Con una dichiarazione congiunta del Chair of the Committee of Convention 108 e del Data Protection Commissioner of the Council of Europe, il Consiglio d’Europa interviene oggi sul tema del trattamento dati nell’ambito delle misure di contrasto al Covid-19.
Il Consiglio d’Europa, in maniera analoga alla posizione adottata dall’EDPB in merito di coronavirus e privacy, ribadisce in primo luogo che il quadro normativo vigente (nello specifico, la Convenzione 108 e la sua versione modernizzata “Convenzione 108+”) stabilisce standard elevati per la protezione dei dati personali compatibili con un’efficace tutela di altri diritti, incluso quello alla salute pubblica ed individuale.
Punto chiave è quindi il bilanciamento di interessi, in modo che, anche in situazioni particolarmente critiche, i principi di protezione dei dati siano rispettati. Da qui la centralità del principio di proporzionalità e della valutazione preventiva dei rischi connessi all’impiego dei dati personali.
Consiglio d’Europa su privacy e coronavirus
Con specifico riguardo all’elaborazione dei dati relativi alla salute, il Consiglio d’Europa richiama il principio del primato dell’essere umano e sottolinea la necessaria compatibilità fra tutela della salute e tutela degli altri diritti umani, incluso quello alla protezione dei dati personali, esortando a far riferimento alle linee guida recentemente adottate con la Raccomandazione CM/Rec (2019) 2.
Analogamente, con riferimento ai dati inerenti il Covid-19 trattati in ambito lavorativo vengono richiamate le linee guida della Raccomandazione CM/Rec (2015) 5, esortando gli Stati ad evitare misure di monitoraggio dei dipendenti, tenendo a mente che misure non intrusive devono essere considerate prioritariamente nell’organizzazione delle attività e delle condizioni lavorative.
La parte, a parere di chi scrive, più rilevante della comunicazione riguarda però il trattamento dati su larga scala con fini predittivi, includendo l’uso di dati di tracciamento, essendo questo un tema su cui in vari Paesi stanno crescendo l’attenzione ed il dibattito.
Al riguardo il Consiglio d’Europa richiama le proprie linee guida in materia di Big Data e soprattutto le più recenti linee guida su Artificial Intelligence e tutela dei dati personali che, specificatamente dirette a sviluppatori e governi, possono essere strumenti utili per modellare i trattamenti in modo da prevenire eventuali bias, usi impropri e conseguenze negative sugli individui, in termini di pregiudizio delle loro libertà e diritti fondamentali, inclusa la discriminazione di individui o gruppi di individui (si pensi ai casi di stimmatizzazione purtroppo emersi anche in questo frangente dell’infezione da Covid-19).
In questo contesto la trasparenza delle soluzioni adottate, inclusi i profili tecnici degli stessi (leggasi anche explainable AI), e la possibilità di realizzare audit indipendenti hanno un ruolo centrale. La natura pubblica e la potenziale invasività delle misure di controllo richiedono poi un approccio precauzionale e, ove si opti per mettere in pratica sistemi di trattamento dati, il Consiglio d’Europa richiama all’adozione di appropriate strategie di gestione del rischio (incluso il rischio di re-identificazione in caso di dati anonimi e la previa valutazione delle soluzioni possibili all’interno di ambiti limitati di test).
Specie nel contesto del monitoraggio e della sorveglianza epidemiologica, ove è anche possibile un coinvolgimento attivo di soggetti privati del settore ICT, il Consiglio d’Europa esorta i Paesi membri (quindi anche l’Italia) ad operare un’elaborazione di dati personali su larga scala solo quando, sulla base di evidenze scientifiche, i potenziali benefici concreti per la salute pubblica di una simile indagine siano tali da prevalere – in un’ottica di bilanciamento di interessi – sulla tutela dei dati, secondo un principio di proporzionalità, e ove non sussistano altre misure meno intrusive, anche di tipo non digitale.
Con riferimento poi ai Paesi che di recente hanno ventilato ipotesi di deroga ai principi internazionali definiti dal Consiglio d’Europa, quest’ultimo, nel ribadire in ogni caso la conciliabilità del contrasto al Covid-19 con il quadro normativo esistente, ha comunque ricordato che ogni restrizione è ammissibile solo se ex lege, a titolo provvisorio e per un periodo di tempo esplicitamente limitato ex ante. Eventuali limitazioni devono poi rispondere a requisiti molto puntuali, essere in linea con i principi dello stato di diritto e rispettare i diritti e le libertà fondamentali, costituendo una misura necessaria e proporzionata in una società democratica.
Perché è rilevante la posizione del Consiglio d’Europa su coronavirus e privacy
La dichiarazione del Consiglio d’Europa è di rilievo per varie ragioni. In primis, il Consiglio d’Europa, con la Convenzione 108, ora nella sua versione “modernizzata” o 108+, rappresenta la culla storica della regolamentazione del trattamento dati in Europa. Secondariamente, con la Corte europea dei diritti dell’uomo, ha dato negli anni un valido contributo al tema del bilanciamento di interessi, in particolare nel contesto della tutela della vita privata ed anche del trattamento dei dati personali.
Se dunque le misure di contrasto al Covid-19 hanno un impatto su diritti e libertà individuali e se, in ragione di questo, occorre porre in essere un bilanciamento di interessi, è anche a Strasburgo che occorre guardare.
A questo va aggiunto che il coronavirus si è purtroppo espanso ben oltre i confini dell’EU e per questo, in tema di data protection, vari Paesi (incluso il Regno Unito) trovano nella Convenzione 108 il contesto di riferimento per la tutela dei diritti dei singoli rispetto al trattamento dati. Con i suoi 55 Paesi aderenti ed un totale di 70 Paesi includendo gli osservatori, su 130 Paesi al mondo dotati di una normativa sui dati personali, la Convenzione è il chiaro quadro di riferimento internazionale per la maggioranza delle nazioni.
Da qui l’importanza delle indicazioni provenienti da Strasburgo sia per i Paesi EU, che beneficiano di più elevate norme di tutela, sia per i Paesi non-EU, ove la Convenzione è argine ad ingiustificate compressioni delle libertà e diritti dei singoli.
In questa cornice, il monito che giunge da Strasburgo riguarda, dunque, anche l’Italia e non concerne i soli dati personali.
Troppo spesso – lo ricordava ancora ieri il Presidente Soro – i diritti sui dati personali, in ragione della natura parzialmente intangibile delle informazioni e della diffusione dell’economia dei dati, vengono considerati come suscettibili di maggior compressione all’interno del panorama dei diritti e delle libertà individuali. Tuttavia, da sempre, quello sui dati è un diritto abilitante, ossia atto a garantire il pieno e concreto esercizio di molteplici ed altri diritti e libertà personali, dalla non-discriminazione, alla libertà di movimento alla libertà di espressione.
Per questo scelte improprie, poco meditate, delegate ai soli esperti di dati o, in taluni Paesi, intenzionalmente volte ad un uso sproporzionato di dati personali sono destinate ad avere un domani ripercussioni tali da incidere negativamente sulle libertà individuali e sulla società. L’esperienza della lotta al terrorismo in US ed in altri Paesi ci è di monito a riguardo, come ricordava giorni fa Peter Swire.
Con riguardo all’ambito nazionale, si nota in primo luogo una similarità fra l’approccio del Consiglio d’Europa e quello che sta emergendo dalle dichiarazioni del Garante per la protezione dei dati personali. Punto centrale sono i criteri di necessità e proporzionalità.
Prima di intavolare dunque qualsiasi progetto di uso dei dati per il contrasto del Covid-19 servirà avere evidenze concrete, sia di tipo scientifico che tecnologico, circa la reale efficacia del progetto stesso. A riguardo vanno ad esempio considerati i limiti intrinseci delle tecnologie di cui si discute, quali ad esempio il range di operatività delle stesse nei progetti basati sulla comunicazione fra devices o su sistemi di geolocalizzazione, ove il livello di precisione ed il raggio operativo offerto da questi ultimi messi in relazione al metro canonico di distanza sociale possono generare un significativo numero di falsi positivi.
Similmente va ricordato come le tecnologie in questione ragionino in maniera spaziale o relazionale, senza consapevolezza ad esempio dell’esistenza di misure di protezione individuale o di altri fattori inerenti il contagio rispetto ai soggetti cui potenzialmente si riferiscono.
Se si coniuga tale rischio di falsi positivi con il potenziale uso concreto di tali dati nel caso di alcune applicazioni, quali ad esempio il contact tracking, servirebbe poi un’adeguata implementazione della fase a valle. Per questo, in carenza ad esempio di efficaci e tempestivi strumenti di diagnosi dei supposti contagiati, certi sistemi rischiano solo di generare un monitoraggio senza benefici concreti.
Infine, in un’ottica di valutazione del rischio del trattamento vanno considerate, come ricordato dal Consiglio d’Europa, non solo la specifica applicazione, ma anche l’efficacia di soluzioni alternative a più basso impatto sui dati e libertà personali. Se dunque misure di protezioni ed altre forme di rimedi “analogici” risultassero più efficaci, l’uso di tecnologie di monitoraggio dovrebbe essere tralasciato o limitato a impieghi mirati o forme anonime ed aggregate di dati, anch’esse potenzialmente utili nel contrasto al Covid-19. Questo fermo restando che qualora vengano impiegati dati anonimi, ma dall’analisi di questi ultimi si derivino misure concrete di restrizione della libertà per gruppi di persone (ad esempio creazione delle c.d. “zone rosse”) o comunque atte ad incidere sui diritti e le libertà fondamentali, la trasparenza dei modelli decisionali e di analisi dei dati è un imperativo all’interno di una società democratica.
L’emergenza non può costituire una giustificazione per assumere decisioni in maniera non trasparente e fuori da un dibattito democratico.