Dopo l’esperienza della Corea del Sud in cui le autorità sanitarie possono controllare attraverso un’app, che sfrutta il Gps dello smartphone, il rispetto della quarantena dei contagiati, c’è chi vuole introdurre la “sorveglianza sanitaria di massa” il “contact tracing” anche in Italia sul modello coreano. Il GDPR lo permette? Con quali limiti ? Ecco alcune domande che abbiamo rivolto al Prof. Avv. Emilio Tosi, Professore Associato Abilitato di Diritto Privato – Università degli Studi di Milano Bicocca e Direttore Centro Studi Diritto delle Nuove Tecnologie®..
Key4biz. Le persone in quarantena o risultate positive al COVID-19 possono essere tracciate e geolocalizzate con un’app?
Emilio Tosi. La fattibilità tecnologica è già stata sperimentata, con diversi gradi di invasività nella sfera personale, in Cina e in Corea. Tuttavia, come noto, non tutto ciò che la tecnologia consente di fare è ammissibile dal punto di vista giuridico. Ricordiamoci che possiamo operare solamente nel quadro delle regole comunitarie delineate dal GDPR e dal nostro Codice della Privacy.
A mio prudente avviso, a normativa vigente, non è possibile tracciare e geolocalizzare legittimamente senza il consenso degli interessati. Si potrebbe d’ufficio, solamente se intervenissero modifiche in sede di conversione dell’art. 14 del D.L. 9/3/2020 con l’introduzione di specifiche regole per l’ammissibilità di tale procedura invasiva di controllo. Una semplice ordinanza della Protezione civile non credo proprio possa essere ritenuta sufficiente per attivare il tracciamento personale dei cittadini. Si tratta, invero, di contesto così rilevante per la tutela dei diritti fondamentali della persona, di cui la riservatezza e la protezione dei dati personali sono aspetto rilevante ma non certamente l’unico. Il tema investe, per esempio, in modo significativo anche la tutela del diritto fondamentale della libertà personale e la tenuta dell’ordinamento costituzionale nel suo complesso.
Key4biz. Il GDPR lo consentirebbe?
Emilio Tosi. Il GDPR certamente consente l’adozione di misure emergenziali per il trattamento dei dati particolari, compresi quelli sanitari, in deroga alle regole ordinarie in caso di epidemie e di sicurezza nazionale. Ma sempre nel rispetto dei generali principi di proporzionalità, trasparenza e accountability. Si potrebbe, forse, il condizionale è d’obbligo, considerare proporzionale un tale trattamento rispetto ai soggetti contagiati o risultati positivi. Dubito, tuttavia, che lo stesso giudizio positivo di proporzionalità, anche in caso di emergenza, possa essere esteso alla geolocalizzazione di tutti i cittadini italiani, si ribadisce, salvo che tale trattamento dei dati personali possa essere effettuato in condizioni di totale anonimizzazione e sicurezza dei dati. Soluzione quest’ultima compatibile con il GDPR in un quadro di regole trasparenti definite ad hoc dal legislatore.
Key4biz. Dal parere di Andrea Jelinek, presidente EDPB, il Governo italiano cosa potrebbe introdurre a livello tecnologico per contrastare la pandemia?
Emilio Tosi. Parere equilibrato e condivisibile che tiene conto dei principi fondamentali anche in contesto emergenziale sanitario. In particolare, rammentiamo il seguente passaggio: “For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”). When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society”.
Il Governo italiano, ma in ultima istanza il Parlamento in sede di conversione del DL, potrebbe persino introdurre, nei casi più gravi, ossia contagiati e positivi al virus, norme per la geolocalizzazione “in chiaro” delle persone nel rispetto dei generali principi di proporzionalità, necessità, trasparenza, accountability e sicurezza per un limitato periodo di tempo e fissando un obbligo di cessazione del controllo con cancellazione ai termini dell’emergenza. Ma dubito che un provvedimento di tale portata possa, senza difficoltà, superare indenne i rilievi specifici del Garante Privacy e quelli più generali di costituzionalità nel caso in cui fosse indiscriminatamente esteso a tutta la cittadinanza.
Key4biz. ‘Il metodo coreano’ potrebbe essere replicato in Italia e nel caso in che modo?
Emilio Tosi. Se il metodo coreano risulta rispettoso della garanzia di geolocalizzazione anonima credo possa essere applicato, previo adeguato intervento normativo e successivamente attuativo, anche in Italia. Forse persino, ribadisco limitatamente alla geolocalizzazione anonima, sulla base di un’ordinanza della Protezione civile esecutiva dell’art.14 del DL citato. Sappiamo quante persone si trovano in un dato luogo in quel momento ma non sappiamo chi: big data analytics applicata efficacemente ai dati di mobilità delle persone non al controllo degli spostamenti di Tizio e Caio. In subordine, si potrebbe considerare, limitamente al periodo emergenziale, ma con grandi cautele, ammesso e non concesso che superi i possibili rilievi del Garante e più in generale di costituzionalità – di limitare il controllo “in chiaro” ai soli soggetti contagiati e positivi sempre, comunque, in un quadro trasparente di regole normative in ordine a finalità, durata, proporzionalità, sicurezza, ambito di comunicazione oltre che cessazione del trattamento e cancellazione ai termini dell’emergenza in corso. Inapplicabile, invece, il metodo cinese ossia la geolocalizzazione effettuata massivamente e indistintamente su tutta la popolazione “in chiaro” ossia senza garanzia di anonimato dei dati rilevati ma associati all’abbinamento della posizione di ciascun cittadino al proprio smartphone.
Key4biz. Quali il suo giudizio sull’autoritarismo digitale cinese messo in campo per contrastare il virus?
Emilio Tosi. Non intendo formulare giudizi politici sulle scelte normative di altri Stati sovrani. Quello che posso dire è che l’ultima soluzione citata ossia quella della geolocalizzazione “in chiaro” quindi abbinata a ciascun cittadino – e non adeguatamente anonimizzata – ritengo sia impraticabile in Italia e in EU. Incompatibile direi anche in situazioni di emergenza sanitaria, soprattutto se estesa indistintamente a tutti i cittadini a prescindere dalle situazioni di positività al virus, in quanto incompatibile con l’ordinamento democratico complessivo delineato dalla nostra Costituzione e dai Trattati comunitari: persino inopportuna per non dire pericolosa.
Key4biz. Quali sono i punti chiave previsti dall’articolo 14 del decreto-legge del 9 marzo per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19?
Emilio Tosi. In sintesi direi un’ampia deroga al GDPR, a partire dalla raccolta del consenso dell’interessato, per una più efficace gestione dei flussi di trattamento dei dati sanitari e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19. E’ certamente doveroso facilitare il trattamento e lo scambio di dati epidemiologici in contesto di emergenza. Le regole non devono essere di ostacolo ma i principi vanno salvati. Un conto è facilitare al massimo trattamento e circolazione dei dati sanitari; altro introdurre meccanismi di sorveglianza sanitaria con geolocalizzazione delle persone, non in forma anonima.
Key4biz. Cos’altro vuole aggiungere?
Emilio Tosi. Nelle situazioni di emergenza si possono e si devono derogare le regole ordinarie per il bene superiore di tutti. Ma non è mai opportuno rinunciare a preservare i principi fondamentali e le libertà dell’ordinamento costituzionale che devono sempre essere difese anche nelle condizioni più avverse. Tra l’altro la temporaneità, soprattutto in Italia, è un concetto molto elastico che non offre certezze sufficienti alla tutela dei diritti fondamentali della persona. Se proprio si vuole attivare un’app di contact tracing e geolocalizzazione massiva per la sorveglianza sanitaria degli spostamenti ampliata a tutti è bene che assicuri, per legge, il trattamento anonimo dei dati personali.
Altre modalità di tracciamento e geolocalizzazione massiva “in chiaro” che consentano l’abbinamento ai dati univoci della persona, così identificandola, non dovrebbero essere, a mio prudente avviso, coltivate né dal legislatore né, a maggior ragione, dalla Protezione Civile.
