la riflessione

Uccidere la privacy per combattere il virus: l’errore fatale delle democrazie

In questi momenti cruciali per il futuro del Paese, caratterizzati dal panico da coronavirus, dobbiamo resistere alla tentazione di barattare alcuni diritti (pur comprimibili) con una presunta maggiore sicurezza: è il caso della privacy. Vediamo perché non deve passare il messaggio che la privacy è qualcosa di superfluo

10 Mar 2020
Diego Dimalta

Studio Legale Dimalta e Associati


Una delle reazioni più comuni che si possono verificare a seguito di eventi catastrofici è quella di rinunciare ad alcuni diritti o libertà in favore di una maggiore sicurezza.

Eclatante l’esempio di quello che accadde l’indomani dell’11 settembre 2001, quando i cittadini statunitensi rinunciarono senza batter ciglio a gran parte della loro privacy pur di consentire al Governo di esercitare tutti i poteri invasivi – e inquisitori – previsti nel “Patriot Act”.

L’insorgenza e l’attuale diffusione del Coronavirus rappresenta, per le nuove generazioni, un evento di forte rottura con il passato, come fu per le generazioni passate l’attacco terroristico alle Torri gemelle o, ancora prima, le due guerre mondiali.

Coronavirus, niente sarà più come prima

Ci sarà un prima e un dopo Coronavirus, ma in questi momenti cruciali per il futuro del nostro Paese, dobbiamo comunque resistere alla tentazione sempre più forte di “barattare” alcuni diritti – sia pure comprimibili – con una presunta maggiore sicurezza.

Si leggono in questi giorni le ipotesi più disparate, da chi ritiene giusto inserire norme nuove che permettano al Governo di sorvegliare lo stato di salute dei cittadini attingendo alle miniere di informazioni presenti sui nostri smartphone, fino a chi suggerisce addirittura di sospendere parzialmente l’applicazione del GDPR.

Entrambe le posizioni sono a parere di chi scrive poco condivisibili, per i motivi che si vanno ad esporre.

Secondo alcuni, l’esigenza di un intervento immediato dello Stato insieme alla necessità di assicurare un interscambio “agile” di informazioni fra organi competenti, per monitorare in tempo reale la situazione di crisi, sarebbe un motivo sufficiente per spingere verso una legittima – quanto pericolosa – deroga alle norme di protezione dei dati personali al fine di creare norme nuove che consentano l’accesso ai dati prodotti dai nostri device.

Gestione dati personali durante le emergenze: perché servono nuove norme

Legittima perché, in effetti, in uno scenario emergenziale di livello nazionale, il codice di protezione civile (cfr. art. 25) consente l’emanazione di ordinanze in deroga ad ogni disposizione vigente, sia pure nel rispetto dei principi generali dell’ordinamento giuridico e delle norme dell’Unione Europea; pericolosa, invece, in relazione alla natura dei diritti che possono essere compromessi, primo fra tutti quelli connessi alla riservatezza dei cittadini.

In questo momento, chi è chiamato ad agire per contrastare l’avanzata del virus, ha “fame” di dati (personali e non), perché c’è la necessità – percepita da tutti – di poter accedere ad ogni tipo di informazione che potrebbe essere in qualche modo utile alla salvaguardia della sicurezza e salute pubblica.

Parola d’ordine: evitare abusi ingiustificati

Ma non è certamente accedendo alle informazioni raccolte dalle app dei nostri smartphone che si sconfigge un’epidemia.

Nei prossimi mesi le norme sulla protezione dei dati, alla pari dei diritti e delle libertà che le stesse intendono tutelare, saranno inevitabilmente “stressate” da attività di trattamento dei dati personali audaci, perché figlie di un periodo emergenziale.

Ma neppure in questo momento così delicato per la tenuta della nostra democrazia dobbiamo essere tentati dall’abbandonare i principi generali sanciti dal GDPR, primi fra tutti i principi di necessità e proporzionalità.

Possiamo comprimerli, limitarli, ma non abbandonarli del tutto.
Questi principi cardine, espressione del più generale principio di minimizzazione, devono guidare l’azione di governo anche in uno stato di emergenza, per evitare abusi ingiustificati. Ogni deroga dovrà essere motivata e mai come in questi momenti vi è il bisogno di pensare in ottica “by design”, cioè affrontando il tema privacy fin dai primi attimi in cui si ragiona su provvedimenti e decisioni, a maggior ragione se in deroga alle norme vigenti.

A tal riguardo dobbiamo chiederci “per quale fine sarebbe opportuno accedere ai dati presenti sulle app dei cittadini?”

Per conoscere lo stato di salute? Questo sarebbe inutile, perché spesso il coronavirus fa presa in modo del tutto asintomatico. Di contro, ci sono persone con la febbre che non hanno il virus.

No, non può essere questa la finalità. L’unica utilità potrebbe derivare dall’accesso ai dati di geolocalizzazione, per capire se un soggetto – la cui positività è nota – sia stato in contatto con altre persone.

Le norme esistono già

Ma queste informazioni sono facilmente reperibili anche senza norme speciali e senza accesso ai dati conservati sui dispositivi personali dei cittadini. Non serve dunque alcuna nuova normativa, gli strumenti per raggiungere le finalità sperate, esistono e vengono già frequentemente utilizzati.

Ma anche laddove si ritenesse di giustificare l’emanazione di nuove norme che concedano l’accesso a tutti i nostri dati presenti sugli smartphone, resterebbero tanti e troppi i rischi connessi a tali attività di trattamento.
Si pensi, ad esempio, al tema della conservazione dei dati eventualmente acquisiti dalla protezione civile e, in genere da enti pubblici, nel corso delle operazioni di indagini volte a ricostruire gli ultimi spostamenti e contatti dei contagiati per fermare la diffusione del virus.

Una ricerca complessa che riguarderebbe una enorme mole dati.

Si potrebbe sostenere che tali dati sarebbero raccolti in forza di legittime basi giuridiche, posto che il Regolamento europeo, in combinato disposto con il novellato codice privacy italiano, prevede l’ipotesi del trattamento di dati sensibili per motivi di interesse pubblico rilevante, se necessario per l’espletamento della funzione di protezione civile (cfr.: art. 9, pgf. 2 lett. g) GDPR; art. 2-sexies, co. 2 lett. u) Dlgs. n. 196/2003).

Ma cosa accadrebbe alla scadenza del termine dello stato di emergenza?

Tutti i dati acquisiti in circostanze eccezionali sarebbero prontamente eliminati?
E in caso negativo, verrebbero adottate misure di sicurezza per rendere quantomeno pseudonomizzati i dati in possesso?
Sono tutte domande che- prima di chiedere a gran voce nuove norme- dovremmo porci sin da adesso, nonostante l’urgenza del momento spinga in un’altra direzione.

Non è difatti auspicabile l’adozione di provvedimenti figli della paura e della fretta di fare qualcosa. Sarebbe invece consigliabile la creazione di un gruppo di esperti “privacy” che affianchi – in maniere permanente – la protezione civile e il governo in questa fase, per adottare decisioni immediate che tutelino comunque i dati personali al livello più alto possibile in relazione alle finalità del trattamento, evitando in questo modo scelte azzardate.

Perché è sbagliato sospendere l’applicazione del Gdpr

Allo stesso modo non è condivisibile l’opinione espressa qui da altro stimato collega, il quale ha suscitato scalpore (e consensi) per aver suggerito la sospensione dell’applicazione del GDPR per tutto il 2020. In realtà, titoli a parte, la proposta non prevede la sospensione in toto del GDPR ma solo dell’applicazione delle sanzioni pecuniarie, permanendo quindi le sanzioni cosiddette correttive (tra le quali, ad esempio, l’ammonizione).

Ora, pur risultando apprezzabile un simile approccio volto ad aiutare le aziende che sicuramente si troveranno ad affrontare un anno molto difficile, non si può non rilevare la dannosità di un eventuale provvedimento in questo senso.

Spieghiamo meglio.

Come i lettori di questa testata sanno bene, la data protection è già vista dagli imprenditori italiani come un adempimento inutile. “Il GDPR è una norma fatta per far guadagnare voi avvocati”; questo ci si sente dire entrando in diverse aziende.

Quanta la fatica spesa per far capire che il GDPR, invece, è una norma pensata per tutelare i diritti fondamentali delle persone e che non dovrebbe essere vista come l’ennesimo adempimento burocratico, ma come un’occasione per evolvere il proprio business ed ottenere un vantaggio competitivo a livello di mercato.
Ancora oggi divulgare la cultura privacy è una pratica molto difficile, nonostante le innovazioni normative degli ultimi anni che hanno imposto un generale cambio di rotta.
In questo senso, l’obiettivo di noi addetti ai lavori (più o meno esperti) dovrebbe essere quello di far percepire alla collettività che il futuro della nostra democrazia passa dai dati e dalla nostra capacità di metterli in sicurezza; e che se non lo facciamo oggi, il rischio è che domani potrebbe essere troppo tardi.

In un contesto simile sarebbe devastante l’impatto di una sospensione delle sanzioni da parte del Garante. Perché? Perché – anche in buona fede – passerebbe il messaggio che la privacy è un qualcosa di superfluo, di inutile, di cui possiamo parlare solo quando tutto il resto gira bene.

La privacy non è la Cenerentola delle norme

Del resto, se vogliamo sospendere le sanzioni, perché allora non sospendere le sanzioni per chi viola le norme di sicurezza? Perché non sospendere le sanzioni per chi viola le norme di igiene? Potremmo sospendere anche il diritto d’autore, tanto che male fa copiare l’idea di un musicista? (Chiaramente sono domande da leggere in tono sarcastico)

La privacy non può essere vista come la cenerentola delle norme che proteggono azienda e lavoratori. Tutte queste normative, come anche il GDPR, sono normative essenziali. Allentare le maglie di uno stato di diritto significherebbe delegittimarne l’esistenza stessa.

Del resto, il Garante in diverse occasioni ha dimostrato come il suo fine ultimo non sia assolutamente quello di far fallire le imprese. È da anni che Antonello Soro lo ripete. Non esistono infatti provvedimenti squilibrati da parte del Garante e abbiamo buoni motivi per pensare che le cose non cambieranno a breve.

Di contro, il rischio che si correrebbe in caso di sospensione delle sanzioni, è che un’impresa ne approfitti, vendendo dati a terzi, inviandoli a Paesi extra Ue senza le dovute garanzie o commettendo illeciti che oggi sarebbero fortemente sanzionati.

Qualcuno potrebbe obiettare: ma vi sono anche altri poteri correttivi in mano all’Autorità, come l’ordine di cancellazione di dati personali o la limitazione definitiva del trattamento.

È vero, ma il punto, come si diceva più sopra, non è tanto se esistano altri metodi di sanzione, alternativi a quello pecuniario. No. Il punto è che il GDPR è una norma di pari livello rispetto a tutte le altre norme dell’ordinamento e, sospenderne (anche solo parzialmente) l’applicazione, significherebbe ammetterne la minore importanza rispetto ad ogni altra disciplina.

Conclusioni

Si tratta dunque di una proposta che, sebbene animata da buoni intenti, non dovrebbe essere presa in considerazione.

È evidente a tutti che ci aspettano momenti molto difficili. Ma non li supereremo inserendo norme eccessive o delegittimando la privacy.

Il panico dilaga ma, almeno noi – persone di legge – dobbiamo aver fiducia nel nostro ordinamento e vedere in esso un’ancora di salvataggio e non un impedimento per la tutela delle persone e delle imprese. L’Italia saprà reagire, e lo farà nel rispetto delle regole. Ne siamo certi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4