Nell’attuale situazione di emergenza sanitaria da Covid-19 si sta dibattendo molto sul tema “data protection”. In ragione del rischio di diffusione del coronavirus, la raccolta e il trattamento dei dati personali, tramite lo sviluppo di specifiche app “contact tracing”, si rendono necessari per ragioni di accertamento e prevenzione. Ma come conciliare, a livello di Unione Europea, la nuova frontiera tecnologica con la tutela del diritto alla privacy degli individui?
Le modalità di contenimento e la protezione del diritto alla privacy
Le modalità di contenimento adottate in alcuni paesi (Cina e Corea del Sud, ma anche Israele) hanno suscitato ammirazione e allarme. Sebbene tali paesi abbiano dato una prova di efficienza senza precedenti nella lotta alla pandemia, la loro modalità di contrasto al “nemico invisibile” ha portato ad un’ulteriore stretta dei diritti individuali. E così, l’affascinante e terrificante utilizzo da parte della Cina di big data, IoT (Internet of Things), app e social scoring per il controllo sociale ha indignato legislatori occidentali e comitati di esperti in materia di protezione dei dati. Allo stesso tempo, la forza dirompente del Covid-19 sembra aver costretto molti ad auspicare l’adozione di misure analoghe.
A livello di Unione Europea, poco dopo lo scoppio dell’emergenza sanitaria, si è cominciato a pensare all’utilizzo di app, social network e dati riguardanti il traffico dei veicoli, adattando il modello orientale a regole e principi propri delle società democratiche.
Ma si può parlare, allo stato attuale, di una sospensione dei meccanismi di protezione dei diritto alla privacy? Le autorità nazionali e sovranazionali hanno cercato di delineare un ambito ben definito, all’interno del quale organizzazioni pubbliche e private possono muoversi anche in deroga alle regole generali in materia di protezione dei dati e privacy. Tuttavia, i garanti per la protezione dei dati personali dei vari Stati membri hanno adottato posizioni discordanti. Mentre i garanti italiano, francese e lussemburghese hanno assunto un atteggiamento più rigido, paesi come Norvegia, Danimarca, UK e Irlanda hanno preferito soluzioni più pragmatiche. Per questo motivo è risultato necessario l’intervento dell’EDPB, il Comitato europeo per la protezione dei dati, al fine di coordinare le risposte e lo sviluppo delle app di tracing da parte dei paesi dell’UE.
Il Presidente del Comitato, Andrea Jelinek, aveva già ribadito, alla metà del mese di marzo, due concetti fondamentali. Innanzitutto, il GDPR è stato concepito come una normativa flessibile che in contesti di emergenza prevede regole eccezionali da applicare ai trattamenti dei dati personali. Nello specifico, il regolamento europeo individua con chiarezza le basi giuridiche per consentire ai datori di lavoro e alle autorità competenti, soprattutto quelle sanitarie, di trattare i dati personali nel contesto di epidemie, anche senza il consenso dell’interessato, allo scopo di tutelare un interesse pubblico o vitale (ex artt. 6 e 9 par. 2 e par. 3 GDPR). Inoltre, le misure eccezionali e le deroghe previste dalla normativa devono sempre e comunque essere armonizzate con i principi generali della normativa privacy.
Covid-19 e privacy: i cinque principi chiave
Ad aprile l’EDPB ha pubblicato le linee guida sulle app per la lotta al Covid-19, un documento che fa parte di un “pacchetto” comune proposto dal commissario europeo per il mercato interno, Thierry Breton, e da quello per la Giustizia, Didier Reynders. L’obiettivo è l’adozione di un approccio europeo sulla base di principi comuni da applicare alle varie app sviluppate a livello nazionale. Cinque sono i principi chiave che i governi dovranno rispettare. Innanzitutto il principio di volontarietà, per cui le app di contact tracing non dovranno essere installate coercitivamente: poi, l’affidamento alle sole autorità sanitarie della responsabilità di identificare ciò che costituisce un “evento” da condividere, ossia un effettivo contatto avvenuto con un soggetto positivo o potenzialmente tale; l’archiviazione dei dati all’interno dei dispositivi degli utenti stessi; la garanzia di anonimato delle persone, per evitare che le app diventino motivo di stigma sociale; infine, la gestione delle informazioni dei pazienti da personale qualificato che, una volta superata la crisi, avrà cura di smantellare l’intero sistema. Il comitato ha espresso parere unanime sull’utilizzo del Bluetooth, considerato la tecnologia più efficace in quanto, nel totale rispetto della privacy, coglierebbe solamente il momento di avvicinamento tra due cellulari, incontro che potrebbe, verosimilmente, far risalire alla catena dei contagi.
La Commissione europea ha dato il suo consenso alle linee guida, formulando le proprie raccomandazioni. Ferme restando le deroghe al GDPR in caso di emergenza sanitaria, il corpo esecutivo dell’UE, nel suo “Recommendation paper on privacy and data protection for COVID–19 mobile warning and prevention applications”, ha proposto lo sviluppo e l’adozione di strumenti condivisi sotto la governance delle autorità sanitarie nazionali in stretto coordinamento con il Centro europeo per la prevenzione e il controllo delle malattie. I dati raccolti, trasmessi al Centro comune di ricerca dell’UE (JRC), contribuiranno allo sviluppo di comuni modelli di analisi previsionale, allo scopo di migliorare le valutazioni sull’efficacia delle misure di contenimento e, soprattutto, sulla futura evoluzione del rischio di contaminazione. .
Per quanto le emergenze possano essere motore di modernizzazione di paesi che, come l’Italia, peccano di una bassa cultura digitale, all’interno di un mercato digitale unico è necessario un impegno coordinato dei paesi membri. È essenziale che gli sforzi dei singoli Stati vengano allineati e resi interoperabili attraverso le frontiere nazionali, e che uno sforzo comune vada nella direzione della costruzione di infrastrutture sicure in grado di difendere e organizzare i dati acquisiti. Il Covid-19 non rispetta i confini nazionali e, sebbene l’uso delle tecnologie sia solo una parte di un sistema integrato del quale i protagonisti saranno inevitabilmente aspetti non tecnologici, anche la regolamentazione in materia dovrà prescindere dai confini nazionali.