Commenti

Il Contact tracing all'italiana, sfide e possibilità

di Alessandro Curioni

Immagine non disponibile

(AdobeStock)

17 aprile 2020

3' di lettura

A quanto pare anche in Italia finiremo per fare ricorso al contact tracing, e si accende la polemica. La possibilità di tracciare tramite app o anche semplicemente per mezzo della rete di telefonica mobile gli spostamenti di ogni singolo cittadino mette all'angolo la privacy, ma sembra che molti non abbiano ben presente quale sia la situazione normativa attuale. Iniziamo col precisare che il Regolamento Europeo in materia di Protezione dei Dati non è propriamente la norma a cui fare riferimento.

Nel contesto appare decisamente più adatto ricorrere al Decreto Legislativo 18 maggio 2018, n. 51, in attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016 in materia di trattamento dei dati effettuati dalle autorità competenti. All'Articolo 2 del decreto si stabilisce che esso si applica ai trattamenti svolti “a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica”. Proprio questo ultimo riferimento ad un bene di rilievo costituzionale come la sicurezza pubblica, che comprende senza dubbio l'integrità fisica e più in generale l'incolumità dei cittadini, può fare ritenere che la fonte primaria applicabile alla situazione attuale sia proprio questa norma. Da questo presupposto discende una fondamentale conseguenza. Esso offre la base giuridica per effettuare i trattamenti necessari a perseguire la finalità di tutela della sicurezza pubblica e non a caso, per esempio, nel testo di legge non viene fatta menzione della necessità di raccogliere il consenso. Detto questo, però, il resto del decreto ricalca molte delle previsioni del Regolamento Europeo e in diversi casi lo richiama.

Restano infatti sostanzialmente invariati i diritti degli interessati sia in merito all'accesso a dati sia relativamente all'obbligo per il titolare di fornire un'opportuna informativa. Allo stesso modo restano tutti gli obblighi di sicurezza e quelli relativi alla minimizzazione del trattamento e alla conservazione dei dati solo per il tempo strettamente necessario. Resta anche l'obbligo alla valutazione d'impatto sulla protezione dei dati, ovvero quella attività che deve essere svolta dal titolare qualora il trattamento “per l'uso di nuove tecnologie e per la sua natura, per l'ambito di applicazione, per il contesto e per le finalità, presenta un rischio elevato per i diritti e le libertà delle persone fisiche”. Questa fattispecie sembra applicabile con una certa evidenza al contact tracing di decine di milioni di italiani, quindi dovrebbe scattare il vincolo della consultazione preventiva del Garante, stabilito all'articolo 24. L'autorità non a caso si è portata avanti e ha dato a mezzo stampa indicazioni positive sulla fattibilità, ma ha fornito anche un'indicazione di massima richiedendo un apposito decreto legge, oltre a calcare la mano sulla temporaneità di questo tipo di misure.

Così, se il Regolamento Europeo garantisce la protezione dei dati dopo che un cittadino ha volontariamente rinunciato alla sua privacy, di solito in cambio di qualche servizio della società dell'informazione, il Decreto Legislativo 51/2018 assicura un'analoga protezione quando le persone devono rinunciare alla privacy per cause di forza maggiore. Se fino a questo punto la situazione giuridica che si presenta è abbastanza chiara, il problema per nulla piccolo comparirà da un lato nel momento dell'applicazione e in seguito quando si dovrà “tornare alla normalità”. Il primo punto riguarda le piattaforme tecnologiche utilizzate per la gestione del contact tracing che almeno al livello infrastrutturale saranno di operatori privati e forse neppure nazionali. Rispetto ad esse sarà necessaria una segregazione dei dati particolarmente rigorosa. Quando, poi, cesserà lo stato di necessità si porrà il problema di come cancellare la grande massa di informazioni che probabilmente non esisterà in una singola copia e neppure in un unico luogo. Parlo di cancellazione in senso assoluto perché le intelligenze artificiali deboli utilizzate per l'elaborazione dei Big Data hanno già dimostrato che l'anonimizzazione non è un processo assoluto come molti credono. Detto ciò, alcune note a margine.

Se non voglio scaricare l'applicazione di contact tracing non sarò tracciato, se voglio ingannare il sistema lascio a casa il dispositivo, la fascia di età più critica è quella over 65 che potrebbe non essere in grado di utilizzare la app o non avere proprio un smart phone. A questo punto qualcuno potrebbe domandarsi: quale dovrebbe essere il tema del dibattito?

(Presidente DI.GI. Academy Srl)