Nei giorni scorsi POLITICO.EU ha divulgato la notizia di una videoconferenza intervenuta tra il Commissario UE Thierry Breton ed i rappresentanti delle maggiori società di telecomunicazioni europee, tenuta per valutare un’azione delle istituzioni UE di raccolta e analisi di metadati – in forma anonima – tratti dall’uso dei telefoni cellulari di centinaia di milioni di cittadini europei al fine di monitorare in tempo reale la diffusione sul territorio del COVID-19.
Conferma di questa iniziativa in corso viene anche dal parere che il Garante Europeo (EDPS), a seguito della specifica richiesta ricevuta, ha fornito per iscritto alla Commissione.
L’EDPS ha sottolineato innanzitutto che, mentre l’anonimato delle informazioni trattate esclude l’applicabilità della normativa vigente in materia di trattamento dei dati personali (GDPR ma anche Direttiva e-Privacy), non esclude invece assolutamente il vigore degli obblighi di sicurezza dei sistemi di comunicazione e informazione della Commissione stessa, stabiliti dalla Dec. Comm. UE 2017/46: da ciò discende in particolare che anche tutti i terzi che tratteranno le informazioni per conto della Commissione saranno soggetti agli stessi obblighi e che bisognerà garantire la sicurezza anche delle trasmissioni di queste informazioni.
Gli altri aspetti evidenziati dall’EDPS sono gli obblighi di trasparenza, verso il pubblico, delle finalità e modalità di realizzazione dell’azione avviata e la necessità di concepire sin dall’inizio l’azione di monitoraggio quale attività del tutto straordinaria, legata all’emergenza: dunque, al cessare dell’emergenza le informazioni acquisite dagli operatori telefonici dovranno essere immediatamente cancellate.
Certo, paiono condivisibili i dubbi sulla effettiva utilità di questa iniziativa, che richiede tempo per la sua progettazione e che si rivolge ad un territorio in cui ormai parecchi Paesi hanno attivato procedure di lockdown che annullano in pratica qualsiasi movimento dei cittadini (e di conseguenza dei loro cellulari…).
In ogni caso, anche al di là della contingenza di questa specifica iniziativa, e per una volta del tutto a prescindere da valutazioni tecniche concernenti la protezione dei dati personali, credo che debba essere sollevato anche in termini più generali qualche dubbio sostanziale sulla effettiva attendibilità di misure di “tracciamento” dei dispositivi mobili utilizzate al fine di monitorare il virus o l’effettivo rispetto della quarantena o anche degli obblighi di non uscire dal proprio Comune e quant’altro controllo di adempimento o di efficacia di misure di contenimento del COVID-19.
Esiste infatti una profonda differenza tra tracciare un dispositivo e tracciare una persona: nulla garantisce che il telefono mobile segua sempre la persona, o che sia sempre rintracciabile, o che non venga utilizzato da persone diverse in occasioni differenti.
Anche in Italia in questi giorni quello del “contact tracing” è un argomento ampiamente dibattuto, che vede ripetute dichiarazioni alla stampa da parte del Garante: in tutte, si ribadiscono i concetti espressi dall’EDPS e prima ancora dall’EDPB (si veda la versione tradotta in italiano sul sito del Garante), e la preoccupazione pare essere essenzialmente quella di rimarcare la differenza tra il nostro ordinamento e quelli che stanno dando luogo a monitoraggi massivi (Cina, Corea del Sud, Giappone, Israele…), evidenziando che nel contesto europeo la normativa offre gli strumenti per contemperare la protezione dei dati personali con una efficace tutela della sanità pubblica.
Allo stato, però, non si è ancora parlato delle modalità tecniche con cui si attuerebbe “l’uso dei dispositivi mobili dei cittadini per la mappatura e il tracciamento dei soggetti entrati in contatto con persone infette“, per conoscere le quali probabilmente dobbiamo attendere lo “scrutinio” delle proposte arrivate al Ministero della Salute a seguito della call, aperta lunedì 23 e chiusa ieri, relativa alla “Disponibilità di tecnologie e strumenti che, nel rispetto della normativa vigente, consentano o facilitino il monitoraggio, la prevenzione e il controllo del Covid-19, in termini di:
- tecnologie e strumenti per il monitoraggio, la localizzazione e la gestione dell’emergenza;
- tecnologie innovative per la prevenzione e il controllo della diffusione del Covid-19 nelle sue diverse forme“,
e più specificamente a “tecnologie e soluzioni per il tracciamento continuo, l’alerting e il controllo tempestivo del livello di esposizione al rischio delle persone e conseguentemente dell’evoluzione dell’epidemia sul territorio”.
Sia che alla base di questo tracciamento vi sia la volontaria installazione e attivazione di app da parte dei cittadini, sia che invece intervenga un atto con forza di legge che prescinda dal consenso degli interessati, resta però il fatto che la separazione tra persona e dispositivo mobile rende l’uso esclusivo di questi strumenti una soluzione del tutto inadeguata a raggiungere – di per sé – gli obiettivi di controllo proposti: per raggiungerli, infatti, dovrebbe essere garantita la disciplinata collaborazione di tutti i cittadini.
Ciò che può accadere dunque è di acquisire informazioni distorte, incomplete, addirittura false: il soggetto obbligato alla quarantena risulta averla violata, mentre ad uscire è stato un familiare… con il telefono monitorato. Oppure, viceversa, il soggetto obbligato alla quarantena esce ma senza telefono, o con il telefono schermato. In questi casi, le informazioni ottenute non sono attendibili.
Lo stesso accadrebbe anche se si operasse – come nel caso descritto dell’iniziativa UE – attraverso la pura raccolta di metadati anonimi per valutare la diffusione del virus: la persona fisica gestisce il proprio dispositivo mobile come meglio ritiene, e nulla garantisce quale sia la percentuale di spostamenti che vengono effettivamente tracciati.
Nei Paesi in cui questi sistemi sono stati applicati con successo, il monitoraggio è sostenuto dall’integrazione di strumenti diversi: incrocio di big data, comprese informazioni sulla salute e sugli spostamenti, telecamere intelligenti, che non solo identificano le persone anche se indossano la mascherina ma ne rilevano anche la temperatura corporea, caschi intelligenti in uso alle forze di polizia, TAC che in pochi secondi diagnosticano la presenza del virus e comunque l’uso di processi decisionali automatizzati per cui le app classificano i cittadini (perfettamente identificati) assegnando restrizioni di accesso agli spazi pubblici o l’obbligo di quarantena, e li avvisano quando entrano in contatto con un potenziale contagiato.
In Italia, attualmente, l’unico supporto tecnologico è costituito dall’uso di droni, autorizzato dall’ENAC il 23 marzo scorso fino al prossimo 3 aprile, per le attività di monitoraggio degli spostamenti dei cittadini sul territorio comunale (ai sensi dei DPCM 8 e 9 marzo 2020).
Insomma, certamente la normativa europea in materia di protezione dei dati personali contiene in sé tutti gli elementi per operare in modo efficace in questo gravissimo momento di emergenza, contemperando protezione dei diritti e libertà fondamentali delle persone fisiche e l’uso di tecnologie adatte a contrastare il COVID: la speranza è che chi è chiamato a decidere il come sia in grado di effettuare scelte rapide, nette, coraggiose e soprattutto consapevoli.
Perché a proclamare i principi generali siamo bravi tutti, ma a saperli applicare in un contesto del genere in modo rigoroso ma efficiente ed efficace, combinando con competenza e consapevolezza misure tecniche, organizzative e strumenti giuridici, sono in pochissimi.