L'INTERVENTO

Data tracing, no a deleghe in bianco all’algoritmo

Per poter trovare risposte efficaci, ma anche graduate e proporzionali all’emergenza, la bussola non può che essere il quadro costituzionale ed europeo di riferimento. L’analisi di Oreste Pollicino e Federica Resta

24 Mar 2020

Oreste Pollicino

Federica Resta

L’emergenza sanitaria di questi giorni ha imposto e imporrà, verosimilmente ancora, sensibili restrizioni dei diritti individuali. È comprensibile e persino doveroso, anche per realizzare – lo ha ben ricordato il Garante della Privacy Antonello Soro – quell’istanza solidaristica che caratterizza il diritto alla salute, parallelamente alla sua componente individuale di diritto fondamentale della persona. Purché, naturalmente, le limitazioni previste siano necessarie, adeguate, proporzionali all’esigenza di prevenzione, temporalmente limitate al contesto emergenziale e, come prescrive l’art. 52 della Carta di Nizza, non pregiudichino il contenuto essenziale del diritto.

Il complesso sistema di decretazione d’urgenza e ordinanze (di Protezione civile e non) è, sinora, intervenuto in senso limitativo prevalentemente sulle libertà fondamentali maggiormente incise dall’esigenza di distanziamento sociale (libertà personale, di riunione, di circolazione, d’iniziativa economica, religiosa, diritto allo studio e al lavoro).

Gli interventi sul diritto alla protezione dati si sono, sinora, limitati alle previsioni del d.l. 14/2020 e a quelle, precedenti, contenute nelle primissime ordinanze di Protezione civile successive alla dichiarazione dello stato di emergenza, sottoposte peraltro al vaglio del Garante. Si è trattato, in estrema sintesi, di alcune deroghe al regime ordinario di gestione dei dati personali, con prevalente riferimento all’ambito di comunicazione dei dati sanitari, per ovvie esigenze di contenimento epidemiologico e all’informativa semplificata, senza tuttavia legittimare raccolte di dati particolarmente “innovative”.

La legittimità di tali deroghe si fonda essenzialmente sulle limitazioni possibili dei diritti degli interessati sancite dall’art. 23 Gdpr, per esigenze tra l’altro di sanità pubblica. L’art. 15 della direttiva e-privacy potrebbe contribuire a fornire maggiore spazio di manovra in situazioni di emergenza nazionale nei limiti di “misura necessaria, opportuna e proporzionata all’interno di una società democratica”.

Tra l’altro, proprio perché le regole a protezione dei diritti fondamentali si scrivono in tempi di fisiologia del sistema per essere poi rilevanti nei tempi bui, nella sua ultima relazione annuale (quella per il 2019)  l’European Data Protection Supevisor proponeva un vero e proprio kit relativamente alla valutazione della proporzionalità della misura, identificando quattro  fasi: descrizione della misura proposta; identificazione dei diritti e delle libertà individuali in gioco; definizione della finalità della misura pianificata; scelta dell’opzione efficace e meno impattante. Esigenze che, (al pari del “soccorso di necessità” ) rappresentano peraltro autonomi presupposti di liceità del trattamento di dati, tanto comuni quanto particolari.

Se, dunque, le esigenze di contrasto epidemiologico ben possono legittimare trattamenti di dati comuni e particolari, la legittimità complessiva di questi ultimi dipende da ulteriori fattori quali, in primo luogo, la loro necessità, proporzionalità, adeguatezza, nonché la loro idoneità a salvaguardare il contenuto essenziale del diritto, come anticipato, ex art. 52 Cdfue.

La proposta, con varie modalità avanzate, del contact tracing per meglio analizzare l’andamento epidemiologico o, addirittura, per ricostruire la catena dei contagi, va analizzata entro questa cornice, in tutta la sua complessità.  Di fronte all’eterogeneità delle opzioni possibili, va anzitutto seguito un criterio di gradualità, valutando – come  ricordano l’Edpb e il Presidente del Garante italiano – se le misure meno invasive possano essere sufficienti a fini di prevenzione.

L’acquisizione di dati effettivamente anonimi sugli spostamenti delle persone ben può fondarsi, in tal senso, sull’art. 9 della stessa direttiva e-privacy (applicabile in ragione della tipologia di dati in esame), che legittima l’acquisizione, anche in assenza del consenso dell’interessato, dei dati di ubicazione, purché appunto anonimi (cfr. anche art. 126 Codice).

All’estremo opposto di questo ideale ventaglio di proposte si colloca, invece, la raccolta dei dati identificativi degli spostamenti dell’intera popolazione, da ritenersi verosimilmente sproporzionata non tanto e non solo perché totale, assoluta e generalizzata, ma anche perché – come ha sottolineato efficacemente il presidente Soro- non esiste un obbligo di quarantena inderogabile per ciascuno. Esiste il ben diverso obbligo di distanziamento sociale.

Tra questi due estremi (i dati anonimi di mobilità e la mappatura generalizzata degli spostamenti di ciascuno) vi è, però, un’ampia gamma di ipotesi da valutare, senza precomprensioni ideologiche ma anche senza aprioristico fideismo in presunte capacità salvifiche della tecnica.

Una simile valutazione deve fondarsi su di un’attenta prognosi dell’effettiva idoneità della misura a conseguire risultati utili nell’azione di contrasto, in misura proporzionale alle esigenze perseguite e sempre che, appunto, misure meno invasive non debbano ritenersi idonee allo scopo.

Certo vi è che, ove debbano acquisirsi dati identificativi (o comunque laddove si ritenga che i dati raccolti non possano escludere la re identificazione) il presupposto di liceità generale dell’interesse pubblico rilevante andrebbe declinato in una previsione normativa adeguata, corredata di garanzie per gli interessati che, nel nostro ordinamento, potrebbero essere peraltro dettagliate nel provvedimento ex art. 2-septies del Codice.

Andrebbe allora, in primo luogo, verificato se ai fini del trattamento sia necessaria una norma legislativa (pur con misure di dettaglio da devolvere a fonti subordinate) o possa essere invece sufficiente l’ordinanza di Protezione civile, che come si è detto ha disposto, pur in via temporanea e con il successivo “avallo” legislativo, incisive limitazioni di libertà fondamentali.

Il Gdpr si limita sul punto a richiedere una previsione nell’ambito del “diritto” europeo o nazionale: locuzione che tuttavia va letta – come ricorda il C 41 – alla luce del criterio sostanzialistico adottato dalle Corti Edu e di Giustizia (anche in riferimento alla locuzione analoga di cui all’art. 52 Cdfue). In tal senso, non è richiesta esclusivamente una previsione legislativa, purchè sia “chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte”.

Seguendo tale criterio sostanzialistico – e superando anche, in questa prospettiva, la riserva, pur relativa, di legge dell’art. 2-ter del Codice per i generici trattamenti per fini di pubblico interesse- si potrebbe, allora, forse ritenere presupposto normativo sufficiente l’ordinanza di Protezione civile, confermata o meno da decreto-legge, purché (allo stesso modo, del resto, della legge) recante previsioni conformi ai principi di necessità, proporzionalità, ragionevolezza, efficacia temporalmente limitata della restrizione?

I due aspetti sono, probabilmente, interdipendenti, nel senso che si può forse ammettere la sufficienza dell’ordinanza per legittimare trattamenti affatto invasivi e/o innovativi, come si è ammesso per l’ordinanza del 3 febbraio, mentre invece per raccolte di dati più invasive e/o innovative, che incidano sulle stesse dinamiche sociali (e, verrebbe da dire, sulla cultura delle libertà), si dovrebbe ritenere necessaria una previsione normativa, quale quella legislativa, che presupponga il coinvolgimento, sia pur in fase successiva come per i decreti-legge, dell’organo parlamentare (con la relativa pubblicità del dibattito, garanzie di partecipazione per le minoranze ecc.).

Se, quindi, ben può ritenersi (come si è ritenuta) la mera ordinanza di Protezione civile sufficiente a legittimare l’estensione dell’ambito di circolazione di dati, pur sanitari (prevalentemente sullo stato di positività al covid) ma acquisiti secondo metodi ordinari e destinati al personale sanitario o di protezione civile, in base a un’evidente necessità e non sostituibilità del trattamento con altri meno invasivi, diversa potrebbe essere la valutazione rispetto al contact tracing.

La geolocalizzazione dei soggetti contagiati, in quanto misura indubbiamente invasiva dovrebbe essere, infatti, sancita con norma di rango legislativo (sia pur con decretazione d’urgenza), con misure adeguate termini di minimizzazione, conservazione per il solo tempo necessario, utilizzazione per fini determinati e da parte dei soli soggetti legittimati, adeguata informativa, garanzie anche giurisdizionali idonee in caso di violazione (aspetto sottolineato dall’Edpb, benché sul punto la tutela rimediale sancita dall’art. 82 Gdpr, con il relativo favor probatorio per il danneggiato, possa già ritenersi, forse, sufficiente).

Vero è che tali dati, in quanto non “comunicativi” in senso stretto, non sono coperti dalla riserva (non solo di giurisdizione, ma anche) assoluta di legge di cui all’art. 15 Cost., che pur si è riconosciuta – con tutte le modulazioni del caso – ai dati esteriori delle comunicazioni, quali sono i tabulati telefonici . Ma è indubbio che l’utilizzo, sia pur temporaneo, di una tecnologia così invasiva, nei confronti dei contagiati, ha un impatto non trascurabile sul complessivo assetto delle libertà, tale da indurre a preferire la norma legislativa.

In quanto valutazione relazionale, quella della necessità e proporzionalità della misura implica necessariamente la definizione del fine perseguito. Si tratta di un aspetto importante: molteplici ed eterogenee essendo le finalità perseguibili con il contact tracing, una  definizione poco chiara e una valutazione poco selettiva delle stesse rischia di risolversi in una delega in bianco all’algoritmo e agli stessi titolari del trattamento (a fortiori ove in tale flusso di dati siano coinvolte le piattaforme). In tal senso, la geolocalizzazione dei soggetti sottoposti a permanenza domiciliare, quale strumento di controllo del rispetto degli obblighi potrebbe ritenersi non proporzionata, a tal fine dovendo ritenersi sufficiente la comminatoria della sanzione penale. Diversa potrebbe essere la valutazione relativa all’utilizzo dei dati sulla mobilità dei soggetti contagiati, al fine di trarne indicazioni utili a ricostruire la catena epidemiologica, che oltretutto avrebbe un fine non già repressivo ma solidaristico, individuabile cioè nell’esigenza di sottoporre ad accertamenti quanti siano entrati potenzialmente in contatto con l’interessato o comunque di adottare le misure utili a prevenire il contagio.

Naturalmente, come ricordato dal Presidente del Garante, è fondamentale l’efficacia temporalmente limitata della misura, da revocare non appena terminata l’emergenza o comunque ove la prassi ne dimostri la scarsa utilità (in tal senso, sarebbero opportuni controlli periodici).  In altre parole il quadro che si è delineato fa emergere come per poter trovare delle risposte efficaci, ma anche graduate e proporzionali all’emergenza, la bussola non può che essere il quadro costituzionale ed europeo di riferimento che non sono in nessun modo comparabili all’humus normativo che ha costituito la base per quelle esperienze che oggi vengono assunti come modelli, a cominciare da esperienza coreana. E questo non perché la Corea del Sud non sia un ordinamento democratico, ma perché l’ordinamento europeo ha una tradizione costituzionale relativa alla protezione del diritto alla privacy che non ha eguali nel mondo.

Questo deve essere il nostro punto di partenza. Il punto di arrivo invece al momento è ignoto, sappiamo però che un sistema di sorveglianza massivo che non tenga conto delle indicazioni che provengono dal quadro costituzionale di riferimento sarebbe semplicemente in contrasto con la Costituzione. E non si fa soltanto riferimento alla riserva di legge, ma anche a quella di giurisdizione, i due capisaldi del costituzionalismo contemporaneo su cui si fonda la protezione dei diritti inviolabili. L’autorizzazione appena concessa dell’Anac per l’utilizzo dei controlli sui droni sembra, per esempio, poter cozzare con tali capisaldi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5