In questi giorni di emergenza, in cui i Paesi si stanno interrogando sull’uso della tecnologia per limitare la diffusione del coronavirus, serve una maggiore attenzione e tutela dei nostri dati personali, non il contrario, come da più parti si va richiedendo.
Il problema non è secondario e, a mio avviso, il malinteso nasce da un uso improprio che si sta facendo del termine privacy.
Le parole sono importanti, diceva Nanni Moretti in Palombella Rossa e in questi giorni di emergenza molti continuano a usare il termine “privacy” associandolo al concetto di “segretezza”, come a indicare che determinate informazioni debbano rimanere nascoste, non devono essere comunicate.
Un errore che non ci consente di mettere nella giusta prospettiva alcuni dei temi al centro del dibattito – in primis la questione dell’uso delle app di monitoraggio – e, quindi, ci impedisce di trovare una soluzione ai problemi che in questo senso stanno emergendo.
Vediamo perché, partendo proprio dall’assunto che concordare il significato che attribuiamo a un termine è alla base di una corretta comunicazione e comprensione: non a caso le norme tecniche e le leggi prevedono sempre un capitolo destinato alle definizioni.
Innanzitutto, ci preme sottolineare che anche quando si fa riferimento al Regolamento europeo n. 679/2016 – GDPR (General Data Protection Regulation), si sente parlare della “nuova normativa privacy”.
Coloro i quali hanno letto nella sua completezza il regolamento, si saranno però certo accorti che scorrendo le 88 pagine nel testo del documento, dai considerando agli articoli, non troviamo nemmeno una occorrenza della parola privacy, nemmeno nella sua versione in lingua inglese.
Le origini del diritto alla privacy
Nelle sue origini – siamo negli Stati Uniti d’America alla fine del XIX secolo, e più precisamente nel 1890 – il diritto alla privacy, nasceva come “the right to be let alone”, ossia come diritto ad essere lasciato da solo.
Ma il significato che stava dietro a questo termine, oggi è un altro, è differente.
Il diritto alla privacy, oggi
Oggi quando ci riferiamo alla privacy stiamo parlando di data protection, ossia di protezione dei dati.
Parliamo della protezione delle persone rispetto all’uso dei loro dati personali, stiamo parlando di sicurezza delle informazioni, della loro riservatezza, integrità, disponibilità.
Già nel titolo del Regolamento europeo, notiamo un elemento interessante, in apparente contrasto con il contesto: “[…] nonché alla libera circolazione di tali dati […]”.
Rivedendo allora il tema sotto questo punto di vista, non dovremmo parlare di privacy con l’accezione di qualcosa da nascondere e tenere segregata, ma piuttosto con l’accezione di qualcosa che deve poter circolare, con la garanzia della protezione e la sicurezza che questa informazione sarà resa disponibile solo a chi è autorizzato ad accedervi (riservatezza).
Sorvoliamo – volutamente – sull’argomento delle altre caratteristiche che devono essere garantite per tali informazioni, come l’integrità o la disponibilità, l’autenticità o il non ripudio.
La privacy e il dibattito sul contact tracing
Il tema è attuale: in questi giorni si parla del contrasto tra privacy e salute, o privacy e libertà, a causa del presupposto impiego di sistemi per il contact tracing.
Il dibattito è sulla possibilità che venga meno un diritto fondamentale per le persone (prevale il diritto alla privacy o il diritto alla salute?).
Una delle soluzioni proposte è la sospensione della normativa sulla privacy (così avremmo risolto il problema alla radice).
Cerchiamo di capire se sospendere le normative sulla protezione dei dati potrebbe essere una proposta da prendere in considerazione (adesso possiamo cominciare a chiamare questo argomento con il suo nome, e non più privacy)
Proviamo a fare un parallelo con il settore dei trasporti aerei, ove la sicurezza è uno dei pilastri portanti, (ricordiamoci che statisticamente il momento più rischioso per la nostra incolumità, di prendere un volo, è il tragitto percorso in auto per raggiungere l’aeroporto).
Sospendere la normativa sulla protezione dei dati, sarebbe come chiedere di sospendere i controlli di sicurezza negli aeroporti e la manutenzione degli aerei, per consentire un presunta maggiore libertà di movimento delle persone e una maggiore disponibilità degli aeromobili.
Voi salireste su quel volo, sapendo che sono state sospese (e quindi non applicate) tutte o alcune misure di sicurezza?
Probabilmente no.
Non sembra quindi una strada che possa portare ad una soluzione, anzi.
Trattamento dei dati e contact tracing
Forse, allora, quello che serve in questo momento è esattamente l’opposto.
In questo momento serve una maggiore fiducia nel sistema di gestione della sicurezza delle informazioni.
Tutti noi avremmo meno remore a concedere – temporaneamente – l’accesso e l’uso di alcuni dei nostri dati personali, per uscire più rapidamente da questa emergenza.
Perché, alla fine, è questo il tema sul quale confrontarsi, ossia l’opportunità di adottare una temporanea e parziale revisione delle autorizzazioni all’accesso di alcune delle nostre informazioni personali.
Se, normalmente, le nostre informazioni personali sono accessibili ad un ristretto numero di soggetti, in questo momento di emergenza è necessario far accedere a queste informazioni un differente – ma pur sempre
definito – insieme di altri soggetti, con una finalità chiara e condivisa.
Il panorama normativo prevede già questo scenario, non sono quindi necessarie sospensioni di sorta o modifiche normative.
Il punto (dolente) però è forse un altro, che vediamo alla fine dopo aver analizzato il modello Corea del Sud per avere un quadro più completo.
Il sottile equilibrio tra salvezza e protezione dei dati personali
Combattere una pandemia e salvare vite umane richiede l’uso efficace dei dati, il che significa fare test completi e conoscere i movimenti individuali. Tuttavia, alcune delle misure utilizzate per combattere il Covid-19, in particolare il tracciamento dei contatti, comportano rischi, purtroppo, anche quando la partecipazione è volontaria.
Tutti, in questo momento, guardano al modello della avanzatissima e super tecnologica Corea del Sud dove, giova ricordarlo, la legge sulla protezione delle informazioni personali (PIPA) impone rigorosi requisiti di conformità alle entità che raccolgono informazioni relative all’identificazione di una persona specifica. Il regolamento coreano non è così distante dal regolamento europeo e anche nel paese asiatico le persone hanno anche il diritto all’oblio, tra gli altri diritti sui dati.
Mentre le organizzazioni, sia nel settore privato che in quello pubblico, sono tenute a conformarsi al PIPA, le agenzie governative che richiedono dati personali, per scopi di interesse pubblico, possono raccogliere e utilizzare i dati senza la necessità di ottenere il consenso dell’interessato e questa è già una grande differenza rispetto al GDPR. In effetti, il governo sudcoreano ha cavalcato proprio questa eccezione per utilizzare in modo efficace i dati dei pazienti COVID-19. La capacità di raccogliere, elaborare e gestire ampiamente i dati personali dei pazienti e dei loro contatti ha consentito alle autorità sanitarie di condurre la ricerca con precisione chirurgica.
Alla scoperta di un caso confermato di Covid-19, in Corea del Sud, le autorità sanitarie conducono un sondaggio epidemiologico per determinare il punto di infezione e possibili contatti stretti. Questo processo inizia con un’intervista e si arricchisce utilizzando i dati delle transazioni con carta di credito, il monitoraggio del telefono cellulare e la TV a circuito chiuso, che possono essere forniti da imprenditori privati e datori di lavoro. Il risultato è una ricostruzione dettagliata ora per ora della posizione dell’individuo nei giorni che precedono la conferma dell’infezione. In alcuni casi, i responsabili del trattamento dei dati possono persino determinare se la persona in questione indossava o no una mascherina in momenti specifici, all’interno di determinati luoghi, suggerendo che i proprietari di attività e i datori di lavoro concedano al governo immagini in grado di rendere identificabili i soggetti ripresi. I contatti più stretti o ritenuti tali, identificati dal monitoraggio epidemiologico vengono così contattati e, se necessario, “testati” e messi in quarantena. Il governo utilizza anche i dati sulla posizione per indicare ai team la disinfettazione delle posizioni in cui si è verificato un caso confermato, come uffici e persino residenze private.
Tutto questo avviene in poche ore. Inoltre, questi dati vengono divulgati al pubblico tramite avvisi che vengono inviati agli smartphone in ogni distretto in cui si è presentato un caso confermato. I singoli distretti gestiscono anche siti web in cui questi avvisi sono archiviati e sono disponibili per la visualizzazione pubblica a tempo indeterminato. L’età, il genere e l’etnia di un caso confermato, nonché il distretto in cui risiede e lavora, sono inclusi in queste informazioni pubbliche. Di conseguenza, non è assolutamente escluso, che questi individui possano essere identificati dai membri della loro comunità.
Si capisce bene come l’efficacia di queste misure siano direttamente correlate a tre fattori determinanti:
- La rapidità di azione;
- L’utilizzo dei dati da parte delle agenzie governative in deroga all’esplicito consenso dell’interessato;
- Un sistema fatto di App, sia di front end che di back end, per l’analisi e la diffusione e l’utilizzo dei dati molto efficiente;
Ognuno di questi fattori, risulta determinate per l’efficacia del sistema e si capisce che, se anche uno solo dovesse mancare o arrivare in ritardo, si perderebbe buona parte dei risultati attesi. Se pensiamo dunque a un utilizzo di questi strumenti in Italia, sorge più di un dubbio, su tutti e tre i fattori, a dire il vero.
Se il primo e il terzo sono in corso di verifica – anche se la mancanza di rapidità di azione, ormai è già un dato di fatto – forse solo il punto relativo al consenso non costituisce un problema.
Come già anticipato, il panorama normativo consente di trattare in modo lecito i dati personali, in particolare il GDPR all’art. 9 deroga il divieto di trattamenti di categorie particolari di dati quando “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero […]”.
Rimane quindi da definire uno specifico atto normativo, nel quale siano delineate le necessarie ed opportune garanzie e tutele del caso, nonché i limiti – non solo quelli temporali – di tale provvedimento.
In questo modo sarà possibile ipotizzare una gestione dei dati personali per queste finalità in deroga al consenso esplicito dell’interessato che è normalmente necessario.
Il punto dolente
Forse, il motivo alla base di queste resistenze è da ricercare nella fiducia che abbiamo nelle modalità di trattamento dei dati ai quali siamo abituati, non sempre rispettosi di quel diritto fondamentale che è la protezione dei dati personali.
Siamo in grado di affermare che lungo tutta la catena di gestione delle informazioni, la protezione dei dati personali – almeno in termini di riservatezza, integrità e disponibilità – sia effettivamente garantita?
Ricordando che una catena è forte quanto il suo anello più debole, forse servirebbe un incremento delle misure di sicurezza sui dati, e non già un loro indebolimento.
È necessario garantire maggiore sicurezza sui trattamenti dei dati personali a tutti i soggetti interessati.
Forse, se da oggi cominciassimo a chiamare questo tema con il suo nome, ossia la protezione dei dati personali, riusciremmo a comprendere meglio il problema, e conseguentemente trovare una soluzione.
E così anche dopo l’emergenza.