geolocalizzazione

Coronavirus, anche l’Italia verso il “contact tracing”? Ecco lo spiraglio normativo

Anche in Italia è stata sviluppata un’app che, sfruttando i dati di geolocalizzazione smartphone, è in grado di capire quante persone sono venute a contatto con un contagiato. Ma come si potrebbe conciliare con i paletti delle norme privacy? Uno spiraglio normativo potrebbe esserci nel DL del 9 marzo

23 Mar 2020
Deborah Bolco

Avvocato, Partner Pavia e Ansaldo Studio Legale

Mario Di Giulio

Avvocato, Partner Pavia e Ansaldo Studio Legale


Le app e i servizi di contact tracing per il coronavirus, ora allo studio dell’Italia con un’apposita task force guidata da Walter Ricciardi dall’Oms secondo il modello corea, devono fare i conti con alcune questioni normative: la possibilità di revoca del consenso o con l’eventuale richiesta di cancellazione dei dati da parte degli utenti. Tutte prerogative previste per gli interessati dalla normativa europea in materia di protezione dei dati; gli spunti per una riflessione, tuttavia, non mancano e, in caso dovesse rivelarsi necessario, la strada alla sperimentazione parrebbe aperta.

App di contact tracing coronavirus e consenso

Sappiamo che la questione del contact tracing- tracciamento positivi del coronavirus – non tanto è tecnologica quanto normativa. Guardando alle esperienze di Corea, Cina e Israele anche in Italia è stata presentata di recente una applicazione di un’azienda privata, per tracciare i positivi. Sfruttando i dati di geolocalizzazione già presenti sugli smartphone, è in grado di capire, attraverso un sistema di intelligenza artificiale, quante persone sono venute a contatto con un contagiato e di isolarle prima che possano propagare il contagio. Altre app sono all’esame del Governo.

Un tale strumento, in possesso delle autorità, sarebbe certamente un valido ausilio alla limitazione del contagio; di contro potrebbe costituire un precedente per un utilizzo ogniqualvolta l’interesse pubblico, come percepito da chi governa, ne giustifichi l’utilizzo (di esempi tali, senza invocare le tecnologie, ne conosciamo dai tempi della repubblica degli antichi romani – ne cives ad arma ruant).

Che la questione sia tutt’altro che un mero esercizio di stile lo conferma l’intervento sul punto dello stesso Comitato Europeo per la Protezione dei dati (European Data Protection Board ‘EDPB’): in una nota diramata il 16 marzo dall’eloquente titolo “on the processing of personal data in the context of the COVID-19 outbreak”, l’EDPB conclude che la geolocalizzazione, quale misura di prevenzione del contagio da Covid-19 non è astrattamente incompatibile con la normativa sulla protezione dei dati. In particolare, il GDPR, all’art. 9, paragrafo 2, lettera i), detta una specifica base giuridica dei trattamenti che siano finalizzati a perseguire motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero, sulla base del diritto dell’Unione o degli Stati membri, purché siano previste misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato; per il caso, poi, in cui dati anonimi e aggregati non dovessero rivelarsi sufficienti o utili a scopi specifici l’EDPB ricorda che all’articolo 15 della direttiva e-privacy – che va applicata in uno con il GDPR nel caso di specie – è prevista la possibilità di disposizioni nazionali di emergenza finalizzate a introdurre misure nell’interesse della sicurezza nazionale e della salute pubblica purché compatibili con i valori democratici (quali, ad esempio, la preservazione del diritto di difesa dell’interessato).

In Italia il decreto-legge del 9 marzo per il potenziamento del Servizio sanitario nazionale non autorizza espressamente la tracciabilità degli smartphone né la geolocalizzazione come mezzo per monitorare eventualmente i cittadini in quarantena o risultati positivi al virus per i quali è imposto “il divieto assoluto” di uscire da casa.

Tuttavia, l’art. 14 del decreto prevede, in via eccezionale, per la durata dell’emergenza COVID-19, una certa deroga al GDPR per il trattamento e la comunicazione da parte di soggetti qualificati dei dati sanitari dei cittadini interessati dal coronavirus. In considerazione della mutevolezza degli scenari che si profilano in relazione all’evoluzione del virus, è a questa norma, come disposizione di carattere speciale, che qualcuno guarda, interrogandosi se essa non possa rappresentare uno spiraglio per l’introduzione di forme di contact tracing analoghe a quelle cinesi, in deroga alla norma generale del Codice Privacy, l’art. 132, che prevede trattamento dei dati di traffico (celle telefoniche o georeferenziazione) solo in casi eccezionali e nel rispetto di uno specifico procedimento.

Da ultimo nel dibattito ha fatto sentire la sua voce anche il Garante privacy Antonello Soro che, in un’intervista datata 17 marzo e disponibile sul sito dell’Autorità ha ricordato come i diritti possano, in contesti emergenziali, subire limitazioni anche incisive, ammissibili purché proporzionali alle esigenze specifiche e sempre che temporalmente limitate. In questo senso ha concluso che non esistono preclusioni assolute nei confronti di misure come il tracciamento dei cellulari per controllare gli spostamenti dei cittadini all’interno del territorio nazionale purché siano studiate molto attentamente le modalità più opportune in relazione alle esigenze di prevenzione.

E’ il caso di dire che la palla, a questo punto, passa all’esecutivo, sia quanto all’an che al quomodo, i prossimi giorni potrebbero portare novità interessanti.

I principi da rispettare in Italia

Certo, se la tecnologia a disposizione si rivelasse in grado di salvare la vita nel rispetto delle norme sulla protezione dei dati varrebbe la pena di provare questa strada. E comunque, anche se si dovesse varare una norma in tal senso, il quadro giuridico esistente impone lo stesso il rispetto di alcuni principi, ricordati nelle scorse ore dallo stesso Garante Privacy.

I principi di necessità e proporzione.

Andranno, quindi, previsti meccanismi che siano proporzionati, che corrispondano ad esigenze davvero necessarie e adeguate al rischio, con misure che risultino le meno invasive possibile, nel rispetto dei principi di finalità e minimizzazione del dato. Di cui sarà necessario anche garantire la sicurezza.

Sarà anche importante che qualunque scelta si decida di compiere in merito a controlli o tracciamenti non sia irreversibile ma necessariamente limitata nel tempo, potendo essere ‘disinnescata’ quando la finalità di contenimento dell’epidemia sia venuta meno.

Nell’attesa di poter analizzare un’eventuale app (e metodologia tecnologica) italiana, riassumiamo le caratteristiche di quelle straniere.

Coronavirus, come la Cina lo ha fermato con la tecnologia e cosa può imparare l’Italia

Le tecnologie usate dalla Cina per bloccare i contagi

In Cina, gli utenti sono stati geolocalizzati attraverso software molto popolari come WeChat o Alipay. Ad esempio, gli utenti di WeChat hanno avuto a disposizione veri e propri report in grado di ricostruire tutti i movimenti di chi ha contratto il virus, dal numero di volo agli spostamenti a casa, alle compere quotidiane prima di presentare i sintomi e iniziare la cura e la quarantena. L’applicazione Alipay Health Code, realizzata da una controllata del colosso dell’e-commerce Alibaba, genera, invece, per ogni utente iscritto un codice QR di un colore diverso: verde, giallo o rosso.

Nel primo caso si può circolare pressoché liberamente, pur sempre scansionando il codice all’ingresso di luoghi come condomini, uffici o centri commerciali; nel secondo e terzo l’accesso o gli spostamenti non sono consentiti e, anzi, occorre rimanere in quarantena preventiva di sette o 14 giorni. Non è chiaro esattamente come funzioni quel sistema, da dove prenda i dati, su che basi attribuisca un colore diverso a ogni utente (visto che in moltissimi casi si tratta di persone non infette dal coronavirus): alcuni analisti hanno ipotizzato che il colore è attribuito utilizzando i big data e valutando il rischio d’infezione per ciascun utente, anche in base alle informazioni fornite nel questionario iniziale; il dato di fatto è che senza quel codice è diventato difficile muoversi nelle città.

Certo, non bisogna dimenticare che la Cina è governata da un regime autoritario, dove i cittadini sono abituati (anche come retaggio culturale) a subire – e accettare di buon grado – forme più o meno invasive di interferenza dello Stato nelle loro vite, soprattutto se, come in questo caso, sono giustificate dall’esigenza di tutela della salute pubblica. Del pari non ci sono grossi dubbi sul fatto che un sistema del genere, benché anonimizzato (i cittadini non sono identificati direttamente ma lo sono la loro posizione e i loro spostamenti) possa stridere con la normativa europea a tutela dei dati personali.

Israele e Corea del Sud

In Israele, per esempio, pare che si stia applicando un sistema innovativo molto interessante: ogni cittadino contagiato viene tracciato tramite il sistema Gps del suo smartphone e inserito in una mappa pubblica e anonima che chiunque può consultare: sulla mappa, in costante aggiornamento, sono indicati i luoghi (con data e orario) frequentati dai contagiati. La mappa sarebbe del tutto anonima nel senso che non fornirebbe i dati delle persone infette, e consentirebbe a chiunque abbia frequentato gli stessi luoghi in quelle ore di allertarsi e di mettersi in autoisolamento.

Anche la Corea del Sud, investita da un gran numero di contagi al pari dell’Italia, sta avvalendosi di tecnologie di contact tracing del contagio su smartphone e gli effetti si sono già fatti sentire: anche grazie alla georeferenziazione dei casi di contagio e alla identificazione dei singoli focolai su mappe molto precise il fattore di riproduzione (R0) è già stimato sotto il parametro 1.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4