K metro 0 – Roma – In queste settimane, abbiamo assistito a un progressivo affidamento (cedimento?) della politica e dei Governi, soprattutto in Europa, a favore degli scienziati – più o meno “duri”, virologi, epidemiologi, rianimatori, ma anche economisti, psicologi, giuristi, tecnologi ecc. – e dell’alta burocrazia tecnica, anche dell’Unione Europea. L’emergenza COVID-19 ha fatto
K metro 0 – Roma – In queste settimane, abbiamo assistito a un progressivo affidamento (cedimento?) della politica e dei Governi, soprattutto in Europa, a favore degli scienziati – più o meno “duri”, virologi, epidemiologi, rianimatori, ma anche economisti, psicologi, giuristi, tecnologi ecc. – e dell’alta burocrazia tecnica, anche dell’Unione Europea. L’emergenza COVID-19 ha fatto sì che, in molti casi, la scelta legislativa e quella amministrativa – di necessità e urgenza – si siano poggiate quasi ciecamente sul consiglio di task force e autorità indipendenti. Non sempre, peraltro, in direzioni compatibili tra loro.
Un esempio lampante di questo “trascinamento” della politica, altrimenti debole e disorientata, lo si è avuto nelle scorse settimane con la tormentata questione dell’app di contact tracing, in Italia denominata “Immuni”: questa tecnologia, facente leva sull’installazione di un’applicazione negli smartphone dei cittadini, dovrebbe consentire di ricostruire la catena di contatti a rischio, cioè di persone che si siano trovate in prossimità di un soggetto positivo al coronavirus (meno di due metri, per un certo quantitativo di tempo) nei 15 o 30 giorni precedenti. Una volta risaliti ai contatti, il sistema potrebbe fare cose assai differenti – più o meno invasive ed efficaci – e molto dipende dal grado di privacy e protezione dei dati personali che si vuole garantire alle persone.
La massima riservatezza sarebbe garantita dalla mera volontarietà nel download e nell’uso dell’app da parte delle persone, e da un’architettura totalmente decentralizzata, cosicché mai l’autorità pubblica (sanitaria) dovrebbe poter risalire all’individuazione del singolo contatto a rischio: in questo scenario estremamente rispettoso della privacy, la app si limiterebbe a inviare un “poke” o una notifica di allerta, che avviserebbe il malcapitato di essere stato vicino a un soggetto positivo nei giorni precedenti e lo inviterebbe a farsi controllare. Tutto, in questo scenario di ultra-tutela della riservatezza e della vita privata, si giocherebbe nel senso di responsabilità del singolo e nella sua iniziativa, nonché nella capacità del servizio sanitario di rispondere a un’eventuale diligente chiamata del soggetto avvisato (“mezzo salvato”, come si suol dire). Questa parrebbe finora la strada italiana, per esempio.
Un po’ poco, dicono ormai parecchi scienziati. Sarà un’app inutile, sostiene una parte trasversale della politica e dell’organizzazione che ruota intorno all’emergenza sanitaria. La volontarietà – e non obbligatorietà almeno parziale – renderà l’app ben poco diffusa; il sistema totalmente decentralizzato impedirà un pronto intervento “d’ufficio” delle autorità. Per non parlare della “ciambella” che deve stare intorno alla app, cioè la capacità di fare tamponi a tappeto e di approntare misure di contenimento sanitario immediate nei confronti dei soggetti a rischio.
Paradossalmente, con i critici della privacy-overdose concordano anche diversi giuristi che di riservatezza e protezione dei dati personali si occupano da sempre, come il sottoscritto. Est modus in rebus: dare un peso eccessivo alla privacy e alla protezione dei dati non aiuterà la comprensione e la tutela di questi stessi diritti, che verranno invece visti come meri “colpevoli” dell’insuccesso nel contrasto al virus. Che errore.
In certa misura, talune istituzioni dell’Unione Europea hanno contribuito, a loro volta e con le migliori intenzioni, a questo sbilanciamento, incoraggiando un’interpretazione che potremmo definire “fondamentalista” (in senso letterale, non necessariamente deteriore), che ha sostanzialmente trasformato la privacy e la protezione dei dati personali nei fini ultimi di tutto l’esercizio, anziché in garanzie giuridiche essenziali, ma non assolute, per raggiungere l’obiettivo di contrastare i contagi e salvare vite umane. Basti leggere le linee guida rilasciate il 21 aprile 2020 dal Comitato Europeo per la Protezione dei Dati (che raccoglie insieme tutti i garanti privacy degli Stati UE), nelle quali le autorità indipendenti si arrogano, nero su bianco, il potere di escludere nettamente l’ipotesi dell’obbligatorietà delle app di contact tracing: “Il monitoraggio sistematico e su larga scala della posizione e / o dei contatti tra persone fisiche è una grave intrusione nella loro privacy. Esso può essere legittimato solo facendo affidamento su un’adozione volontaria da parte degli utenti per ciascuno dei rispettivi scopi. Ciò implicherebbe, in particolare, che le persone che decidono di non utilizzare o non possono utilizzare tali applicazioni non dovrebbero in alcun modo soffrirne svantaggi.”
Secondo quale potere le autorità indipendenti potrebbero imporre agli Stati membri della UE la non obbligatorietà delle app in questione? Le autorità indipendenti non sono legislatori e non possono certamente “dare ordini” ai legislatori nazionali. Inoltre, il Regolamento (UE) 2016/679 (cd. “GDPR”) lascia un ampio margine di manovra ai singoli Stati, nel senso di poter prevedere ex lege casi obbligatori di trattamento di dati personali anche sensibili, se necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero. Il limite per i legislatori nazionali sta nella proporzionalità prevista dall’art. 52 della Carta dei diritti fondamentali UE, senza chiusure astratte e assolutistiche a priori sulle soluzioni da adottare.
La politica, i Governi e i legislatori dovrebbero accorgersi del proprio ruolo, chiarirsi le idee senza pretendere di essere guidati per mano dalle alte burocrazie, e seguire strategie di contrasto alla pandemia certamente rispettose dei diritti ma ben bilanciate, il più possibile efficaci e soprattutto coordinate a livello europeo e internazionale.
di Luca Bolognini, avvocato e presidente dell’Istituto Italiano per la Privacy