Avv. Ciro Galiano – Studio legale “De Berardinis e Mozzi”
Molte sono le autorevoli firme di giuristi ed esperti che hanno discettato sugli aspetti e le implicazioni relativi alla volontà del Governo italiano di adottare il sistema di contact tracing per monitorare e contenere il contagio da SARS-CoV-2. È stata individuata dalla task force governativa, la app con l’evocativo nome “Immuni” progettata dalla giovane società con sede a Milano Bending Spoons. Molte sono state le prese di posizione del Governo e gli alert dell’Autorità del Garante della protezione dei dati personali.
L’app “Immuni” da molti è stata vista come paladina della sicurezza della salute, altri, invece, ritengono che l’uso massivo dell’applicazione possa determinare indebite ingerenze nella vita personale di ciascuno di noi. Il dibattito si è incentrato sul tema (inflazionato) della privacy, intesa come riservatezza o diritto di non ingerenza e tanto confondendo il diritto alla riservatezza con le garanzie previste dal Regolamento comunitario in materia di protezione dei dati personali (meglio noto come GDPR). Così facendo, si è invocato da tante parti una deroga alle norme della “privacy”/GDPR in nome dell’interesse superiore della salute pubblica.
Anche tra gli addetti ai lavori si leggono considerazioni su come oramai la collettività abbia abdicato alla propria privacy sbandierando in ogni dove i propri panni e censurano i rigoristi dell’applicazione delle norme poste a tutela di quella che considerano una scatola vuota.
Ma è davvero così? La questione è forse mal posta. A ben vedere sono proprio le norme previste dal GDPR che legittimerebbero il ricorso all’app in questione, come del resto è stato osservato già da molti (e ben più esperti) prima del sottoscritto.
La questione probabilmente sarebbe stata superata agilmente se ai fini dell’individuazione del progetto da scegliere fossero stati adottati gli strumenti che il nostro ordinamento mette a disposizione.
La riservatezza, o meglio, il diritto alla riservatezza, infatti, è cosa ben diversa dalle disposizioni contenute nel GDPR, ovvero le norme volte alla protezione dei dati personali.
Il Regolamento comunitario entrato in vigore in tutti gli stati dell’UE esattamente due anni fa, si propone la tutela dei dati personali, ma anche di favorirne la circolazione. Per tale ragione, il Regolamento indica gli strumenti per garantire la sicurezza della circolazione dei dati personali.
Il GDPR non tutela (o perlomeno non solo) la privacy (nel senso di tutela assoluta del diritto alla riservatezza, che non esiste in termini assoluti) ma indica le regole perché i dati personali di una persona fisica possano circolare legittimamente. Questo perché la circolazione illecita del dato personale può determinare la compressione o la lesione di alcuni diritti che il nostro ordinamento nazionale e comunitario riconosce come diritti fondamentali dell’uomo, quali il diritto alla libertà personale, all’integrità psicofisica, il diritto alla riservatezza della corrispondenza, il diritto di uguaglianza, di non discriminazione, diritto alla libertà di espressione o ancora il diritto a non subire per esempio un controllo indebito sull’attività lavorativa. Questi solo alcuni esempi.
Affinché tanto sia possibile, il GDPR indica una modalità per così dire “dinamica” volta a determinare i criteri di legittima circolazione dei dati personali (ovverosia quelle informazioni o parti di informazioni che sono direttamente o indirettamente riferibili ad un individuo persona fisica) che è modulata sulla base di due concetti cardine del Regolamento Europeo che sono finalità e base giuridica. Il soddisfacimento di tale binomio da parte del Titolare del trattamento è condizione necessaria, ma non sufficiente per la legittimità del trattamento. Bisogna, infatti, anche organizzarsi affinchè il trattamento venga eseguito attraverso processi che garantiscano la trasparenza, l’adeguata informazione verso l’interessato, la sicurezza del dato intesa come garanzia di integrità e disponibilità, avendo cura a prevederne anche la ragionevole durata del trattamento (data retention). Quanto fin qui detto riassume, per grandi linee, il concetto di liceità di trattamento.
Il GDPR è un regolamento e, pertanto, ci offre anche le indicazioni per soddisfare le condizioni richieste affinché il trattamento del dato da parte del titolare, una volta individuata la finalità lecita e la base giuridica che ne soddisfa la legittimità di trattamento, sia e rimanga lecito per tutto il periodo (che deve essere predeterminato) in cui il titolare del trattamento “tratti” il dato personale afferente all’interessato.
Sulla base di quanto premesso qualsiasi strumento di tracciamento, di per sé, potrebbe assolvere coerentemente tutti gli obblighi previsti dal GDPR. Il sistema di contac tracing può essere raggiunto con l’adozione di diverse tra le tecnologie disponibili, e, se ben strutturato, può non violare le norme sulla protezione del dato personale e garantire la legittimità del trattamento. Non vi è alcun motivo per invocare la deroga del regolamento comunitario. Infatti l’art. 9 del Regolamento UE n 2016/679 individua tra le basi giuridiche che legittimano il trattamento da parte del titolare la tutela della salute.
Il problema, quindi, non è la decisione di operare il tracciamento ma le modalità di scelta del software di tracciamento. La questione doveva incentrarsi sulle modalità di scelta che la “task force” avrebbe dovuto adottare per operare la scelta del progetto.
La scelta, poiché la valutazione del rischio non poteva che concludersi per la sussistenza di un rischio elevato per gli interessati, avrebbe dovuto richiedere che i progetti presentati venissero accompagnati, in uno con il progetto tecnico, da una valutazione di impatto, prevista obbligatoriamente ai sensi dell’art. 35 del reg. 679/2016/UE (la cosiddetta DPIA). Tale condizione, a mio avviso, era l’unica che avrebbe potuto garantire il soddisfacimento dell’oramai abusato concetto di “Privacy by design”.
Ma tanto non mi sembra che sia stato fatto. Per lo meno non risulta pubblicata nessuna valutazione di impatto preventiva successivamente la scelta operata dai ministeri competenti.
Se così è, la app nascerebbe, per così dire “zoppa”, sotto questo punto di vista, e la “task force” avrebbe operato la scelta senza aver valutato tale aspetto che risulta essere costitutivo per la legittimità dell’app.
Le conseguenze potrebbero anche rivelarsi aberranti.
Assistiamo ad un processo posto, apparentemente, non virtuoso. La task force ed i ministeri interessati avrebbero, pertanto, dovuto valutare i software e le apps presentate anche alla luce di una valutazione di impatto (DPIA) ai sensi dell’art. 35 GDPR che doveva essere parte integrante del progetto presentato. Dopodiché sussistendone le condizioni, la DPIA doveva essere necessariamente valutata ai sensi dell’art. 36 GDPR dall’Autorità Garante, che dovrebbe offrire, unitamente al nulla osta, anche eventuali consigli ed integrazioni sulle modalità di realizzazione del progetto. Tanto non risulta ancora fatto.
Questo aspetto è di rilievo in quanto viene meno quello che il principio determinante per soddisfare i requisiti di privacy by design. Nulla possiamo dire a riguardo se non che il progetto pare sia nato senza prevedere una DPIA preventiva (Data Protection Impact Assessment disciplinata dall’art. 35 del regolamento comunitario) e, pertanto, non ci resta che confidare sulle rassicurazioni del Governo circa il soddisfacimento dei requisiti a tutela del trattamento dei dati personali. Un po’ poco.
Si legge nel decreto che attiene l’adozione dell’app “Immuni” che è prevista una “consultazione” del Garante. Sul punto mi preme solo dire che per la fattispecie in esame vista il suo impatto, il Garante deve essere obbligatoriamente sentito ai sensi del citato art. 36 GDPR. La consultazione, non solo risulta obbligatoria, ma il nulla osta del Garante dovrà ritenersi vincolante. Ciò a dire che l’Autorità potrebbe inibirne l’applicazione.
Due ultime considerazioni che attengono alla volontarietà di installare e attivare l’applicazione delegata ai singoli cittadini.
Il Governo dichiara che l’installazione e l’attivazione sarà solo su base volontaria, questo per rispondere a chi temeva che l’applicazione trasformasse le istituzioni democratiche in uno stato di polizia. Ma la volontarietà, come è stato correttamente sostenuto, nei fatti potrebbe determinare il fallimento dell’applicazione stessa.
L’elemento della volontarietà dell’installazione e dell’attivazione dell’app è stato sbandierato come condizione qualificante di legittimità e di adeguatezza alla privacy. Ma è davvero così?
Sul piano giuridico la volontarietà va a braccetto con il consenso. Il consenso è una delle basi giuridiche individuate dall’art. 4 e 6 del GDPR, che legittimano il trattamento dei dati da parte del titolare. La scelta di individuare nel consenso la base giuridica dell’APP appare opinabile. Il Governo italiano ben poteva individuare ed imporre una base giuridica autonoma diversa dal consenso (Sicurezza pubblica? Salute pubblica? Sanità?) idonea a legittimare il trattamento dei dati e l’introduzione della app. Il mancato consenso da parte del cittadino all’uso della app determina evidentemente, infatti, l’impossibilità di trattamento, in quanto il trattamento sarebbe illegittimo per scelta del Governo che si auto limita, pur avendo più di un argomento per individuare una base giuridica differente (basterebbe leggere l’art. 23 del GDPR per fare “shopping” di basi giuridiche estranee al consenso).
Agganciare il trattamento dei dati al consenso comporta, ad esempio, che questo possa essere revocato. La revoca ha come conseguenza che il titolare non possa più trattare i dati che era autorizzato a trattare fino a quella data. Sarebbe interessante sapere in che misura la revoca in parola impatterebbe con il modello costruito dal software e se è stato contemplata nella programmazione tale evenienza. Tutto ciò introduce un ulteriore elemento di fallibilità dello strumento. Circostanza che si aggiunge a quelli già evidenziati dell’elevata percentuale di falsi negativi/positivi che il sistema porterebbe in sè. Ma qui si va sotto gli aspetti tecnici.
Affinché il sistema di tracciamento funzioni gli esperti del Governo nella solita girandola al ribasso di numeri hanno indicato prima il 70% degli italiani (a fronte del 66% di italiani dotati di smartphone in grado di accogliere l’APP), poi si è parlato del 60%. Tali dati ci devono fare riflettere. Se l’App venisse installata da meno del 60% degli italiani risulterebbe inutile ovvero non sarebbe in grado di perseguire le finalità per la quale è stata creata.
Se la base giuridica concorrente (e determinante) pare sia l’attivazione su base volontaria, ovverosia il consenso, appare evidente che astrattamente l’App nasce inidonea a raggiungere le finalità che intende perseguire. Ma a fronte dell’evidente inidoneità al perseguimento delle finalità vi sarebbe comunque che tramite l’app verrebbero trattati dati rilevanti che investono la libertà di circolazione, il diritto alla salute, ed altri diritti fondamentali dell’individuo.
I principi di privacy by design impongono necessariamente che ai sensi dell’art. 35 GDPR venga verificata attraverso la valutazione di impatto che: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.[…]”. Il trattamento deve essere giustificato da una finalità di per sé lecita e concretamente perseguibile. Ora se la base giuridica (il consenso) non consente preventivamente di garantire il raggiungimento dell’economia di scala della copertura del 60% della popolazione, alfine di garantire il perseguimento della finalità, tanto comporta che la valutazione dei rischi, se fatta preventivamente, avrebbe dovuto condurre alla conclusione che il trattamento dell’app “ Immuni” si paleserebbe come inutile e, pertanto, illegittimo perché comporta un rischio elevato per i diritti e le libertà delle persone senza poter garantire il soddisfacimento delle finalità che astrattamente si dichiara volere perseguire di contenere il rischio di diffusione della pandemia.
L’esito della valutazione di impatto avrebbe comportato come unica conseguenza l’abbandono dell’app ovvero l’individuazione di nuovi presupposti. L’app così come composta, anche qualora fosse stata progettata dal punto di vista tecnico sotto i più stringenti protocolli di sicurezza per garantire l’adeguatezza, la riservatezza, la non corruttibilità dei dati acquisiti, a tutto voler concedere non servirebbe a nulla.
Pertanto, alla luce di queste considerazioni appare evidente come il problema non sia derogare o meno alle norme sulla privacy, quanto piuttosto assumere decisioni consapevoli applicando correttamente le norme del nostro ordinamento. Così facendo sarebbe stato sufficiente individuare come finalità il contenimento della pandemia e la base giuridica la necessità di osservare obblighi di sicurezza sociale e per trattamenti sanitari ai sensi dell’art. 9 del GDPR prevedendo, magari la limitazione momentanea con legge ai sensi dell’art. 23 del GDPR. Non ci sarebbe stato bisogno di ancorare al consenso la app.
A fronte di ciò appare evidente che la app avrebbe dovuto soddisfare tutti i requisiti di trasparenza, e integrità e sicurezza del dato e soprattutto garanzia di distruzione definitiva dopo un certo tempo. Risulta, invero, che poi difficilmente si sarebbe potuto imporre autoritariamente l’installazione e la sua attivazione e questo avrebbe posto nuovi e non pochi problemi in merito all’effettività. E qui ritorna la domanda presupposta a tutto questo ragionamento: Cui prodest? A chi giova tale applicazione se non riesce a perseguire le finalità che ci si è preposti? Risulta effettivamente determinante tale app? Ai posteri l’ardua risposta.
ISCRIVITI ALLA NEWSLETTER DI SANITÀ INFORMAZIONE PER RIMANERE SEMPRE AGGIORNATO