Coronavirus, tra tutela della salute pubblica e tutela della privacy

Intervista al Prof. Ugo Pagallo, docente del Dipartimento di Giurisprudenza dell'Università di Torino

È possibile far coesistere la tutela della privacy con la salute dei cittadini in questo momento di emergenza sanitaria? Come funziona la famosa app Immuni che dovrebbe tracciare gli spostamenti degli italiani? Ne abbiamo parlato con il Prof. Ugo Pagallo, docente del Dipartimento di Giurisprudenza dell'Università di Torino.

Perché è importante la tutela della privacy in un momento in cui l'interesse generale è quello di proteggere la salute pubblica?

Perché la privacy è un nostro fondamentale diritto, umano e costituzionale, come tale sancito dall’Articolo 8 della Convenzione Europea sui diritti umani del 1950; dall’Articolo 7 (complementato dall’8 sulla protezione dati personali) della Carta dei diritti fondamentali dell’Unione europea del 2000; e, purtroppo, solo in parte dalla Costituzione italiana (dove viene riportato all’Articolo 2 sui diritti inviolabili dell’uomo). In ogni modo, l’idea di fondo è che in nome della protezione della salute pubblica non si possa semplicemente sopprimere la tutela della privacy e dei dati personali. Piuttosto, come suggerito dalla giurisprudenza delle Alte corti europee, occorre saper bilanciare la tutela dei due diritti.

Prende sempre più corpo la possibilità di tracciare gli spostamenti dei cittadini per monitorare i contatti con possibili infetti o focolai di infezione. Questa è una misura che secondo lei supera i limiti della tutela delle libertà personali? Si possono far convivere le due istanze? E come?

Ecco un caso per approfondire l’idea giuridica di bilanciamento. Da un lato, possiamo ammettere che i nostri dati siano raccolti e trattenuti per ragioni di emergenza, ad esempio, negli ultimi vent’anni, per via dell’emergenza terroristica. Ne venne fuori, nel 2006, la direttiva europea 24 sulla ritenzione dei dati. D’altra parte, l’emergenza, anche quella sanitaria, non giustifica qualsiasi restrizione del diritto alla protezione dei dati, tant’è vero che la Corte europea di Lussemburgo dichiarò poi quella direttiva invalida. Questo per dire che l’attuale dibattito sugli applicativi tecnologici di rintracciamento (del virus come delle persone) non si svolge in un vuoto pneumatico. Qualsiasi “possibilità di tracciare gli spostamenti dei cittadini”, per tornare alla sua domanda, deve rispettare, per cominciare, le disposizioni del regolamento europeo sulla protezione dei dati personali, il cosiddetto GDPR. Senza entrare nel dettaglio di una normativa per molti versi complessa e controversa, basti dire che il considerando 46 del GDPR menziona lo scenario di trattamenti di dati personali per fini umanitari (sebbene il regolamento limiti il riferimento alle epidemie). Ebbene, anche in questi casi, i responsabili del trattamento sono tenuti al rispetto di alcuni principi, ad esempio, in materia di finalità del trattamento e messa in sicurezza informatica del sistema che tratta i dati. Il regolamento stesso suggerisce come applicativi di tracciamento possano essere compatibili con le condizioni di legittimità del trattamento previste dal GDPR, ad esempio, con l’Articolo 25 sui principi della privacy by design, e by default. Le due istanze della salute pubblica e la protezione dei dati personali possono così andare a braccetto anche, se non soprattutto, per via sperimentale, come stabilito tra l’altro dall’Articolo 35 del GDPR. Si tratta dell’articolo che impone una valutazione preventiva sull’impatto che l’impiego di nuove tecnologie su vasti gruppi di persone può comportare per la protezione dei loro dati.

Parliamo dell'App Immuni nello specifico. Vittorio Colao, il capo della task force per la Fase due, sostiene che, qualora l'app venga utilizzata, non ci sarà violazione della privacy da parte dello Stato perché si è scelto di adottare un sistema non centralizzato. Qual è la sua opinione? E che differenza c'è tra l'adozione di un sistema centralizzato e non?

Diciamo che l’alternativa tra sistema centralizzato e non centralizzato è solo uno dei tre aspetti rilevanti in questa discussione; dunque, per mettere le cose in giusta prospettiva, conviene brevemente rendere il quadro d’assieme. Quando si è cominciato a discutere in Italia sulla benedetta App, e poi su Immuni, l’attenzione è andata ora all’uso volontario o obbligatorio di qualsivoglia dispositivo; ora alla natura libera (open source) o proprietaria del sistema di tracciamento; ora, all’adozione di una architettura centralizzata o de-centralizzata per il tracciamento. Ho fatto parte del gruppo di esperti che, il 20 aprile scorso, ha rivolto alle Autorità un invito ad adottare l’uso volontario di algoritmi open source de-centralizzati da parte della popolazione. Naturalmente, poi, il diavolo è nel dettaglio giuridico e ingegneristico. Ci sono infatti molti modi per creare architetture non centralizzate (cui si sommano ulteriori problemi per la distribuzione del flusso di dati e informazioni). L’entrata in campo ad aprile di due colossi come Apple e Google ha poi sparigliato le carte di molti stati nazionali, di fatto sottraendo, potenzialmente, a questi ultimi molto del controllo sui dati raccolti dalle app che aspiravano, o aspirano tuttora, ad avere. Quali siano le scelte politiche italiane nel dettaglio, allo stato, non è dato sapere, salvo che Immuni sia, appunto, “de-centralizzato”. Oltre alla scelta sul design di tracciamento dei contatti proposto da Apple e Google, bisognerà però capire come sarà precisata la finalità del trattamento dei dati attraverso il sistema applicativo, come sarà tarata la minimizzazione di tali dati, quale la durata della loro conservazione, ecc. Prima di giudicare, attendiamo dunque di conoscere il dettaglio delle scelte (politiche, giuridiche e informatiche) che si materializeranno con Immuni e con la valutazione preventiva sull’impatto che tale applicativo può avere sui diritti e libertà delle persone, ad esempio, a proposito del trattamento automatico dei dati e il diritto a un intervento umano per quel trattamento, ai sensi dell’Articolo 22 del GDPR.

La strategia delle famose 3 T (testare, tracciare e trattare) è l'unica possibile?

L’unica possibile per cosa? Mi pare che, per cominciare, sia utile distinguere tra l’emergenza ancora in corso e la ricostruzione del sistema sanitario, non solo italiano, a partire da questa crisi. In fondo, siamo una società sciaugurata su scala mondiale se, all’atto pratico, abbiamo semplicemente fatto finta di niente dopo la precedente crisi SARS tra il 2002 e il 2004, o la pandemia suina messicana del 2009. C’è da augurarsi solo che la lezione sia stata imparata. Nel futuro prossimo, avremo sistemi d’intelligenza artificiale che ci aiuteranno a difenderci dagli attacchi virologici, pur rispettando i nostri diritti fondamentali, come il trattamento dei dati personali o la privacy. Un collega canadese, Yoshua Bengio, ha recentemente proposto un modello di apprendimento meccanico supervisionato per tenere sotto controllo il fattore di riproduzione del virus. Naturalmente, COVI, com’è stato chiamato il modello, ha suscitato già vive discussioni: uno dei problemi fondamentali da affrontare riguarda la “qualità dei dati” (anche nel caso di Immuni). In ogni modo, questa è la direzione da seguire: come altri fenomeni dell’emergenza, come quella ambientale o quella terroristica, anche i virus sono fenomeni complessi, di natura transnazionale, che mettono alla prova la nostra migliore tecnologia. È una peculiarità della nostra era che opportune soluzioni tecniche per il ciclo di raccolta, trattamento e uso di dati da parte di algoritmi, o reti neurali, possa trovare la quadra per molteplici problemi politici e giuridici di bilanciamento, tra diritti e interessi pubblici, come nel caso del diritto alla privacy e la tutela della salute pubblica. Ho già ricordato il documento di recente sottoscritto con alcuni colleghi ed esperti circa la necessità di avere un applicativo non solo a norma del GDPR, ma con ulteriori garanzie come la trasparenza del sistema con cui i dati sono raccolti. Dovrebbe essere chiaro che gli applicativi di cui si parla non sono applicativi di tracciamento, quasi un fine a se stesso, bensì, funzionali al controllo del virus, e quindi, tornando alla sua domanda, funzionali a tali finalità, come la necessità di testare le persone, se necessario (ma anche qui con tutte le garanzie e tutele giuridiche del caso). Se devo dirla proprio tutta, meglio nessun applicativo che un applicativo cattivo, o fuori legge.

#unitohomecommunity

Ulteriori approfondimenti cliccando qui