COVID-19, app traccianti e privacy: prospettive di bilanciamento e soluzioni informatiche per un utilizzo dei dati limitato all' emergenza epidemica (parte seconda)

07/04/2020 13:25

di Renzo Ristuccia, Luca Tufarelli e Carlo Corazzini – Studio Legale Ristuccia Tufarelli & Partners


LEGGI LA PRIMA PARTE

MONITORAGGIO E TRACCIAMENTO: DIRITTI COSTITUZIONALI, PRESIDI TECNOLOGICI E REVERSIBILITÀ


Come ben si evince dalle disposizioni nella prima parte, il diritto alla privacy trova al suo interno i limiti dinnanzi a situazioni emergenziali come quella che stiamo vivendo oggi. Riprendendo le parole di Antonello Soro, però, "la vera difficoltà da affrontare è comprendere quale sia il grado di limitazione dei diritti strettamente necessario a garantire tale scopo, comprimendo le libertà quel tanto (e nulla più) che sia ritenuto indispensabile".


Ciò che occorre comprendere è, quindi, come garantire allo stesso tempo il diritto di tutti ad avere una vita di relazione e lavorativa completa e che i dati acquisiti non siano utilizzati per altri scopi.


Attesa la derogabilità del diritto alla privacy, occorre individuare le misure che ci consentano di proteggere il nucleo duro e irriducibile di tale diritto attraverso l'utilizzo di strumenti e tecnologie che di per sé non sono neutre e la cui legittimità dipende dall'utilizzo che ne viene fatto.


I punti cruciali a nostro avviso sono: quale deve essere lo "spessore" dei dati (anonimi?); chi è titolato al trattamento dei dati, per quanto tempo può durare il trattamento, come far rispettare tali limiti.


Sul primo punto è bene fugare un equivoco: perché si possa raggiungere l'obiettivo di individuare ed isolare il soggetto a rischio il dato non può essere anonimo. L'autorità sanitaria che, sulla base della lettura dei vari dati, apprende che il soggetto Alfa ha avuto un contatto con il soggetto Beta rivelatosi infetto deve poter conoscere i dati personali di entrambi.


Questo, ovviamente, non può tradursi in una indiscriminata diffusione dei dati personali dei contagiati e dei soggetti a rischio.


In altri termini il soggetto Alfa non deve conoscere chi è il soggetto Beta e nemmeno il fornitore dei dati di movimento (operatore telefonico, gestore di dati satellitari, circuito di pagamento ecc.) dovrebbe associare i propri dati a quelli sanitari. Solo l'Autorità pubblica chiamata a gestire l'emergenza, infatti, dovrebbe essere legittimata al trattamento non anonimo dei dati in funzione della gestione dell'emergenza.


Ma è anche vero che l'Autorità sanitaria deve poter disporre dei soli dati fisici del movimento delle persone tracciato attraverso i terminali; deve cioè escludersi che sia funzionale al contrasto del COVID-19 ricevere altre informazioni che pure tale tracciamento potrebbe aver conservato (se per esempio in un certo luogo si è tenuta una riunione politica o una cerimonia religiosa; per quale bene sia stata utilizzata una carta di credito ecc.).


Attesa la possibilità di accedere ai dati raccolti in ambito emergenziale esclusivamente ai soggetti deputati alla gestione dell'emergenza (ISS, Protezione Civile, personale sanitario, ecc.), occorrerà disciplinare adeguatamente i rapporti tra Governo nazionale e regionale nella gestione dei dati, anche in considerazione delle semplificazioni contenute nella normativa emergenziale e nelle ordinanze delle Autorità coinvolte.


A ciò si aggiunge l'esigenza di un coordinamento, a livello europeo, delle misure adottate dai Governi nazionali, considerata la stringente compressione di diritti fondamentali, primo fra tutti la libertà di circolazione e soggiorno in tutto il territorio dell'Unione (artt. 20 e 21 TFUE).


Necessità di coordinamento recepita, ad esempio, dall'European Data Protection Supervisor ("EDPS") che nella comunicazione "Monitoring spread of COVID-19" del 25 marzo 2020 (espressamente richiamando quanto disposto dalla Decisione 1082/2013/UE in materia di gestione delle emergenze sanitarie) ha richiesto cooperazione e scambio delle informazioni tra Stati membri.


Altro tema che necessita di essere adeguatamente affrontato è quello relativo alla durata del trattamento. Si suole dire che una volta terminata l'emergenza si ‘riespande' il diritto alla riservatezza. C'è da chiedersi se il trattamento dei dati personali del singolo contagiato non debba terminare già nel momento in cui cessa l'utilità del dato a fini di isolamento dei soggetti a rischio. In altri termini, ricostruita le rete dei contatti e passato il periodo di malattia (o di contagiosità) il trattamento relativo ai dati di una determinata persona dovrebbe cessare anche prima della fine dell'emergenza.


Da ultimo vi è il tema - forse non teorico, ma di seria importanza pratica - di come garantire il rispetto delle regole. Si tratta, in parole povere, di assicurare la comunità che i dati raccolti non siano utilizzati per altre finalità o da terzi non autorizzati.


A parere di chi scrive, infatti, occorre individuare misure che non siano limitate al solo profilo "organizzativo" ma che abbiano un contenuto tecnologico, cioè realizzino concretamente un presidio nelle mani dell'Autorità per decidere, ex ante ed ex post, chi ha accesso a quali informazioni ed in quale misura, implementando un'effettiva tutela del diritto alla riservatezza del singolo che, per un breve e limitato periodo, si è ritenuto recessivo rispetto ad altri diritti e finalità di interesse generale. A ciò si dovranno accostare, a livello normativo, adeguati "pesi e contrappesi" che consentano di operare a livello gerarchico ed ordinamentale un controllo dell'Autorità a cui viene conferito tale potere o, meglio, a cui la gestione dello strumento tecnologico viene conferita.


I sistemi e le applicazioni che si stanno analizzando dovrebbero trattare esclusivamente dati pseudonimizzati in forma aggregata anche se, come abbiamo visto, la finalità ultima dal lato dell'Autorità Sanitaria è l'accoppiamento dei dati di geo-localizzazione con i dati dei soggetti risultati positivi al virus. Questo, lo abbiamo già detto, per garantire il monitoraggio del paziente e per mirare i controlli sanitari sulle altre persone che sono entrate in contatto con l'infetto nel c.d. "periodo critico". Accoppiamento che, però, postula la necessità di individuare le misure di sicurezza atte a garantire l'accesso a tali dati esclusivamente a soggetti debitamente autorizzati.


Risulta così di vitale importanza come realizzare la pseudonimizzazione del dato che, privato dei dati identificativi, alla fine del processo risulterà pressoché anonimo. Processo, questo, che dovrebbe essere fatto a monte e prima che il dato confluisca nei Big Data.


Una soluzione potrebbe essere quella di utilizzare tecniche di cifratura asimmetrica per privare il dato personale di tutti gli elementi identificativi che l'Autorità riterrà di "mascherare" con la cifratura. In questo modo avremo dati anonimi che potranno anche essere aggregati utilizzando le tecniche ben studiate dagli statistici per lasciare comunque le tracce necessarie per risalire al dato particolare. Fatto sta che solo con l'utilizzo della chiave che ha generato la pseudonimizzazione sarà possibile accedere, in tutto o in parte, alle informazioni personali.


I trattamenti, quindi, dovrebbero essere autorizzati per mezzo di una o più chiavi, a cui possono corrispondere diversi profili di autorizzazione, generate da un sistema centrale che funziona sul principio di una Public Key Infrastructure sulla scorta di quella che si è utilizzata in materia di firma digitale, pec e protocollo informatico. L'utilizzo di tali strumenti consentirebbe una regolamentazione degli accessi nel tempo e la loro revocazione, impedendo così che, all'esito dell'emergenza, i dati possano essere oggetto di ulteriori trattamenti o che nel corso dell'emergenza possano essere utilizzati per finalità diverse dai controlli e dai monitoraggi necessari alla prevenzione del contagio.


Siffatto sistema dovrebbe essere gestito centralmente dalle Autorità deputate alla gestione dell'emergenza, di concerto con altre istituzioni (es. l'ISS o Ministero della Salute di concerto con il Dipartimento delle Informazioni per la Sicurezza, AGid e Ministero per l'Innovazione) e prevedendo al contempo adeguati "contrappesi" (o correttivi) istituzionali che garantiscano la protezione da qualsivoglia derivazione autoritaria connessa all'utilizzo dei dati.


Il concetto è quello di avere un dominio delle chiavi di accesso al dato personale, ciò in quanto le informazioni pseudonimizzate saranno certamente "incrociate" con dati conservati in altre banche dati pubbliche o private (es. i big data di altre autorità pubbliche o quelli privati del mondo delle TLC o dei soliti noti, Amazon, Google, Facebook etc.etc.) con il rischio di contribuire a loro volta ad alimentare ulteriori Big Data presenti in rete.


Risulta cioè vitale tutelare l'informazione in sé che, seppur anonimizzata, non è detto che un domani, se incrociata con informazioni di diversa natura, possa comunque essere ricollegata ad una determinata persona.

Vetrina