi analogici risultassero più efficaci, l’uso di tecnologie di monitoraggio dovrebbe essere tralasciato o limitato ad impieghi mirati o forme anonime ed aggregate di dati, anch’esse potenzialmente utili nel contrasto al morbo. Questo, fermo restando che qualora vengano impiegati dati anonimi, ma dall’analisi di questi ultimi derivino misure concrete restrizione della libertà per gruppi di persone (ad esempio, creazione delle c.d. “zone rosse”) o comunque atte ad incidere sui diritti e libertà fondamentali, la trasparenza dei modelli decisionali e di analisi dei dati è fondamentale all’interno di una società democratica (cfr sull’argomento Alessandro Mantelero in Agenda Digitale del 31 marzo 2020).

Il considerando art.4 del Regolamento Europeo n.2016/679 in materia di protezione e sicurezza dei dati personali che introduce nuove regole in materia di privacy, entrato in vigore il 25 maggio 2018 (GDPR), così recita: “Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.

Appare evidente che le informazioni relative alla quarantena sono “dati relativi alla salute” e quindi soggetti alla normativa di cui all’art. 9 del GDPR, anche se il Garante della privacy norvegese la pensa diversamente. E’ pur vero che un soggetto in quarantena non è un soggetto necessariamente contagiato, ma i dati relativi alla salute comprendono anche le informazioni riguardanti il rischio di malattie.

Il Presidente dell’European Data Protection Board ha affermato che “le norme sulla protezione dei dati non ostacolano le misure prese nella lotta contro la pandemia di coronavirus” anche se “in questi tempi eccezionali il titolare del trattamento dei dati deve garantire la protezione dei dati personali degli interessati”. Lo steso concetto è stato ribadito dal commissario irlandese per la privacy, che ha giurisdizione sulle principali aziende del web, nelle linee guida di recente pubblicate, precisando che le misure adottare devono essere sempre necessarie e proporzionate. La necessità presuppone l’efficacia della misura rispetto all’obiettivo perseguito rispetto all’obiettivo perseguito, tenendo presente anche misure meno intrusive che consentirebbero di raggiungere lo stesso risultato. La proporzionalità è, invece, il bilanciamento tra l’importanza dell’obbiettivo perseguito, valutandone l’urgenza e la minaccia temuta, e la compressione del diritto, quindi l’incidenza sulla vita delle persone coinvolte.

In caso di misure di sorveglianza sui contagiati, si pone il dubbio se debba applicarsi il citato G.D.P.R. oppure la direttiva di polizia n.2016/680. L’ambito di applicazione di tale direttiva è circoscritto al trattamento dei dati personali svolti dalle autorità pubbliche competenti in materia di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia dell’ordine e della sicurezza pubblica. La direttiva, però, non si applica ai trattamenti dei dati relativi ad “altri compiti”, diversi dalla prevenzione, indagine, accertamento o perseguimento dei reati, la salvaguardia dell’ordine e della sicurezza pubblica. Si ritiene che le due normative, per quanto differenti, possano integrarsi.

Secondo la citata normative, occorre una specifica base giuridica per il trattamento dei dati (art. 6 del GDPR) e le condizioni per il trattamento dei dati sulla salute (art.9). In tal senso il Garante irlandese individua l’art. 9 (2) (i) il quale consente il trattamento di categorie speciali di dati se tale trattamento è necessario per motivi di interesse pubblico nel settore della sanità, come la protezione da minacce transfrontaliere alla salute. In questo caso occorre, però, una legge specifica, come base giuridica. Il citato art. 9 (2) (i) così recita “Il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione di gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale…”.

Altro punto fermo, secondo i Garanti dell’Italia, Francia, Lussemburgo e Irlanda, la raccolta di informazioni relative ai sintomi tipici del coronavirus spetta in via esclusiva alle autorità sanitarie e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica. Da ciò discende una limitazione da parte delle aziende private alla possibilità di trattare i dati come misura di contenimento del contagio, se non per i dati aggregati e non identificativi.

Le autorità ovviamente devono rispettare determinate garanzie, quali le limitazioni all’accesso, i limiti di tempo rigorosi per la cancellazione dei dati raccolti, la formazione del personale così via. Il trattamento dei dati deve rispettare il principio di minimizzazione, devono essere cioè trattati solo i dati necessari per raggiungere lo scopo di attuare misure atte a prevenire e contenere il contagio. Infine, come già detto, le autorità devono assicurare ampia trasparenza in relazione alle misure implementate, lo scopo di raccolta, i tempi di conservazione, garantendo la sicurezza dei dati.

Si può, quindi, dire che la regolamentazione in materia di protezione dei dati personali non necessita di alcuna sospensione e modifica, ma contiene in sé le regole per le situazioni emergenziali, anche se si ritiene che tale normativa debba essere meglio esplicitata dalle legislazioni nazionali.

Secondo il Commissario Federale per la protezione dei dati della Germania, il tracciamento dei contagiati potrebbe aversi in presenza del consenso dell’interessato, purchè sia volontario e informato. Le persone dovrebbero prima essere informate sullo scopo della raccolta sull’uso dei dati e sul periodo di conservazione. In tal senso dispone l’art. (9) (2) (a) del G.D.P.R. (…l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche…”.

Per quanto concerne il tracciamento dei percorsi dei contagiati e quindi a rischio (contract tracing), c’è da precisare che si tratta di un’ipotesi del tutto diversa dall’uso di dati aggregati (sostanzialmente anonimizzati) che potrebbero essere forniti dai gestori di telefonia. I dati aggregati non dovrebbero consentire l’identificazione fisica delle persone e sono utili per tracciare il flusso del contagio (cartografie) e, quindi, non sono soggetti alle norme in materia di protezione dei dati personali.

Per converso, i dati sulla geo-localizzazione tali da identificare le persone fisiche, invece, in Italia possono essere identificati solo dalla magistratura per finalità di accertamento e repressione dei reati. Occorre, quindi, una legge che autorizzi la raccolta e l’utilizzo di tali dati.

Non si può sottacere che il contract training in Italia si effettua attraverso strumenti differenti, per lo più tramite le autorità di polizia. Con riferimento agli strumenti tecnologici, l’art. 15 della direttiva eprivacy prevede anche che gli Stati membri possano introdurre misure legislative a tutela della sicurezza nazionale per elaborare i dati relativi alla geo-localizzazione dei singoli individui, qualora quelli aggregati non siano sufficienti o idonei a rintracciare persone potenzialmente contagiose. Il presidente dell’E.D.P.B. ha infatti ammonito che la legislazione di emergenza sarebbe possibile solo a condizione che risulti una misura necessaria e proporzionata all’interno di una società democratica.

Un altro problema concerne il tempo necessario ad una operazione di identificazione dei soggetti a rischio per aver incrociato un contagiato. Solo isolando tempestivamente i contagiati si può evitare la diffusione ulteriore dell’infezione. La diffusione al pubblico di informazioni atte a ricostruire gli spostamenti dei contagiati, però, invitando le persone che hanno frequentato gli stessi luoghi a sottoporsi a test diagnostici, come avvenuto in Corea del Sud, richiederebbe una legge specifica e le garanzie a tutela dei dati dovrebbero essere più stringenti.

E’ pacifico che la situazione dovrebbe essere particolarmente grave per arrivare a tale situazione e comunque i dati diffusi dovrebbero essere minimizzati, senza indicare età, caratteristiche dei contagiati, indicando solo i luoghi frequentati e i giorni. Tale misura sarebbe utile solo nel caso in cui lo Stato sarebbe in grado di sottoporre a test in tempi brevi i soggetti che si ritengono a rischio (cfr su tale aspetto Valigia Blu del 31 marzo 2020).

Anche il Governo tedesco sta valutando di usare big data e rilevamenti di persone attraverso i cellullari per controllare e isolare le persone affette da coronavirus, una volta che le misure restrittive per impedire i contatti personali attualmente in vigore verranno rallentate.

Citando esplicitamente il controverso modello sudcoreano, uno studio riservato del ministero federale degli interni suggerisce l’introduzione di test di massa per milioni di cittadini e l’uso di localizzatori di posizione per rintracciare e mettere in quarantena coloro che sono stati in contatto con persone contagiate dal virus.

Lo studio del ministero degli interni, dal titolo “In che modo metteremo sotto controllo il Covid-19”, spinge in primo luogo per un drastico aumento del numero dei test fino a duecentomila al giorno. Uno dei modi per arrivare a questo risultato sarà l’introduzione di centinaia di stazioni mediche di controllo o drive-in in grado di eseguire i test.

L’uso dei rilevamenti di posizione attraverso gli smatphone sarà però essenziale per rendere il testing più rapido ed efficiente e poter tenere i contagiati in stretto isolamento. Secondo lo studio “l’uso di questa tecnologia nel lungo periodo è inevitabile”. Lo scenario ipotizzato dallo nel caso non si agisse in modo massiccio e tempestivo è drammatico, e prevede che il 70% della popolazione potrebbe essere infettata, l’80% di coloro che avrebbero bisogno della terapia intensiva non potrebbero essere accolti negli ospedali, con una previsione di decessi di circa un milione di cittadini (cfr La Stampa del 31 marzo 2020).

Dopo pochi giorni il rilascio del parere del Garante per la privacy italiano, e precisamente, il 5 marzo 2020, il “Datatilsynet” (Garante per la privacy danese) si è espresso sull’argomento con un approccio maggiormente flessibile.

Secondo l’autorità danese, infatti, i datori di lavoro possono raccogliere e comunicare dati personali dei propri dipendenti, qualora ciò si renda necessario, a condizione che tale trattamento non sia normativamente vietato e che le informazioni raccolte non siano eccessivamente dettagliate e specifiche.

Ad esempio, secondo il Datatilsynet, durante l’attuale crisi emergenziale, i datori di lavoro possono legittimamente registrare e comunicare la circostanza che un dipendente abbia visitato una zona a rischio epidemiologico, se un dipendente sia a casa in quarantena (senza indicarne il motivo) e se un dipendente sia malato (senza indicarne il motivo).

Tuttavia l’Autorità danese che, in questo momento di tsunami causato dal Covid-19, espressamente ha dichiarato di applicare la normativa sulla privacy “secondo buon senso”, ritiene che la raccolta e la comunicazione dei dati deve essere limitata a quanto strettamente necessario. Pertanto, è necessario che il datore di lavoro, prima di procedere al trattamento dei dati verifichi:

  • se esiste una buona ragione per registrare o divulgare le informazioni in questione;

  • se è necessario specificare le informazioni, incluso se lo scopo può essere raggiunto “dicendo meno”;

  • se è necessario indicare i nomi – ad es. il nome della persona infetta e / o nella quarantena domestica.

Infine, nonostante dalle dichiarazioni del Governo Britannico, secondo cui l’approccio per far fronte alla pandemia si discosterebbe dalle misure adottate in Italia, l’I.C.O. (Autorità Garante nel Regno Unito) ha pubblicato sul proprio sito alcune FAQ in cui viene anzitutto precisato che le leggi sulla protezione dei dati e sulle comunicazioni elettroniche non impediscono al Governo, al Sistema Sanitario Nazionale o a qualsiasi altro operatore sanitario di inviare messaggi di salute pubblica alle persone, per telefono, sms, o e-mail, poiché questi messaggi di salute pubblica alle persone non sono di marketing diretto. In secondo luogo viene precisato che le stesse leggi non impediscono di utilizzare le più recenti tecnologie per facilitare consultazioni e diagnosi sicure e rapide. Gli enti pubblici possono richiedere un’ulteriore raccolta e condivisione di dati personali per proteggersi da gravi minacce alla salute pubblica.

La legislazione emergenziale italiana sulla privacy. Con riguardo all’ambito nazionale, si nota in primo luogo un’analogia tra l’approccio del Consiglio d’Europa e quello che sta emergendo dalle dichiarazioni del Garante per la protezione dei dati personali.

La scelta adottata è stata quella di rispettare le garanzie previste dalla normativa in materia di protezione dei dati personali nel contesto di una situazione di emergenza; in tal modo, il diritto alla privacy non costituisce un diritto assoluto, ma può essere limitato ai fini del perseguimento di un obbiettivo di interesse pubblico generale preminente o per fronteggiare diritti e libertà altrui.

La circostanza derivante dal diffondersi del coronavirus, pertanto, può giustificare una compressione del diritto alla riservatezza in ragione dell’interesse pubblico generale della tutela della salute.

In particolare, la comunicazione dei dati personali a soggetti pubblici e privati diversi da quelli indicati nella normativa specifica, nonché la diffusione dei dati personali diversi da quelli di cui agli artt. 9 e 10 del Regolamento U.E. è effettuata, nei casi in cui risulti indispensabile, ai fini dello svolgimento delle attività di cui all’ordinanza della Protezione Civile. Il trattamento dei dati deve, comunque, essere effettuato nel rispetto dei principi di cui all’art. 5 del citato G.D.P.R

Con il decreto legge n. 6 del 23 febbraio 2020 abrogato dal decreto legge n.19/2020, per evitare il contagio, è stato previsto che “le autorità competenti sono tenute ad adottare ogni misura di contenimento e gestione adeguata e proporzionata all’evolversi della situazione.

Pertanto, l’intero quadro di regole stabilite per il trattamento dei dati personali nel corso dell’emergenza richiama il rispetto dei principi di cui al citato art. 5 del G.D.P.R., adottando misure appropriate rispetto alla finalità di contenimento del contagio.

La nuova task force tecnologica del governo, presieduta dal manager Vittorio Colao, sta studiando ed approntando, per avviare la c.d. ‘fase due’ della ripresa, una app di tracciamento italiana del Coronavirus; la squadra di 74 esperti ha dato il via alla individuazione di una soluzione – tra le 319 proposte arrivate allo staff – , per la quale la tecnologia bluetooth potrebbe soddisfare diversi requisiti.

Si ventila anche l’ipotesi di adozione, da parte del Governo italiano, di un progetto di software europeo, messo a punto da 130 ricercatori di otto paesi, detto Pan-European Privacy Preserving Proximity Tracing (Pepp-Pt), che funziona con bluetooth e “permette un approccio al tracciamento digitale di prossimità anonimo e rispettoso della privacy e utilizzabile anche quando si viaggia da un Paese all’altro”.

Conclusioni. Certamente le disposizioni per la protezione dei dati personali non sono esaustive e incidono sul nostro sistema della privacy messo in pericolo continuamente dai nuovi strumenti tecnologici.

Pertanto, non dovrebbe essere necessario rivedere le norme in materia di protezione dei dati personali, che prevedono delle eccezioni per contrastare le emergenze, soprattutto sanitarie. Quindi, pur essendo necessario il bilanciamento con gli altri diritti, non devono essere messi in secondo piano quello alla dignità, alla reputazione, all’autodeterminazione, elementi base per garantire la vita di ogni individuo. In conclusione, si deve rilevare che siamo di fronte ad un fenomeno di tale gravità, che – nello scenario emergenziale attuale- le decisioni delle Istituzioni deputate alla gestione della crisi sanitaria, specie alla luce degli incoraggianti risultati riscontrabili in Cina o in Danimarca, dovrebbero spingersi fino al punto di ritenere essenziale e strettamente necessario il fatto di disporre dell’accesso ai dati dei cittadini raccolti e archiviati dai gestori della rete per la finalità di monitorarne e controllarne i movimenti. Ma al contempo prevedendo adeguate garanzie ispirate ai principi di proporzionalità, necessità e ragionevolezza e con una efficacia temporale limitata all’emergenza in corso causata dalla pandemia da Covid-19.