Nel capitolo intitolato “La sindrome cinese” del già ben noto ampio saggio su Il capitalismo della sorveglianza di Shoshana Zuboff, si osserva come il governo cinese stia sviluppando un sistema di “credito sociale” destinato ad essere il “nucleo” del suo approccio ad internet. L’idea è di fare leva sull’esplosione dei dati personali per “migliorare” il comportamento dei cittadini.
Non si può non pensare al sistema capillare di tracciamento dei dati messo in capo dal governo cinese, e poi sud-coreano, nella vicenda Covid-19.
Mi pare che tale vicenda rischi di rappresentare, nella immane tragedia “unificante” che la sottende, un fattore di avvicinamento fra cultura occidentale ed orientale ancora sul punto fino a pochi mesi fa piuttosto distanti. Le nuove frontiere dell’automazione e dell’intelligenza artificiale sembrano compatibili con uno dei possibili scenari di consumo che questo virus sta attualizzando in modo devastante.
I quotidiani di questi ultimi giorni, quando il “picco” dell’epidemia pare superato, pubblicano infatti editoriali, interviste e dichiarazioni di politici (e non solo) in cui si prospetta, anche come modalità di uscita soft (cd. mitigation) dalle durissime regole imposte dall’emergenza epidemiologica, il tracciamento informatico dei “positivi” (ancorché asintomatici) utilizzando una o più delle centinaia di sistemi e di app proposti da società private al governo. In questa settimana, dopo l’istruttoria della task force del ministero dell’Innovazione, sarà pronta probabilmente una short list da sottoporre al Governo per la scelta dell’app da utilizzare.
Deve far riflettere che anche il Garante della privacy, intervistato da La Repubblica a proposito del cd. contact tracing digitale, cioè l’uso dei dispositivi mobili dei cittadini per la mappatura e il tracciamento dei soggetti entrati in contatto con persone infette (il cd. modello coreano), affermi la teorica possibilità di misure in tal senso, essendo ammissibili limitazioni della privacy a tutela di un altro fondamentale diritto individuale e interesse collettivo, quello alla salute, sia pure attraverso una previsione normativa e con garanzie di temporaneità e proporzionalità negli interventi. Nello stesso tempo sempre il Garante, con una nota del 2 marzo 2020, ha stigmatizzato ogni iniziativa “fai da te” nella raccolta dei dati, svolta da soggetti che non esercitano istituzionalmente queste funzioni in modo qualificato.
A livello di normativa interna, al momento l’unica fonte di rango primario sul punto risulta essere l’art. 14 del d.l. 9 marzo 2020, n. 14 (Disposizioni sul trattamento dei dati personali nel contesto emergenziale) che prevede: “fino al termine dello stato di emergenza […] le strutture deputate pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati monitorare e a garantire l’esecuzione delle misure disposte ai sensi del decreto legge 23 febbraio 2020 n. 6 anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli art. 9 e 10 del regolamento UE 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19”.
Tale disciplina derogatoria è apparsa a taluni rispettosa del dato costituzionale e della disciplina nazionale ed europea in materia di privacy. Infatti, il nostro Codice della privacy (art. 2 sexies) e il diritto dell’Unione europea, in particolare agli artt. 9, comma 2, e 23 del GDPR, consentono limitazioni alla privacy per motivi di sanità pubblica.
Bisogna quindi verificare se, al di là di un dato normativo ancora eccessivamente vago, si possano trovare appigli nella normativa europea in materia.
Il richiamato regolamento UE 2016/679 (cd. GDPR) interpreta il trattamento delle informazioni personali (in rapporto al diritto alla riservatezza) anche alla luce della sua funzione sociale, affermando, al considerando n. 4 che: “Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità (…)”. Inoltre, al considerando 46, prevede in effetti che “alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”.
Si comprende, in tal senso, come la posizione del nostro garante della privacy sia tendenzialmente conforme a quella registrata in sede europea, dove il Comitato europeo per la protezione dei dati personali (EDPB) sostiene, con statement del 16 marzo 2020, che “l’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza”. L’EDPB sottolinea, inoltre, che
quando non è possibile elaborare solamente dati anonimi, la direttiva europea sulla privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica.
Questo passaggio è molto rilevante.
Bisogna infatti chiarire che tuttora sussiste in materia una margine di operatività della direttiva “e-Privacy”, la quale avrebbe dovuto essere trasformata in un Regolamento ed essere approvata in modo da entrare in vigore contemporaneamente al GDPR. Peraltro, anche per questo, il GDPR fa esplicitamente salva la direttiva “e-Privacy” (direttiva 58/2002 CE), come specifica l’art. 95 del GDPR.
Tuttavia, poiché appunto non c’è stato il Regolamento, come sottolinea nella sua opinion la presidente dello EDPB Jelinek, l’eventuale trattamento di dati di traffico telefonico anche a fini di geolocalizzazione ricade ancora sotto quanto previsto dalla direttiva 2002/58/CE, che prevede che gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli art. 5 e 6, all’articolo 8 paragrafi da 1 a 4, e dell’articolo 9 di detta direttiva qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46, “una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato di sistemi di comunicazione elettronica”.
Quindi è certamente possibile un intervento sul contact tracing digitale, ma esso, per evitare la “sindrome cinese” evocata nel recente libro della Zuboff, deve rispettare rigorosamente i seguenti presupposti: deve trattarsi di disciplina di carattere primario e rigorosamente proporzionata.
Non è detto che, stanti i presupposti emergenziali inediti nei quali ci si trova ad operare, questi requisiti vengano oggi rispettati.
Mi soffermerò su quattro questioni, che mi sembrano particolarmente pressanti.
i) Quanto alla fonte, il rischio non mi pare che possa tanto configurarsi nell’alternativa fra una legislazione organica che preveda il procedimento da adottare e l’autorità giudiziaria cui eventualmente il cittadino possa rivolgersi, ovvero di un intervento governativo con decreto-legge, posto che nel nostro caso proporzionalità implica il carattere assolutamente temporaneo del trattamento. È vero, infatti, che il fine non può che essere quello dell’uscita dall’emergenza: occorre dunque che gli strumenti messi in campo abbiano solo ed esclusivamente questa finalità ed abbiano una durata limitata nel tempo, tale da garantire che, una volta terminata l’emergenza, i dati vengano distrutti e non siano più utilizzabili se non, eventualmente, in forma aggregata ed anonima, al solo fine di ricerca. D’altra parte queste due prospettive appaiono conciliabili, nella misura in cui la decretazione d’urgenza possa poi essere eventualmente corretta, migliorata e “messa a regime” attraverso l’ineludibile passaggio parlamentare, che deve evidentemente costituire la sede per realizzare la accountability politico-governativa fondamentale in questo settore.
I veri problemi sono piuttosto altri due: la cd. soft law e il rapporto con la legislazione regionale.
Come si è detto, le iniziative de facto o di livello normativo comunque non primario tendono a moltiplicarsi, evidentemente ponendosi fuori dal sistema tracciato dal combinarsi fra fonte europea e fonte nazionale. Si pensi, ad esempio, alla recente nota ENAC del 23 marzo 2020, prot. 32363, relativa all’uso dei droni per il monitoraggio dello spostamento dei cittadini sul territorio comunale, con la quale si autorizzano tutti gli “Enti di Stato di cui all’art. 744 del Codice della Navigazione e delle Polizie Locali dei Comuni italiani” ad operare in deroga a svariati requisiti di registrazione e di identificazione nonché anche su aree urbane, senza la necessità di alcuna autorizzazione da parte di ENAC. Questa vicenda dovrebbe allarmare tutti, come cittadini. Non si dimentichi, peraltro, che dopo un primo intervento il 16 luglio 2015, l’ENAC ha pensato bene di emendare il proprio regolamento cinque mesi dopo, vale a dire il 21 dicembre di quello stesso anno. Alla luce di queste e altre analoghe esperienze nazionali degli stati membri, la Commissione europea ha dovuto correre ai ripari, presentando una proposta di revisione del regolamento UE 216/2008, al fine di riappropriarsi dei poteri normativi in materia di droni fin qui delegati, tra gli altri, appunto all’ENAC.
Quanto alla legislazione, come è noto il vice presidente della Regione Lombardia, ha dichiarato, ad esempio, che questa ha chiesto e ottenuto da gestori telefonici un numero imprecisato ma rilevante di dati di traffico telefonico di cittadini lombardi o persone viventi nel territorio della Regione e li ha incrociati con dati di altri interessati, prevalentemente risultati positivi a test sul coronavirus, al fine dichiarato di verificare se e in che misura le ordinanze del Governo e della Regione impattavano sui comportamenti dei cittadini. Non mi pare che le regioni possano intervenire in materia. Sul punto può essere utile notare che quando il giudice amministrativo ha affrontato sinora ex professo la questione della compatibilità del potere di ordinanza con la privacy (nel caso dell’ordinanza del sindaco di Messina che, fra l’altro, imponeva la registrazione on-line dei dati personali di coloro che intendessero attraversare lo stretto) ha perentoriamente data un parere nel senso dell’illegittimità – anche su questo fronte – del provvedimento, per violazione della potestà legislativa statale (Cons. St., sez. I, 7 aprile 2020, n. 735).
La fonte primaria, quindi, dovrà essere statale e non vi saranno margini per interventi regionali in materia.
ii) Quanto alla proporzionalità bisogna intendersi. È da condividere l’impostazione di chi ritiene che in questa materia proporzionalità implichi: soluzioni pseudo-anonimizzate che evitino trattamenti che esulino da compiti e responsabilità di tipo epidemiologico; carattere assolutamente temporaneo del trattamento; suo legame con strategie di “vigilanza attiva” (tamponi sui soggetti potenziali positivi non sintomatici).
Dal combinato disposto degli articoli 5 e 6 del Regolamento, che determinano le condizioni di liceità e le finalità della raccolta dati, si ricavano i principi generali che il titolare del trattamento deve seguire nella raccolta dei dati personali degli utenti. In particolare, il regolamento europeo sancisce la necessità che i dati personali vengano raccolti per finalità determinate, esplicite e lecite nei limiti di quanto necessario per il raggiungimento dello scopo peri quali sono stati raccolti. L’unione di questi due principi determina la nascita del c.d. principio di minimizzazione del trattamento. Tale principio è cardine della normativa europea, per cui non può subire ingiustificate limitazioni.
Più discutibile mi pare invece l’approccio di chi ritiene che in questi casi la proporzionalità deve attuarsi tramite l’immediata adozione di misure di massimo rigore che, se fondate invece su approccio improntato a gradualità potrebbero poi implicare, data la presumibile inefficacia, successivi provvedimenti beni più invasivi dei diritti individuali e della collettività. Sembra evocarsi qui la nota immagine della “rana bollita”. Senonché una cosa è la valutazione giurisdizione che in sede cautelare viene effettuata in questi convulsi e tristi giorni, rispetto alla quale può essere assolutamente comprensibile una particolare attenzione del giudice per la prevalenza l’interesse pubblico alla salute (sul diritto al lavoro, es. Cons. St., sez. III, decreto presidenziale 30 marzo 2020, n. 1553; sulla tutela preventiva delle interdittive antimafia, es. Tar Calabria, Reggio Calabria, decreto presidenziale 16 marzo 2020, n. 55) altra è la proporzionalità e adeguatezza delle misure legislative che determineranno presumibilmente il trattamento digitale dei dati, che deve essere adottata nel rispetto dei principi d’una società democratica, ai sensi dell’art. 15 della direttiva 58/2002 CE. In effetti quando si tratta di privacy il diritto alla salute deve essere ponderato con più attenzione, attenendo la prima al nucleo fondamentale della dignità umana.
iii) un altro aspetto problematico ha a che fare con il tema delle decisioni amministrative automatizzate tramite algoritmi, molto dibattuto nella giurisprudenza amministrativa (si v. il caso della distribuzione dei posti dei docenti delle scuole secondarie nell’ambito della cd. “buona scuola”). È corretto ritenere che, seppure vi siano spiragli in tal senso nel GDPR, il decisore politico non possa far coincidere l’esito dell’algoritmo con una misura limitativa ad applicazione automatica; l’uomo deve poter correggere eventuali errori commessi dall’algoritmo (v. De Minico sulle pagine di questa Rivista). Sul punto è doveroso aggiungere che il giudice amministrativo sembra avere un approccio ancora non univoco: da una parte si registrano sentenze che contestano radicalmente un processo decisionale gestito unicamente da un algoritmo preimpostato e predefinito onde tener conto in automatico di posizioni personali (v. Tar Lazio, sez. III-bis, 27 maggio 2019, n. 6606), dall’altra vi sono decisioni più possibiliste, che pretendono però il rispetto dell’obbligo di motivazione, di trasparenza e di correttezza, oltre all’ampiezza del sindacato giurisdizionale (v. Cons. St., sez. VI, 8 aprile 2019, n. 2270).
iv) infine, i nostri dati debbono confluire in un server di proprietà e gestione rigorosamente pubblica, per evitare che la tracciatura venga utilizzata come merce di scambio in una trattativa con i Google o Facebook di turno, ampiamente esaminati nell’indagine critica della Zuboff, dalla quale hanno preso avvio le presenti note.