Tracciamento e controllo, una proposta per rimettere al centro la privacy

Questo articolo appare in collaborazione con l’Associazione BrainCircleItalia (www.brainforum.it), che ha dedicato all’emergenza Covid-19 il sito www.controvirus.it.  

È chiaro che l’emergenza sanitaria durerà a lungo e che bisognerà ripartire, pur nell’emergenza. Il problema è come ripartire.

Il tracciamento individuale delle persone delinea gli assetti sociali del futuro: si pone a cavallo tra l’esigenza di controllo dell’epidemia in espansione (o in possibile ripresa) e il controllo di chi riprende a spostarsi.

Dal Ministero un concorso veloce: il mondo alla rovescia

Un folto numero di Ministeri e di importanti istituzioni anche internazionali, tra i quali spiccano quelli a cui è affidata la strategia di contrasto alla pandemia Coronavirus, lancia un concorso veloce (fast call) con lo scopo di “individuare, nei prossimi 3 giorni, le migliori soluzioni digitali disponibili relativamente ad app di telemedicina e assistenza domiciliare dei pazienti e a tecnologie e strategie basate sulle tecnologie per il monitoraggio ‘attivo’ del rischio di contagio, e coordinare a livello nazionale l’adozione e l’utilizzo di queste soluzioni e tecnologie, al fine di migliorare i risultati in termini di monitoraggio e contrasto alla diffusione del Covid-19” [1].

Si cercano, dunque, idee di soluzioni informatiche e di connettività per la “teleassistenza per pazienti domestici, sia per patologie legate a Covid-19 sia per altre patologie, anche di carattere cronico”, per “tecnologie e soluzioni per il tracciamento continuo, l’alerting e il controllo tempestivo del livello di esposizione al rischio delle persone e conseguentemente dell’evoluzione dell’epidemia sul territorio”. Il tutto allo scopo di “agire in modo coordinato a livello nazionale”.

Un lettore in buona fede vedrebbe in questo scenario un concorso di idee. Come quando, per esempio, per realizzare un nuovo quartiere o un nuovo ponte, non si parte dal bando per l’assegnazione dei lavori ma si chiede alla comunità scientifica di riferimento di proporre idee per quella realizzazione: chi ha l’idea migliore viene selezionato! E seguono i bandi.

Non ci sarebbe niente di male, in astratto, salvo il piccolo dettaglio che questa scelta del Governo ci fa scoprire che le istituzioni non sanno come affrontare l’emergenza Covid-19 e, meno ancora, la sua fase successiva, quella della ripresa, che necessariamente dovrà essere graduale. Tuttavia, leggendo meglio la fast call, si scopre che saranno privilegiate le concrete “proposte già realizzate e disponibili per l’implementazione in tempi estremamente brevi”: si cercano soluzioni ready-to-use. Sorge allora la domanda: soluzioni per fare cosa?

Pare che la fast call abbia riscosso molto successo e che siano giunte all’attenzione del Ministero alcune centinaia di proposte. Da un’analisi effettuata dalla rivista Wired[2], sembrerebbe che esse siano molto diverse l’una dall’altra per scopo, funzionalità, tipologie di dati e strumenti utilizzati, grado di sviluppo, collocazione e trasmissione dei dati, anche personali, che vengono raccolti.

In un futuro, che si annuncia riconfigurato dalla pandemia (sì, perché di questo si tratta!), la nostra ricostruzione, i nostri diritti e le nostre libertà sono nelle mani di qualcuno, (magari bravissimo) che ha una soluzione pronta? Non ci pare possibile, dobbiamo aver capito male.

 

E la privacy? Non è un ostacolo alla gestione dell’emergenza

Si dice, a torto, che il diritto alla privacy sia di ostacolo a una reazione rapida e efficace. Ma la contrapposizione tra privacy e tutela della salute pubblica è artificiosa. La legislazione europea e italiana sulla privacy consente che siano realizzati anche sistemi di tracciamento e di controllo della popolazione purché si rispettino alcune procedure e alcuni limiti del tutto ragionevoli, che non sono certo di ostacolo alla prontezza di reazione e decisione pubblica.

Proviamo ad analizzare il problema con un minimo di attenzione.

Tutte le proposte di cui si è sentito parlare e gli stessi scopi indicati nella fast call (telemedicina, assistenza domiciliare dei pazienti, monitoraggio “attivo”, tracciamento continuo e alerting), per poter funzionare, devono necessariamente raccogliere dati e trattarli. Alcuni di questi dati sono puramente quantitativi, cioè non sono riferibili a specifiche persone fisiche e, quindi, sono estranei alle regole della privacy. Altri, invece, sono riferibili a persone fisiche identificate o identificabili (ecco i dati personali!). E ancora, vi sono dati che riguardano la salute, rientranti tra i “particolari categorie di dati”, che il Regolamento Europeo sulla privacy (GDPR n. 2016/679, in vigore dal 2018) protegge in modo rafforzato, all’art. 9. Questo è il cuore delle norme sulla privacy, di cui (e ci par strano) la fast call nulla dice, fatto salvo un oscuro inciso finale su “trattamento informativa e/o consenso informato”.

Tuttavia, la tutela dei dati personali non impedisce il soddisfacimento delle esigenze di sanità pubblica. Infatti, il divieto di trattare “dati genetici e […] dati relativi alla salute” non si applica, e quindi può essere derogato, quando “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica” (art. 9, comma 2, lettera i).

Il problema è, allora, chi identifica e definisce questi interessi? In quale misura e con quali modalità sono tutelati?

La risposta alla prima delle due domande è intuitiva: è lo Stato che stabilisce che cosa debba essere considerato di interesse pubblico, anche in materia sanitaria.

La risposta alla seconda domanda è certamente più complessa[3], ma il risultato è ugualmente chiaro: è necessaria una legge dello Stato o un atto avente forza di legge, che ponga i limiti della deroga e definisca l’interesse pubblico, e cioè “i tipi di dati che possono essere trattati”, “le operazioni eseguibili” e “le misure appropriate e specifiche per tutelare […] l’interessato”[4]. Il tutto alla luce dei principi generali da seguire sempre in materia di trattamento dei dati personali (art. 5 del GDPR), e cioè:

–  le finalità del trattamento, che devono essere legittime, determinate ed esplicite;

– la minimizzazione dei dati, i quali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto al raggiungimento delle finalità;

– i limiti alla conservazione, per cui l’arco di tempo di conservazione dei dati non potrà essere superiore al conseguimento delle finalità per le quali essi sono trattati;

sicurezza del trattamento, anche attraverso la creazione di sistemi di protezione e di collocamento dei dati nei server situati all’interno del territorio nazionale, gestiti da soggetti che forniscano i più alti livelli di garanzia e adeguatezza nel trattamento dei dati.

Si potrebbe obiettare che il consenso dato dai diretti interessati possa essere la soluzione, superando la necessità di introdurre una deroga per legge al sistema ordinario. Questa soluzione, tuttavia, non ci convince, per due buoni motivi:

  1. Per essere efficaci sotto il profilo della tutela della salute pubblica, i sistemi di tracciamento della popolazione devono ricevere la massima diffusione. Rimettere l’utilizzo alla libera scelta dei cittadini (il loro consenso, appunto) può determinare il loro scarso utilizzo sotto il profilo numerico, con l’evidente rischio di non raggiungere l’obiettivo finale di tutela della collettività;
  2. Il sistema basato sul mero consenso potrebbe rivelarsi profondamente iniquo poiché non tutelerebbe coloro che non acconsentono al trattamento dei loro dati, i quali, a quel punto, potrebbero rimanere esclusi dai benefici connessi, ad esempio, all’uso della telemedicina e alla conoscenza del livello di esposizione al rischio di contrarre il virus. In altre parole, chi non aderisce al tracciamento non avrebbe una valida alternativa e non godrebbe di quei benefici, connessi alla tutela della salute pubblica, a cui, invece, ha diritto di accedere quale membro della collettività.

 

Il mondo rimesso in piedi: una proposta

Proviamo a delineare la sequenza corretta che una legge chiara (e che ha valore in Italia e in tutta Europa) come il GDPR indica.

Il Governo, sentito il Garante per la privacy, compie le sue scelte circa le necessità sanitarie ed epidemiologiche e circa i mezzi che intende adottare (finalità). Indica i limiti di tempo della deroga (in emergenza si può trattare anche di un periodo di tre mesi, all’esito del quale confermare la deroga o aggiustare il tiro), il tipo di dati strettamente necessari da trattare rispetto alla finalità, il soggetto che li debba gestire in sicurezza, sul territorio nazionale e in mano pubblica. Adotta quindi un decreto-legge, che il Parlamento può convertire in legge. È solo a questo punto che viene lanciata una call su scelte e linee guida ben precise, che garantiscano efficienza e rispetto dei diritti.

Di tale legge, tuttavia, non vi è alcuna traccia nel dibattito pubblico e, meno che mai, nella fast call da cui siamo partiti. Ciò ha comportato la presentazione di alcuni progetti della cui legittimità si dubita, francamente, sotto il profilo della loro compliance alla normativa privacy. Tra l’altro la fast call fa riferimento a telemedicina per pazienti cronici diversi da Covid-19: quale durata di trattamento per questi dati dobbiamo attenderci?

Si dirà, immaginiamo l’obiezione, che non sia facile per il Governo compiere le scelte circa le necessità sanitarie e epidemiologiche e i mezzi da adottare. E chi potrebbe negarlo? Ma questo non è un buon motivo per rimettere il problema a soluzioni già costruite da società ed enti di ricerca.

Perché dunque non provare a fare le cose con ordine e con trasparenza? I vantaggi sarebbero enormi sia per la pubblica accettazione di un’importante compressione delle nostre libertà (si noti che in Corea del Sud il livello di accettazione sembra già calato fortemente!) sia per il Governo, che non potrebbe essere accusato di aver delegato a soggetti diversi scelte che gli competono per legge o di aver favorito qualcuno dei partecipanti. E se poi, dopo tre mesi, il bilancio dovesse richiedere un cambiamento, eventuali aggiustamenti saranno solo una dimostrazione della capacità di governare l’emergenza con prudenza ed elasticità.

L’emergenza sollecita l’adozione della logica trial and error anche in campo di decisione pubblica.

 

Amedeo Santosuosso è responsabile scientifico del Centro di Ricerca ECLT dell’Università di Pavia, e membro della World Commission on the Ethics of Scientific Knowledge and Technology (COMEST -UNESCO), autore del saggio Intelligenza artificiale e diritto, Mondadori Università 2020.

Sara Azzini è fellow dell’ECLT dell’Università di Pavia.


[1] Ministero dell’Istruzione, Ministero della Salute, Ministero dello Sviluppo Economico, Ministero per l’Innovazione Tecnologica e la Digitalizzazione, Istituto Superiore di Sanità e, in collaborazione con l’Organizzazione Mondiale della Sanità: https://innovazione.gov.it/telemedicina-e-sistemi-di-monitoraggio-una-call-per-tecnologie-per-il-contrasto-alla-diffusione-del-covid-19/ visitato il 2 aprile ’20.

[2] Si veda https://www.wired.it/internet/web/2020/03/24/coronavirus-app-contact-tracing/ ultima visita il 2 aprile ’20.

[3] Il D. Lgs. 196/2003, come emendato nel 2018, dopo l’entrata in vigore del GDPR, stabilisce che i trattamenti dei dati sanitari, “necessari per motivi di interesse pubblico […] sono ammessi qualora siano previsti […] nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento” (art. 2 sexies).

[4] articolo 2 sexies, D. Lgs. 196/2003, come emendato nel 2018, dopo l’entrata in vigore del GDPR,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *