L’Italia oggi è costretta ad affrontare, forse per la prima volta nella sua storia repubblicana, un dilemma: quale compromesso è accettabile nel bilanciamento tra interessi di salute pubblica e diritti fondamentali collegati alla privacy?
Scelte più forti e radicali in tal senso sono forse ancora da venire, crescendo la pressione di diversi esperti tecnologici e alcuni politici (della Lega in primis) verso soluzioni di tracciamento cittadini stile Corea del Sud.
Già sappiamo che la gestione dell’emergenza da Covid-19, che ha spinto il Governo a approntare un quadro regolatorio emergenziale stringente mai riscontrato prima. La portata, così come il rigore delle misure attuate per il contenimento e il contrasto del diffondersi del virus, estese sull’intero territorio nazionale, sono mosse da un unico intento: tutelare il diritto fondamentale di ognuno alla salute pubblica.
Proviamo però a capire la portata di tali mutati scenari e le conseguenze che gli stessi potrebbero avere anche dal punto di vista specifico della protezione dei dati personali. Diritto fondamentale di ogni individuo.
Se, infatti, l’elevata capacità di analisi predittiva e in tempo reale consentita dalle più recenti tecnologie rappresenta una risorsa preziosa e strategica specie in situazioni di emergenza, gli impatti, anche di lungo periodo per i diritti e le libertà degli individui non possono essere sottovalutati.
I diritti fondamentali ai tempi del coronavirus
Partiamo dall’assunto che la comprensione della trasmissione del nuovo coronavirus (2019-nCoV) è per ora la chiave del suo contenimento e della sua futura prevenzione. Se, infatti, la ricerca sul possibile vaccino prosegue intensamente, ad oggi non esiste alcuna specifica terapia per il trattamento del 2019-nCoV.
Una situazione che, richiama quanto già accaduto in Cina con la SARS nel 2002-2003, e nell’Africa occidentale con l’epidemia del virus Ebola nel 2014-2015. Almeno otto protocolli speciali furono messi in atto in quelle circostanze emergenziali per mettere in quarantena qualsiasi persona infetta e identificare i contatti dei pazienti a rischio. Anche allora non esistevano trattamenti antivirali specifici per SARS o Ebola e questo è ciò che rende quelle situazioni simili a quanto i sistemi sanitari di tutto il mondo stanno affrontando oggi con 2019-nCoV.
Gli attuali sforzi delle nostre Istituzioni si concentrano pertanto sull’isolamento volontario degli individui e sulla quarantena degli infetti, come anche sulle misure straordinarie previste dai provvedimenti d’urgenza e incidenti in tutti gli ambiti dal settore sanitario a quello produttivo e sociale.
Il perseguimento di questo altissimo compito, urgente e necessario, coinvolge profondamente la sfera della protezione dei dati personali prevedendo che numerosi soggetti non soltanto governativi possano raccogliere e analizzare, se a ciò autorizzati da provvedimenti formali, informazioni personali su un gran numero di persone, compresi i dati relativi alla salute e altri dati particolari ex art 9 GDPR, paragrafo 2, lettere g), h) e i), dati giudiziari ex art 10 GDPR, dati relativi agli spostamento e alle relazioni personali.
I diritti fondamentali non sono infatti assoluti; non lo è neppure il diritto alla protezione dei dati che, come gli altri, rientra nell’alveo dell’art 52, paragrafo 1 e 3 della Carta UE. Tale disposizione prevede che possa essere attribuita una specifica preminenza, ricorrendone determinati presupposti tra cui senz’altro le situazioni emergenziali in ambito sanitario, agli obiettivi di interesse generale, sanciti nell’articolo 3 del Trattato sull’Unione europea (TUE). Nel caso specifico, all’interesse alla protezione della salute pubblica, contenuto nell’articolo 35 della Carta dei diritti fondamentali dell’Unione Europea, se questo fosse risultato prevalente a seguito del bilanciamento con gli altri diritti incidenti tra i quali: il rispetto della vita privata e della vita familiare (art.7 Carta) e la protezione dei dati di carattere personale (art.8 Carta).
Di seguito un quadro delle misure urgenti introdotte, incidenti sui trattamenti dei dati personali.
La dichiarazione dello stato di emergenza in Italia
Il 31 gennaio 2020 il giorno dopo la dichiarazione dell’OMS, il Governo italiano ha sancito lo stato di emergenza della durata di 6 mesi (vale a dire fino al 31 luglio 2020, salve possibili estensioni) e messo in atto le prime misure di contenimento del contagio diversificandole in un primo momento sull’intero territorio nazionale. Al Capo del Dipartimento della Protezione Civile, Angelo Borrelli, è stato affidato il coordinamento di tutti gli interventi nazionali necessari a fronteggiare la conseguente emergenza, compresi i provvedimenti d’urgenza.
L’ordinanza della protezione civile 630 del 3 febbraio 2020.
“Primi interventi urgenti di protezione civile in relazione all’emergenza relativa al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili”.
Un compito al quale Borrelli ha dato esecuzione il 3 febbraio scorso, dopo aver ricevuto parere favorevole del Garante per la protezione dei dati personali, firmando l’Ordinanza n. 630 emessa ai sensi degli art.li 7 e 25 comma 1, d.lgs 1/2018, che disciplina i primi interventi urgenti relativi “al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili” in continuità con le misure urgenti peraltro già adottate dal Ministero della salute.
L’Articolo 5 (Trattamento dati personali) dell’Ordinanza prevede una prima estensione del potere di effettuare attività di trattamento dei dati personali stabilendo come, nell’attuale circostanza emergenziale “i soggetti operanti nel Servizio nazionale di protezione civile di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, nonché quelli individuati ai sensi dell’art. 1 della presente ordinanza, dunque dalle Forze dell’Ordine ai Comuni, compresi i soggetti privati autorizzati privati, che agiscono sulla base di specifiche direttive potessero realizzare trattamenti ivi compresa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del Regolamento del Parlamento europeo 27 aprile 2016, n. 2016/679/UE, necessari per l’espletamento della funzione di protezione civile al ricorrere dei casi di cui agli articoli 23, comma 1 e 24, comma 1, del decreto legislativo 2 gennaio 2018, n. 1, fino al 30 luglio 2020. Al numero 2 specificava ulteriormente che come la comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento del Parlamento europeo 27 aprile 2016, n. 2016/679/UE fosse effettuata, nei casi in cui risultasse indispensabile, ai fini dello svolgimento delle attività di cui alla presente ordinanza”.
All’aeroporto di Roma Fiumicino vennero attivati corridoi sanitari e scanner termici su tutti i passeggeri in arrivo.
Smart working
Da lì in avanti, si sono succeduti il decreto-legge n. 6 del 23 febbraio 2020 convertito con modificazioni, dalla legge 5 marzo 2020, n. 13, i DPCM del 1 marzo 2020 e 8 marzo 2020, che hanno previsto per l’intero territorio nazionale anche la possibilità per i datori di lavoro e per tutta la durata dello stato di emergenza di ricorrere immediatamente allo smart working pur in assenza di accordo individuale con il lavoratore; il decreto-legge n. 9 del 02 marzo 2020 e il recente DPCM 11 marzo 2020.
Tutti provvedimenti che pur con le dovute differenziazioni e al ricorrere di determinate circostanze, aprono alla possibilità per i soggetti titolari del trattamento di attuare specifiche limitazioni degli obblighi e dei diritti in materia di dati personali, nel quadro dei relativi atti formali legittimanti e rientranti nell’alveo dell’art 23 GDPR.
Ciò, in ambito lavorativo, smart working in particolare, non ha purtroppo mancato di manifestare la messa in pratica di forme di raccolta dei dati troppo spesso improvvisate e “fai-da te” da parte di datori di lavoro altrettanto inconsapevoli. Dagli improbabili questionari anamnestici da compilare alla reception delle sedi aziendali, alle forme di smart working non-concordato sottoposto però a pervasivi e non legittimi controlli datoriali, la confusa interpretazione delle misure annunciate era evidente quanto pericolosa.
Le misure preventive e di contrasto anche emergenziali devono, infatti, sempre attuarsi entro i limiti stabiliti dalla normativa in materia di protezione dei dati personali e, in ambito lavoro, delle norme dello Statuto dei lavoratori.
Il Garante Privacy, pertanto, in data 2 marzo 2020, spinto dalla vasta portata degli interventi suddetti, anche al fine di orientare il corretto agire dei titolari del trattamento, ha emesso un apposito comunicato stampa relativo alla raccolta di informazioni relative alla presenza di sintomi da Coronavirus e agli ultimi spostamenti di visitatori, utenti e dipendenti.
“Le attività di prevenzione dalla diffusione del Coronavirus devono rimanere in capo agli organi istituzionalmente deputati a garantire il rispetto delle regole di sanità pubblica, tra cui gli operatori sanitari e il sistema attivato dalla protezione civile.” Così si è espresso il Garante, ribadendo anche che qualsiasi misura di contenimento dovrà essere improntata al rispetto del principio di minimizzazione del trattamento, raccogliendo i soli dati ritenuti indispensabili per consentire l’operatività delle misure prescelte.
Il 14 marzo è stato sottoscritto anche il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” che chiarisce tra le altre cose anche il perimetro di legittimità e le modalità dei trattamenti di dati personali e dei controlli datoriali di “sicurezza anti-contagio”.
E, dunque, per ogni titolare del trattamento dei dati diviene fondamentale comprendere come gestire al meglio il delicato rapporto tra svolgimento delle prestazioni di lavoro, compreso il lavoro agile, controlli e rispetto delle normative.
In particolare, dall’esame del contesto regolatorio emergenziale si può desumere che:
- ogni azienda, attraverso le modalità più idonee ed efficaci, dovrà informare tutti i lavoratori e chiunque entri in azienda circa le disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso e nei luoghi maggiormente visibili dei locali aziendali, appositi dépliant informativi. Il Protocollo indica anche i contenuti indispensabili degli avvisi. Dall’obbligo di rimanere al proprio domicilio in presenza di febbre (oltre 37.5°), all’l’impegno ad informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere a distanza adeguata dalle persone presenti.
- rimane in capo al datore di lavoro, ai sensi art. 2087 del codice civile e del Testo Unico della Sicurezza, l’obbligo di garantire l’integrità fisica dei propri lavoratori ed un ambiente di lavoro salubre ed esente da rischi, tra cui sicuramente l’esposizione da rischio biologico. Ciò, peraltro, anche al fine di evitare profili di responsabilità amministrativa da reato per come previsti dal D. Lgs. n. 231/2001. Da qui l’importanza di una fattiva sinergia con medico competente e servizio di prevenzione protezione.
- il personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea e se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro. Le persone in tale condizione – nel rispetto delle indicazioni riportate nel Protocollo – saranno momentaneamente isolate e fornite di mascherine non dovranno recarsi al Pronto Soccorso e/o nelle infermerie di sede, ma dovranno contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni.
- il datore di lavoro deve informare preventivamente il personale, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al Covid-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. Se richiesto, il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni costituisce un trattamento di dati personali vincolato al rispetto dei principi della medesima normativa: Il Protocollo in nota suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19.
- la sorveglianza sanitaria periodica non va interrotta, perché rappresenta un’ulteriore misura di prevenzione di carattere generale: sia perché può intercettare possibili casi e sintomi sospetti del contagio, sia per l’informazione e la formazione che il medico competente può fornire ai lavoratori per evitare la diffusione del contagio
- il medico competente segnala all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti e l’azienda provvede alla loro tutela nel rispetto della privacy il medico competente applicherà le indicazioni delle Autorità Sanitarie.
Relativamente al lavoro agile:
- è vietato qualsiasi controllo mediante apparecchiature finalizzate a monitorare l’attività del lavoratore “agile”
- è necessario il preventivo espletamento della procedura sindacale o, in mancanza, di quella amministrativa, per qualsiasi attività controllo che richieda il trattamento dei dati del lavoratore per finalità organizzative, produttive, di sicurezza sul lavoro o di tutela del patrimonio aziendale qualora questo sia attuato mediante apparecchiature che si rivelano non essenziali allo svolgimento della relativa prestazione
- non viene meno l’obbligo di informativa da rendere al prestatore di lavoro “agile” in circostanze di diritto emergenziale. Anzi lo stesso va adempiuto con maggiore rigore e diligenza, anche prevedendo la consulenza del medico competente e del servizio di prevenzione e protezione e accompagnandolo magari con specifici avvisi circa le pratiche di igiene previste per contrastare la diffusione del contagio
- resta invariato, come anche ricordato recentemente dal Garante, l’obbligo del lavoratore di comunicare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. I datori di lavoro dovrebbero di conseguenza istituire canali di comunicazione specifici relativi a questo tipo di informazioni. Sul punto va anche detto che la normativa d’urgenza, già prevedeva, che chiunque negli ultimi 14 giorni avesse soggiornato nelle zone a rischio epidemiologico, nonché nei comuni di cui all’iniziale zona rossa o che avesse avuto contatti stretti con persone risultate positive al Coronavirus, dovesse comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che avrebbe provveduto agli accertamenti previsti come, ad esempio, l’auto-isolamento.
- i termini di conservazione dei dati raccolti per la gestione dell’emergenza dovranno essere proporzionali all’emergenza stessa (ad ora sei mesi)
Il decreto-legge 14/2020
Il 9 marzo 2020 viene introdotto il Decreto-legge n.14 (“Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19”), in vigore dal 10 marzo 2020, il quale facendone cessare la vigenza, si sostituisce a tutti i decreti precedenti, adottati in attuazione del decreto-legge 3 febbraio 2020, n. 6. recependo anche l’Ordinanza 630.
Tale provvedimento estende ulteriormente rispetto ai precedenti il potere di trattamento dei dati personali anche “sensibili” e relativi a reati e condanne penali, a diversi soggetti pubblici e privati, laddove ciò possa essere ritenuto strettamente funzionale e indispensabile alla gestione epidemiologica e sia ovviamente legittimato a monte da specifici provvedimenti ad hoc. Non sembrano potersi escludersi dal novero dell’art 14 neppure forme di tracciamento digitale e profilazione degli individui attuate su larga scala per il tramite di applicazioni di intelligenza artificiale.
Ad oggi su quest’ultimo punto le Istituzioni non hanno ancora preso posizione malgrado le istanze pervenute da aziende tecnologiche ed esperti.
Vediamo nel dettaglio l’art. 14 del decreto e i suoi sei commi.
Intende riferirsi a:
- soggetti operanti nel Servizio nazionale di protezione civile;
- soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630;
- uffici del Ministero della salute e dell’Istituto Superiore di Sanità;
- le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale;
- soggetti deputati a monitorare e a garantire l’esecuzione delle misure di contenimento ai sensi dell’art. 3 D.L. n. 6/2020 convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13.
e prevede che:
- “allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 (particolari categorie di dati) e 10 (condanne penali e reati) del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19”.
Il Decreto si spinge anche oltre la comunicazione tra soggetti pubblici e privati diversi da quelli sopra menzionati, stabilendo al comma due che:
- la comunicazione, nonché la diffusione dei dati personali diversi da quelli di cui agli artt. 9 e 10 del GDPR possa essere effettuata, a soggetti diversi, in quei casi in cui ciò si riveli indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto.
Nel contesto emergenziale in atto tale provvedimento, peraltro in buona parte interpretativo, visto il tenore delle disposizioni in esso contenute, si pone come un regime normativo d’urgenza, applicabile per ciò stesso “fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020” salvo proroghe.
Il comma sei stabilisce che:
- “Al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020, i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali”. Non sarà sfuggito ai più attenti che non vengono menzionati i soggetti diversi di cui al comma due potenzialmente coinvolti nel trattamento dei dati laddove ciò possa essere valutato come indispensabile. Forse sarebbe stato quanto mai opportuno invece prevederne l’inclusione.
È certo che, in ogni caso, tutte le attività di trattamento dei dati personali ritenute o previste come necessarie per la gestione dell’emergenza, ai sensi dell’art 14 comma tre dello stesso decreto-legge, dovranno essere vincolate al rispetto dei principi fissati dal GDPR, all’ art.5 in primis e adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.
Il quarto comma al fine di “contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati”, ammette che:
- sia possibile di adottare modalità semplificate per conferire le autorizzazioni ai soggetti designati al trattamento (di cui all’articolo 2-quaterdecies del D.Lgs. 196/2003) e di omettere l’informativa ex art. 13 GDPR o di fornire una informativa semplificata. Un’ulteriore e chiara esternazione questa di quanto l’art. 23 GDPR, concede, ricorrendone i presupposti, ai legislatori nazionali, riguardo alle limitazioni circa l’obbligo di ciascun titolare del trattamento di rendere l’informativa ai sensi dell’art. 13 del GDPR.
C’è a questo punto da chiedersi:
- Fino a che punto la gestione della pandemia in atto e la conseguente tutela del diritto fondamentale alla salute pubblica, può condizionare tra gli altri, il diritto alla protezione dei dati personali e orientarne il reciproco bilanciamento?
- E per quanto tempo, posto che riconoscerne l’inevitabilità non significa diventarne ostaggi e che una situazione emergenziale è di per sé “una condizione certamente anomala e grave, ma anche essenzialmente temporanea” (Corte cost. sent. n. 12/1982)?
- Nello scenario emergenziale attuale, le decisioni delle nostre Istituzioni deputate alla gestione della crisi sanitaria, specie alla luce degli incoraggianti risultati risocntrabili negli altri Stati coinvolti dall’epidemia, dovrebbero spingersi fino al punto di ritenere essenziale e strettamente necessario il fatto di disporre dell’accesso ai dati dei cittadini italiani raccolti e archiviati dai gestori della rete per la finalità di monitorarne e controllarne i movimenti?
- La georeferenziazione abilitata dai big dati è una misura efficace che giustifica il trattamento pervasivo dei dati personali?
Carlo Alberto Carnevale Maffè, docente di Strategia presso la Scuola di Direzione Aziendale dell’Università Bocconi ne sembra convinto e con un tweet evidenzia: “La Corea del Sud sta sconfiggendo l’epidemia anche grazie a semplici tecnologie di contact tracing del contagio su smartphone. In Italia è stato proposto alle autorità l’uso delle stesse tecnologie, settimane fa, ma hanno preferito il modulo cartaceo con l’autodichiarazione”.
- Con quale impatto a lungo termine per i diritti e le libertà delle persone?
L’equilibrio tra diritti fondamentali: salute pubblica e protezione dei dati personali
Per iniziare a rispondere ai tanti interrogativi proporrei di partire da un’analisi del contesto giuridico speciale nel quale si inserisce la possibilità di raccolta e la condivisione di dati personali, da parte delle autorità sanitarie pubbliche e delle società private che fanno parte del sistema sanitario nazionale.
In Italia, i trattamenti dei dati personali sono legittimi se rispettosi dei principi di cui all’art 5 del GDPR e degli altri contenuti nel medesimo Regolamento recepito nel nostro ordinamento con il d.lgs 110/2018 e di tutte le altre normative afferenti alla protezione dei dati personali tra cui lo Statuto dei lavoratori.
Relativamente ai dati sulla salute, “le ragioni di interesse pubblico nel settore della sanità pubblica, come la protezione da gravi minacce transfrontaliere per la salute” sono specificamente menzionate come un uso consentito di dati sensibili, ai sensi dell’articolo 9, paragrafo 2 (i) GDPR, se previsto dalla normativa dell’Unione o degli Stati membri. Allo stesso tempo, il considerando 52 si riferisce specificamente alle deroghe al divieto di trattamento di dati sensibili giustificato a “scopi di monitoraggio e allarme” e “prevenzione o controllo delle malattie trasmissibili e di altre gravi minacce per la salute”. I trattamenti connessi e non “strettamente necessari”, diversamente, richiedono una distinta base di legittimazione.
Anche il considerando 46 si riferisce specificamente alla liceità di alcuni tipi di trattamento che servono a proteggere un interesse essenziale per la vita degli individui, “incluso il monitoraggio delle epidemie e la loro diffusione”.
Ai sensi dell’art 23 GDPR, inoltre, ogni Stato membro come la stessa Unione Europea, può, in particolari circostanze che richiedono la pronta salvaguardia di importanti interessi pubblici generali, calibrare il contenuto di specifiche limitazioni ai diritti e agli obblighi previsti in materia di trattamento dei dati personali con l’introduzione di specifici provvedimenti funzionali all’introduzione delle richieste misure urgenti quali quelle evidenziate in precedenza.
Il criterio valutativo della “stretta” necessità e proporzionalità che legittima ogni variazione del potere di effettuare trattamenti, attuata ai sensi dell’ art 23 GDPR, prevista sin dai Considerando 4 e 54 ed espressamente contemplata nell’art art 6 del GDPR e, nel caso dei dati personali concernenti la salute, i dati biometrici e i dati giudiziari anche dagli articoli 9 e 10 del GDPR, costituisce il nucleo fondamentale dell’equilibrio mobile derivante da quel necessario bilanciamento alla base degli atti di legge emergenziali, delle conseguenti misure attuate e degli obiettivi di contenimento e prevenzione del contagio perseguiti dai medesimi.
Proprio l’individuazione del “contenuto essenziale” del diritto da salvaguardare assume in tal senso un rilievo centrale nell’ottica dell’imposizione del minor sacrificio possibile apportato al diritto soccombente ritenuto nella specifica situazione non preminente.
In altre parole, le limitazioni e le estensioni alla possibilità di effettuare i trattamenti, possono ritenersi giustificabili fino al punto in cui si rivelino funzionali alla salvaguardia dell’interesse generale alla salute pubblica valutato come prevalente nella cornice delle tutele espresse nell’art 8 della Convenzione Europea dei Diritti Umani (CEDU) e nell’ art 52 della Carta UE.
E inoltre sempre nel rispetto del principio di proporzionalità, stretta necessità, sicurezza e sempre che siano rispondenti a finalità di interesse generale riconosciute dall’Unione o altrimenti all’esigenza di proteggere i diritti e le libertà altrui.
La salute ha senza dubbio una posizione centrale nel sistema dei diritti fondamentali. È una tutela forte che si ritrova anche nell’art 3 della Carta dei diritti fondamentali dell’Unione Europea.
Ma è anche l’art 32 della nostra Costituzione, tra le tante altre Carte dei diritti internazionali, che ce ne fornisce una bella rappresentazione: “La Repubblica tutela la salute come fondamentale diritto dell’individuo e interesse della collettività, e garantisce cure gratuite agli indigenti. Nessuno può essere obbligato a un determinato trattamento sanitario se non per disposizione di legge. La legge non può in nessun caso violare i limiti imposti dal rispetto della persona umana.”
Lo strumento del decreto-legge utilizzato in Italia per far fronte alla pandemia da COVID-19 garantisce, inoltre, che le stesse misure di reazione all’emergenza si mantengano quali norme di rango primario nei limiti di quanto previsto dall’articolo 77 della Costituzione. Stessa considerazione per i DPCM succedutisi nell’ultimo periodo il cui fondamento risiede nel decreto legge 6/2020 convertito nella legge 13/2020.
Altrettanto per le pertinenti ordinanze di necessità e urgenza della Protezione Civile subordinate al pari degli altri provvedimenti di legge di diritto emergenziale al rispetto di quei principi, confermati nel tempo a più riprese dalla stessa Corte Costituzionale: “di efficacia limitata nel tempo in relazione alle esigenze di necessità e urgenza; adeguata motivazione; efficace pubblicazione nei casi in cui il provvedimento non abbia carattere individuale; conformità del provvedimento stesso ai principi dell’ordinamento giuridico”.
La risposta di alcune autorità europee alle misure di contenimento covid-19
Come il Garante Italiano, altre autorità europee per la protezione dei dati hanno pubblicato i propri documenti informativi e linee guida sui limiti di raccolta, condivisione e utilizzo dei dati personali relativi alla salute funzionali alle rispettive gestioni dell’epidemia da COVID-19. Molte si sono concentrate sull’ampiezza delle misure che i datori di lavoro potrebbero legalmente adottare per monitorare la salute dei propri dipendenti, nonché sulla raccolta di dati sanitari da parte delle agenzie governative e delle autorità sanitarie pubbliche e sui rischi connessi al monitoraggio “sistematico e generalizzato”.
Così il Commissario irlandese per la protezione dei dati: “la legge sulla protezione dei dati non ostacola la fornitura di assistenza sanitaria e la gestione delle questioni di sanità pubblica”. Ma allo stesso tempo “ci sono considerazioni importanti che dovrebbero essere prese in considerazione quando si gestiscono i dati personali in questi contesti, in particolare la salute e altri dati sensibili”. Non solo il trattamento deve essere necessario e proporzionato, ma deve anche “essere informato dalla guida e/o dalle indicazioni delle autorità sanitarie pubbliche o di altre autorità pertinenti”.
Il CNIL francese offre anche esempi di azioni che determinati titolari del trattamento possono attuare legalmente nel contesto della crisi sanitaria: “I datori di lavoro devono astenersi dal raccogliere in modo sistematico e generalizzato, o attraverso indagini e richieste individuali, informazioni relative alla ricerca di possibili sintomi presentati da un dipendente da un collaboratore e dai loro parenti. Non è quindi possibile implementare, ad esempio: letture obbligatorie delle temperature corporee di ciascun dipendente, collaboratore o visitatore da inviare ai dirigenti aziendali coinvolti; o la raccolta di fogli medici o questionari da tutti i dipendenti.
Per l’autorità danese, il Datatylsinet, le informazioni relative alla messa in stato quarantena (senza fornire ulteriori dettagli sulla causa) non sarebbero informazioni sanitarie (ne dubito!) e “ciò che un datore di lavoro può chiedere al dipendente di fornire e ciò che il dipendente è tenuto a rivelare sono le questioni che sono regolate dalle norme del diritto del lavoro e da eventuali norme di diritto pubblico in materia di salute o altre pertinenti”.
In Romania nel frattempo il segretario di stato Nelu Tataru annuncia l’implementazione di un progetto pilota, applicato, per la prima volta, solo a Bucarest “il più grande agglomerato urbano”, poi da estendere a tutto lo Stato, che prevede il monitoraggio dei parametri della salute e degli spostamenti, tramite braccialetti interconnessi, indossati dalle persone messe in quarantena o isolate a casa per 14 giorni. “Ci diranno se rimangono a casa o vagano per centri commerciali e mercati”, ha detto Nelu Tătaru alla stampa rumena.
Big data e intelligenza artificiale nella gestione della crisi epidemica
E certamente anche in Italia, specie alla luce del parere fornito dal Garante per la protezione dei dati personali, Antonello Soro, sull’ordinanza urgente della protezione civile e dei contenuti estensivi dell’art 14 del decreto legge 14/2020, l’esperienza desumibile dalle tattiche di sorveglianza attuate in Cina, rivelatasi, numeri alla mano, esaustiva ed efficace anche se “estremamente impositiva e pervasiva”, genera un dibattito complesso e controverso ma anche necessario, legato all’opportunità di servirsi dei big data e delle tecnologie di intelligenza artificiale in ottica di prevenzione e contenimento degli effetti devastanti della crisi ad COVID-19.
L’intelligenza artificiale e i big data hanno avuto infatti un ruolo significativo nella risposta della Cina a Covid-19.
I video rilasciati dai media statali cinesi riprendono droni gestiti dalla polizia che monitorano gli spostamenti dei cittadini in pubblico, richiamandoli alle migliori precauzioni contro il virus
Il South China Morning Post riporta:
- “Nella provincia meridionale del Guangdong, le autorità locali hanno affermato che i residenti devono registrarsi con il loro vero nome quando acquistano farmaci per la febbre e la tosse nelle farmacie in modo che i funzionari possano seguirli. Nell’hub tecnologico di Shenzhen, ai pendolari è stato recentemente chiesto di fornire i loro nomi completi prima di poter utilizzare la metropolitana.”
- E ancora: “Una mappa epidemica, pubblicata dal colosso della ricerca cinese Baidu, mostra la posizione dei casi confermati e sospetti in tempo reale in modo che le persone possano evitare di recarsi negli stessi luoghi. Qihoo 360, la più grande azienda cinese di sicurezza informatica, offre un’app che consente agli utenti di verificare se sono stati su un treno o un aereo con qualcuno che ha contratto il virus”.
E queste sono solo alcune delle molteplici forme di controllo sociale automatizzato e volute da Xi Jinping e sviluppate con la collaborazione del Consiglio di Stato della Repubblica Popolare Cinese, della Commissione Nazionale di Sanità e della China Electronics Technology Group e utilizzate per fronteggiare l’epidemia in corso. Non secondario neppure il contributo dei colossi tecnologici quali Alibaba, Baidu e Tencent.
Il quotidiano cinese Global Times, riferisce che addirittura le forze di polizia della città di Chengdu (nella provincia del Sichuan) dispongano di caschi intelligenti in grado di misurare la temperatura di chiunque, entro un raggio di 5 metri.
La Corea del Sud, Singapore e anche l’Iran si muovono sulla stessa linea.
Il rapporto dell’OMS pubblicato il 28 febbraio evidenzia la portata dell’efficacia delle misure attuate in Cina:
“L’approccio coraggioso della Cina per contenere la rapida diffusione di questo nuovo patogeno respiratorio ha cambiato il corso di un’epidemia in rapida crescita e mortale” afferma l’epidemiologo Tim Eckmann del Robert Koch Institute. “Questo calo dei casi Covid-19 in tutta la Cina è reale.”
E anche le Nazioni Unite si interrogano:
“Covid-19 è un test per le nostre società e stiamo tutti imparando e adattandoci mentre rispondiamo al virus. La dignità e i diritti umani devono essere al centro in questo sforzo” ha dichiarato l’alto commissario delle Nazioni Unite per i diritti umani Michelle Bachelet a Ginevra il 06 marzo scorso.
“Essere aperti e trasparenti è la chiave per responsabilizzare e incoraggiare le persone a partecipare a misure volte a proteggere la propria salute e quella della popolazione più ampia, specialmente quando la fiducia nelle autorità è stata erosa. Aiuta anche a contrastare informazioni false o fuorvianti che possono fare così tanto male alimentando la paura e il pregiudizio “, ha affermato l’Alto Commissario.
“Chiedo inoltre alle autorità dei paesi colpiti da Covid-19 di prendere tutte le misure necessarie per affrontare gli incidenti di xenofobia o stigmatizzazione”, ha aggiunto.
Conclusioni
E dunque una volta accertata la validità di tali misure tecnologiche sul trend di sviluppo della malattia e della riduzione dei contagi, rimangono forti i dubbi circa gli effetti di un’eventuale introduzione di simili applicazioni digitali di raccolta dei dati in contesti di Stato di diritto e democrazia, Italia in primis.
Se, infatti, l’elevata capacità di analisi predittiva e in tempo reale consentita dai big data rappresenta una risorsa preziosa e strategica specie in situazioni di forte emergenza dove è richiesta massima tempestività dei processi decisionali; tuttavia gli impatti, anche di lungo periodo, in termini di rischi legati all’elaborazione di questo tipo di dati per i diritti e le libertà degli individui non possono essere sottovalutati.
Ciò anche in quei settori nei quali le forme di AI potrebbero rivelarsi estremamente utili come quelli dell’epidemiologia per l’analisi preventiva dello sviluppo e dell’andamento delle epidemie, e della farmacologia per lo studio di farmaci capaci di fornire una risposta efficace rispetto agli agenti patogeni servendosi di simulazioni al computer e non trial clinici.
Opportunità, sfide, salvaguardia dei diritti fondamentali e questioni etiche entrano in gioco pesantemente.
In Italia come in tutta l’UE, ogni misura, sia essa nazionale o comunitaria che disponga, pur in situazioni di emergenza, l’implementazione di attività di analisi e applicazioni di intelligenza artificiale, è sempre vincolata al rispetto di tutti i principi fondamentali vigenti in materia di privacy e salvaguardia dei diritti fondamentali.
È tuttavia evidente che le caratteristiche intrinseche delle applicazioni digitali su larga scala a cominciare dalle implicazioni concrete in fatto di produzione autonoma di dati, da quelli derivati a quelli inferiti, ne impongono una rilettura adeguata. Altrettanto è prevedibile che si renderanno quanto prima necessari ulteriori quadri regolatori sufficientemente flessibili e coerenti con le peculiarità delle specifiche applicazioni tecnologiche.
Di certo la trasparenza e il dovere di informazione verso l’interessato diventano assolutamente cruciali.
La tecnica dell’anonimizzazione e della pseudonimizzazione non basta a contrastare il rischio di re-identificazione di un interessato.
La giusta declinazione del principio di privacy by design assurge ad elemento essenziale posto che gli algoritmi applicati nell’analisi dei big data si tradurranno sempre in altrettanti trattamenti autonomi e automatizzati condivisi tra svariati database.
L’individuazione della corretta base giuridica rappresenta un elemento delicato su cui basare la legittimità dei conseguenti trattamenti. Altrettanto l’attenzione da destinare al rispetto del principio di limitazione della finalità, di minimizzazione e di esattezza, di sicurezza (sia tecnica che organizzativa), come anche alle modalità di esercizio dei diritti, pur con le eventuali limitazioni ex art 23 GDPR.
Non ultimo la corretta definizione del termine di data retention: assolutamente vincolato alla situazione emergenziale.
Ma è soprattutto una questione di responsabilità molto seria rispetto alla quale i tanti esercizi intellettuali possono essere interessanti ma non hanno i necessari riflessi pratici.
Il Global Pulse, la rete di laboratori di innovazione (Pulse Labs) delle Nazioni Unite sui big data e l’intelligenza artificiale e l’Associazione internazionale dei professionisti della privacy IAPP, al di fuori del presente contesto emergenziale, nel 2017 ospitarono a New York un evento che si poneva come obiettivo proprio quello di “Costruire un programma di etica e privacy dei dati forti: dalla teoria alla pratica” e in quella sede Robert Kirkpatrick si espresse con un concetto che mai come ora si impone come imperativo e di assoluta preminenza “Mentre gli sforzi globali per sviluppare nuovi quadri intorno all’uso responsabile delle tecnologie emergenti iniziano a prendere forma, è imprescindibile che essi affrontino non solo le implicazioni dei diritti umani di “uso improprio”, ma anche quelle di “mancato uso”.