Dati di geolocalizzazione, dati sanitari, modelli di diffusione delle epidemie, database aperti di articoli scientifici. Nel momento eccezionale che stiamo vivendo, ogni mezzo atto a contenere il contagio può apparire non solo desiderabile, ma lecito. E le prerogative e i diritti che “prima” eravamo abituati a considerare limite inviolabile ora sono, nella percezione diffusa, poco più che una zavorra.
Mai come oggi, del resto, la labilità del confine tra online e offline si è rivelata in tutta la sua evidenza. Quanto più angusto è lo spazio fisico che abitiamo (la nostra casa che è diventata, in tempi di quarantena, la totalità della geografia percorribile, salvo quei “casi di necessità” entrati ormai nel nostro lessico familiare), tanto più smisurata è l’estensione delle attività, relazioni, impegni che soltanto l’online ci permette di tenere in piedi. Ed è perciò soltanto naturale che il primo diritto ad essere messo in discussione sia quello alla privacy.
Un pacato invito alla ragionevolezza viene però da Andrea Jelinek, a capo dell’European Data Protection Board (EDPB): “Le norme sulla protezione dei dati (come il GDPR) non ostacolano le misure prese nella lotta contro la pandemia di coronavirus. Tuttavia, vorrei sottolineare che, anche in questi tempi eccezionali, il responsabile del trattamento dei dati deve garantire la protezione dei dati personali degli interessati. Pertanto, una serie di considerazioni dovrebbero essere prese in considerazione per garantire il trattamento legale dei dati personali”.
Il GDPR, infatti, di per sé offre numerose basi giuridiche che possono essere utilizzate per poter trattare dati personali come presupposto di misure atte a contenere il contagio. Il trattamento è ad esempio giustificato se: “necessario per motivi di interesse pubblico nel settore della sanità pubblica” (art. 9(2)(i) GDPR); “necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica” (artt. 6(1)(d) e 9(2)(c) GDPR); o “necessario per adempiere un obbligo legale” (artt. 6(1)(c) e 9(2)(b) GDPR).
Per il trattamento dei dati di comunicazione elettronica, come i dati sulla posizione mobile, si applicano regole aggiuntive, precisa ancora l’EDBP. Le leggi nazionali di attuazione della Direttiva ePrivacy prevedono il principio secondo cui i dati di localizzazione possono essere utilizzati dall’operatore solo quando sono resi anonimi o con il consenso degli interessati, al fine di costruire in tempo reale report sulla concentrazione di individui in una data area geografica.
Quando non è possibile trattare solo dati anonimi, l’art. 15 della Direttiva ePrivacy consente agli Stati membri di introdurre misure legislative per la sicurezza nazionale e pubblica. Questa legislazione di emergenza è possibile a condizione che costituisca una misura necessaria, adeguata e proporzionata all’interno di una società democratica.
Il progresso tecnologico, del resto, mentre rende sicuramente più capillare la capacità di sorveglianza, allarga anche i confini di ciò che è possibile fare bilanciando in modo adeguato sicurezza e diritto alla privacy. È ad esempio possibile ricorrere alla differential privacy, un insieme di tecniche matematico-statistiche in grado estrarre informazioni da dataset di dati personali senza tuttavia esporre i dati in sé, e in modo resistente alla deanonimizzazione.
È importante anche tener presente che il soggetto pubblico potrebbe non essere in grado di gestire le tecniche di modellizzazione necessarie, e che la necessità di rivolgersi al mercato (com’è normale e anche auspicabile in processi che comportano un grado elevato di innovazione). Questo aspetto, in sé certamente non negativo, va però integrato opportunamente in una governance dei dati disegnata sulla scorta dei principi fondamentali: minimizzazione, privacy by design, adeguatezza alle finalità del trattamento.
Gli operatori di telecomunicazioni, ad esempio, hanno offerto il proprio supporto ai soggetti pubblici per agevolare la comprensione degli spostamenti delle persone specialmente nelle aree “calde”, utilizzando “wherever technically possible, and legally permissible” dataset di dati anonimizzati. Una “heat map” è stata così generata per la Lombardia ed ha permesso di dedurre che il 40% della popolazione era tuttora in movimento.
Fin qui siamo nel perimetro di ciò che il quadro normativo attuale consente. Se invece dovessimo ravvisare la necessità di fare un passo oltre, e voler giungere a costruire un profilo di rischio abbinato a un “diario degli spostamenti” per tutti i soggetti presenti all’interno di un dato territorio, dovremmo necessariamente ripensare il modo in cui, almeno in Europa, intendiamo il diritto alla privacy. Diventa infatti necessario, a quel punto, un certo grado di impiego di dati non più anonimizzati.
In tale ipotesi, si possono abbastanza agevolmente sviluppare ed applicare modelli matematici in grado di valutare le modalità (teoriche) di propagazione/diffusione del contagio in ciascuna “configurazione” sociale (una piazza, una stazione, un tribunale, …), partendo da un “rating” di rischio assegnato a ciascuno dei soggetti coinvolti nella configurazione ed aggiornando poi quello stesso coefficiente, di volta in volta e sempre per ciascun soggetto, in base all’output del modello stesso ed attraverso un meccanismo di feedback. Si costruisce così una “storia del rischio” di ciascun soggetto che a sua volta va a perfezionare il modello stesso.
Un modello particolarmente evoluto (e particolarmente perverso dal punto di vista della tutela della privacy…) potrebbe addirittura prendere in considerazione informazioni provenienti da altri contesti (social network, ad esempio) per tracciare un profilo comportamentale per ciascun soggetto (quanto e come si muove, quanto è suscettibile di aderire ad eventuali misure previste dalle autorità sanitarie) da usare a sua volta come parametro per il calcolo del coefficiente di rischio.
Non solo: un rischio elevato (o addirittura una positività ad un test clinico) per il soggetto X potrebbe attivare un’analisi ex-post di tutti i contesti in cui X è stato rilevato e ricostruire così la storia dei contatti. In caso di saturazione della capacità di somministrare il test a questi ultimi, sarebbe anche possibile, attraverso lo studio dei coefficienti di rischio individuali, gestire scaglioni di priorità.
In Israele, ad esempio, Benjamin Netanyahu ha dichiarato che “ogni mezzo potrà essere usato per combattere la diffusione del coronavirus, compresi i mezzi tecnologici, i mezzi digitali e altri mezzi che fino ad oggi mi sono astenuto dall’utilizzare tra la popolazione civile”. E non c’è dubbio che il Premier si riferisca all’uso della geolocalizzazione da mobile per tracciare, anche retroattivamente, i movimenti dei pazienti risultati positivi al COVID-19 o per verificare se avessero violato un ordine di quarantena.
La più efficace arma di sorveglianza resta l’uso del dato aggregato applicato al singolo, non del dato individuale in sé.
Ad ogni modo, pur ammettendo che in un contesto di eccezione sia giustificato l’impiego di ogni mezzo possibile atto a contenere il contagio, vanno evitati approcci come quello che il Washington Post ha denunciato per la Corea del Sud: la divulgazione di dati relativi ai contagiati attraverso portali pubblici, in un gigantesco panottico che non ha mancato di solleticare il voyeurismo di molti.
Concludendo, mi chiedo se la sola strada per uscire dall’emergenza sia invocare a gran voce lo stato d’eccezione, quella condizione di sospensione dello spazio dei diritti, della cogenza del nomos, che Carl Schmitt e (da noi) Giorgio Agamben hanno descritto.
Posto che combattere una pandemia con ogni mezzo disponibile è e deve restare priorità assoluta, mi chiedo se non sia ancora alla nostra portata la capacità di difendere nello stesso tempo i fondamenti dello stato di diritto.
