monitoraggio dei cittadini

Coronavirus, nella Costituzione il faro per applicare il “modello coreano” senza abusi

Non sembra ci siano preclusioni, sotto il profilo privacy, all’adozione anche in Italia di alcune soluzioni di monitoraggio degli spostamenti modulate sul modello coreano. Ciò però non significa che possiamo adottarlo tout court. Sembra più opportuno trarne degli spunti da declinare nel nostro contesto giuridico e sociale

09 Apr 2020
Riccardo Berti

avvocato Centro Studi Processo Telematico

Simone Zanetti

Avvocato in Verona


Quando, in Italia, si parla del monitoraggio via app degli spostamenti dei cittadini, ai fini del contenimento dei contagi Covid-19, il modello di riferimento è quello adottato dalla Corea. Ma in cosa consiste precisamente e in che misura sarebbe replicabile nel nostro Paese? Vediamo.

Il modello Corea del Sud: trace, test and treat

Per poter spiegare in cosa consista il modello coreano è necessario fare alcune doverose premesse. In particolare, bisogna tenere a mente che la Corea del Sud si è trovata, purtroppo, nel suo recente passato ad affrontare ben due importanti emergenze sanitarie (Mers e Sars).

A fronte di ciò, il paese ha, dunque, introdotto nel proprio sistema legislativo una serie di norme volte alla prevenzione e al controllo delle malattie infettive (Act No.14316, 02. Dec, 2016).

In primo luogo, al fine di prevenire la diffusione di malattie infettive, ha espressamente concesso a favore del Ministro della Sanità e delle altre Autorità competenti il potere di accedere a tutte le informazioni riguardanti un soggetto infetto, siano esse di natura sanitaria ovvero riguardanti i movimenti bancari, la geolocalizzazione, etc (art. 76-2).

In secondo luogo, è stato altresì previsto un obbligo a carico del Ministro della Sanità di divulgare ai cittadini tutte le informazioni necessarie per prevenire l’epidemia e, dunque, gli spostamenti, i mezzi di trasporto, i trattamenti medici e i contatti del soggetto infetto (artt. 3 e 34-2), oltre che un sistema sanzionatorio efficace ed incisivo per chiunque violi le disposizioni di quarantena (Legge n. 15266 del 19 dicembre 2017, abrogato con Legge n. 17068 del 4 marzo 2020).

A quel punto, nel momento in cui la Corea del Sud si è trovata di fronte ad una nuova infezione di portata globale, è stato sufficiente “azionare” una legislazione di emergenza preparata e ponderata da tempo.

L’approccio utilizzato viene definito trace, test and treat.

Il primo pilastro di questa politica, il più distante dalla nostra cultura, è proprio quello del tracciamento, che viene effettuato sia in tempo reale su cartografie con dati aggregati relativi agli spostamenti, sia a ritroso nel momento in cui un soggetto è risultato positivo al virus.

A complemento, la Corea del Sud ha approntato un’inedita mole di siti (anche “drive-trough”) in cui effettuare il tampone per verificare se si è positivi al virus (che consentono di sottoporre a controllo anche 20.000 persone al giorno) e ha rafforzato le proprie strutture sanitarie per permettere di curare i malati.

La fase del tracciamento genera una mole di dati enorme e parte di questa mole di dati che giornalmente venivano (e vengono) raccolti attraverso gli strumenti tecnologici viene utilizzata per rendere pubblici gli spostamenti, i percorsi ed altre informazioni personali riguardanti i soggetti poi rivelatisi positivi al coronavirus, con il chiaro scopo di informare tutta la cittadinanza potenzialmente entrata in contatto con il soggetto malato (ad esempio rendendo disponibili tali informazioni su appositi portali).

Per facilitare la fruizione delle informazioni, è stata poi sviluppata dal Governo coreano un’applicazione di telefonia mobile (il cui download è facoltativo) per tracciare gli spostamenti dei cittadini, nonché avvisarli con messaggi di testo circa i casi confermati di contagio, oltre che fornire loro uno storico degli spostamenti di quest’ultimi.

Al contempo, sempre tramite applicazione si è provveduto a monitorare il rispetto delle misure di quarantena imposte ai soggetti infetti.

Per gli stranieri è invece previsto il download di un’applicazione (al momento dell’ingresso nel paese) che consente di inserire i propri dati relativi allo stato di salute giorno per giorno e di intervenire tempestivamente (accedendo ai dati degli spostamenti) in caso di sospetto contagio.

In questo modo in Corea ritengono di poter evitare divieti di ingresso nel paese, consentendo così all’economia di proseguire (simili applicazioni saranno senz’altro da tenere in considerazione in numerosi altri contesti nazionali, specie se l’epidemia si dovesse sviluppare a “ondate” a seconda delle zone geografiche, come temono in molti).

Sulla scorta di tali dati pubblici sono state, inoltre, sviluppate diverse applicazioni di telefonia mobile non istituzionali, come “Corona 100m”, la cui funzione è quella di informare gli utenti attraverso alert, nel caso in cui gli stessi vengano a trovarsi in un raggio di cento metri da luoghi visitati da persone che hanno contratto il virus.

Uno studente coreano, invece, Lee Dong-hun, ha realizzato un portale chiamato coronamap.site per tener traccia in tempo reale del contagio, contrastando così anche le fake news sulle sue dimensioni.

In conseguenza di quanto sopra, la Corea del Sud non ha optato per il lockdown all’italiana, bensì per delle quarantene mirate, che oltre a salvaguardare in parte la libera circolazione delle persone e la produttività delle proprie imprese, sta riscuotendo un certo successo nell’affrontare il coronavirus.

L’efficacia del “modello coreano”

Ci si domanda se questo modello, che nei numeri sembra aver portato la Corea ad un contenimento effettivo del virus, sia efficace o meno e soprattutto quanta parte di questo successo sia dovuta al fattore tecnologico.

Se in Corea del Sud (un paese vicino economicamente e geograficamente alla Cina) ad oggi i numeri del contagio e dei decessi sono eccezionalmente bassi (al 19 marzo si contavano soli 94 decessi per coronavirus), questo probabilmente si deve ad un insieme di fattori.

In primo luogo, la cultura della pulizia in Corea è ormai un tratto caratteristico di quella popolazione, una germofobia che ci faceva sorridere fino a pochi mesi fa ma che ora torna comoda ad una nazione alla prova con una inedita sfida sanitaria.

In secondo luogo, il numero di tamponi (fino a 20.000 al giorno) è forse la vera chiave del successo coreano. Uno sforzo organizzativo ed economico di grandi proporzioni ha consentito di tracciare lo sviluppo del contagio e di isolare i casi positivi rapidamente, intercettandoli con test cui si sono sottoposte molte persone volontariamente, per poi affrontare la quarantena.

Lo sforzo legato al numero di tamponi sarebbe però servito a poco senza il fattore tecnologico. Scoprire un contagio è importante, ma ottenere il più possibile da questa scoperta è possibile solo attraverso un approccio tecnologico efficace, mettendo poi a sistema quel dato per studiare l’evoluzione del fenomeno attraverso i big data.

L’avere installato una app che monitora i movimenti dei soggetti (installata volontariamente) consente di utilizzare quei dati in caso di contagio per scoprire a ritroso quali sono le aree a rischio, consentendo così di localizzare i controlli successivi.

Il braccio (costituito dalla mole di tamponi) e la mente (costituita dall’approccio tech) hanno consentito in sinergia fra loro alla Corea di affrontare con successo questa fase del contagio, mettendo però sulla pubblica piazza del web dati sanitari e spostamenti di molte persone, nel nome del superiore bene della salute.

Cosa possiamo imparare dal modello Coreano

Anche in Italia ci si sta cominciando a chiedere, ora, se il modello coreano, superata la fase più acuta dell’emergenza, possa essere adottato, al fine di poter riprendere la libera circolazione delle persone sul territorio nazionale.

A questo scopo, già si sarebbero sviluppate alcune applicazioni, le quali però si trovano a confrontarsi con un quadro normativo differente rispetto a quello coreano.

Una di queste applicazioni è StopCovid19 che, a differenza di quelle coreane, secondo il suo sviluppatore, non registrerebbe il movimento della singola persona bensì il suo contatto con le altre. Oltretutto, rispetto alle applicazioni asiatiche, le informazioni raccolte, previo consenso dell’interessato, verrebbero fornite solamente alle autorità competenti e non direttamente agli utenti.

Occorre chiedersi se una diffusione dei dati che ricalchi il “modello coreano” sia consentita o meno dalle disposizioni previste in materia di protezione dei dati personali in sede nazionale ed europea.

I dati sanitari

La normativa primaria è senza dubbio quella europea, a cui occorre, per l’appunto, far riferimento per poter comprendere le modalità o gli eventuali limiti nel trattamento dei dati relativi alla salute dell’interessato (paziente), dal momento che il “modello coreano” presuppone la diffusione delle informazioni personali riguardanti i soggetti che hanno contratto il coronavirus.

Sul punto il GDPR all’art. 9, paragrafo 1, sancisce espressamente il divieto di trattamento dei dati relativi alla salute dell’interessato, salvo prevedere al successivo paragrafo una serie di deroghe tra le quali compaiono sia il consenso dell’interessato, ma anche tutti quei casi in cui il trattamento sia necessario per motivi di interesse pubblico nel settore della sanità.

Nel nostro Codice Privacy si trova esplicito riscontro di quanto sopra nell’art. 75, che richiama tra glia altri l’art. 2-septies del medesimo Codice, al fine di evidenziare che il trattamento dei citati dati personali dovrà comunque rispettare le misure di garanzia che sono previste periodicamente dal Garante privacy.

Alla luce della normativa, quindi, se il “trattamento” del dato è consentito (le autorità devono conoscere il dato sanitario e fare le opportune indagini, ove necessario comunicandolo), non lo è la diffusione indiscriminata del dato (non è immaginabile in Italia creare un sito con i “nominativi” dei pazienti positivi al virus).

La geolocalizzazione

Più complesso è il tema della localizzazione e, quindi, della diffusione delle informazioni riguardanti lo storico degli spostamenti effettuati dal soggetto infetto.

Sul punto è doveroso evidenziare che Il Garante della privacy italiano, già in passato (ante GDPR), con provvedimento n 1580543 del 19 dicembre 2008 era intervenuto fornendo importanti chiarimenti sulla possibilità di localizzare il cellulare per rintracciare le persone disperse, nella fattispecie, in montagna.

Nell’occasione è stata esclusa l’applicazione della specifica disciplina relativa ai dati di traffico telefonico (artt. 123 e 132 Codice privacy).

Il Garante della privacy, richiamando la disciplina generale in materia, ha dunque concluso che, sebbene il trattamento dei dati relativi alla localizzazione di un apparecchio telefonico mobile possa essere effettuato dall´operatore telefonico solo con il consenso dell´abbonato o dell´utente, qualora subentri la necessità di salvaguardare la vita o l´incolumità fisica della persona, l´operatore telefonico può comunicare legittimamente i dati stessi all´organismo di soccorso che sia impegnato nelle ricerche (artt. 6 e 24, comma 1, lett. e) del Codice cit.).

Oggigiorno, con il GDPR sono state abrogate le norme richiamate dal provvedimento in questione (artt. 6 e 24, comma 1, lett. e) del Codice cit.) e la normativa che corre in soccorso è, pertanto, la Direttiva e-Privacy (Direttiva n. 2002/58/CE).

Quest’ultima prevede che, ove siano in ballo la sicurezza nazionale e pubblica, lo Stato possa adottare disposizioni legislative per attribuirsi l’eccezionale potere, seppur entro determinati limiti, di prescindere dal consenso dell’utente per poter aver accesso ai dati rilevati dalla rete di comunicazione pubblica.

In mancanza di un siffatto atto legislativo, in Italia prevarrebbe la necessità di dover richiedere, caso per caso, l’acquisizione dei dati presso il fornitore con decreto motivato del pubblico ministero (art. 132 Codice privacy).

In questo scenario pandemico è, ad ogni modo, intervenuto il Governo italiano con il D.L. n. 14/2020 del 9 marzo 2020 che all’art. 14 ha previsto specificatamente la possibilità di usare i dati personali anche sensibili per finalità connesse al contenimento del Covid-19.

A questo punto, in analogia con il richiamato provvedimento del Garante del 2008, sarebbe sufficiente che con ordinanza della protezione civile venga prevista l’adozione di un’applicazione di telefonia mobile “sul modello coreano” soprarichiamato.

È bene comunque, evidenziare che in dottrina vi è anche chi sostiene come non sarebbe adeguata la deroga prevista dal D.L. 14/2020, essendo necessaria, trattandosi di una disciplina speciale, di una deroga espressa alla Direttiva ePrivacy.

Al di là di questo aspetto, tutti gli esperti concordano sul fatto che debbano essere determinati ed esplicitati legislativamente i limiti di questa eventuale deroga alla nostra riservatezza.

Deroga che, oltre ad essere temporanea (e prevedere la totale distruzione delle informazioni raccolta all’esito della crisi sanitaria), dovrebbe privilegiare un criterio di gradualità e, dunque, l’adozione di misure meno invasive, ove le stesse possano essere sufficienti a fini di prevenzione.

Conclusioni

Non sembrano quindi esserci preclusioni, sotto il profilo della riservatezza delle persone, all’adozione, anche in Italia, di alcune soluzioni modulate sul “modello coreano”, specie quelle che passano per l’installazione, volontaria, di applicazioni di telefonia mobile sugli smartphone dei soggetti positivi al virus o sui sospetti contagi.

La possibilità di adottare questo “profilo” dell’approccio coreano non significa che l’Italia possa adottare tale modello tout court, in particolare per l’aggressiva diffusione dei dati che lo contraddistingue.

Della stessa opinione è il Garante della Privacy Antonello Soro, che in una recente intervista ha dichiarato: “Qualche privazione è normale ma guai ad invocare i sistemi cinesi o della Corea del sud. Il nostro modello di riferimento è solo l’Italia e l’Europa.”

Questo perché, prosegue il Garante, “in Corea c’è una cultura di fondo, sociale e giuridica, molto distante dalla nostra”.

A prescindere dal fenomeno culturale, all’evidenza la nostra disciplina privacy, ben più tutelante della riservatezza delle persone rispetto a quella coreana, preclude certi eccessi e richiede comunque uno sforzo maggiore nella scelta delle tecnologie di tracciamento, al fine di individuare quelle meno invasive per la riservatezza delle persone.

Ne consegue che, come evidenziato sempre dal Garante della Privacy: “apparirebbe sproporzionata la geolocalizzazione di tutti i cittadini italiani, 24 ore su 24, non soltanto per la massività della misura, non fosse altro perché non esiste un divieto generale e assoluto di spostamento: la gigantesca mole di dati così acquisiti, ancorché gestibile, non avrebbe una effettiva utilità”.

Medesima posizione è stata, peraltro, assunta anche Comitato europeo per la protezione dei dati nella dichiarazione diffusa lo scorso 16 marzo 2020.

Il Garante privacy poi ha opportunamente precisato, in un’intervista rilasciata il 26 marzo scorso, che il contact tracing dovrebbe comunque essere subordinato all’emissione di un decreto temporaneo che ne individui modalità, presidi di sicurezza e limiti.

Per questi motivi, sebbene il “modello coreano” risulti in astratto e in certa misura attuabile anche in Italia, non sarà possibile trasferire meccanicamente tale esperienza nel nostro paese, ma sarà opportuno piuttosto trarne degli spunti che andranno poi declinati consapevolmente nel nostro contesto giuridico e sociale.

Chi, insomma, ha la responsabilità di governare, ove intenderà replicare almeno in parte il modello coreano, si dovrà ispirare alla nostra Costituzione e prevedere espressamente i limiti di questa deroga alla riservatezza delle persone, perché non vi è dubbio che anche in tempo di guerra il diritto deve guidare la scelta di atti necessari.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2