Non sovrastimiamo il ruolo della privacy nella lotta al virus
La politica è ormai lanciata nella corsa a chi la spara più grossa in tema di privacy e Coronavirus, e non passa giorno che non si registri una richiesta di rimozione o sospensione della norme in vigore. In pratica, qualche politico vuole farci credere che la soluzione al Coronavirus sia lì, a portata di mano, ma l’ostacolo sarebbe invece costituito da questo set di norme misteriose che ci viene ricordato nei momenti più disparati della giornata, dalla registrazione in un albergo ai test di intelligenza (o di stupidità, a seconda del punto di vista) su social. Evidentemente la realtà circa la lotta al Coronavirus è differente e ben più complessa, ma tuttavia nei momenti di crisi (e di audience) alla politica piace molto giocare sulla semplificazione.
(Nella foto: Innocenzo Genna, esperto di regolamentazione e politica digitale europea)
Innanzitutto, come già ricordato da varie autorità sia europee che nazionali, le normative sulla privacy, in particolare il GDPR europeo (che si applica dal maggio 2018) e la la legge italiana, cioè il decreto legislativo 196/2003, già prevedono delle clausole che, in situazioni di crisi e di epidemia, consentono l’intervento delle autorità pubbliche per acquisire i dati dei cittadini ed eventualmente monitorarne gli spostamenti. Le stesse autorità privacy hanno però ricordato che queste attività di trattamento dei dati e sorveglianza degli individui devono avvenire in un contesto giuridico certo: in sintesi, deve trattarsi di misure proporzionate ed adeguate, e soggette a controllo giurisdizionale.
In altre parole, non è ammesso l’uso indiscriminato dei dati personali degli individui, ma solo quelli rilevanti per lo scopo, e cioè la lotta alle epidemie. Gli stessi dati non possono inoltre essere trattati per scopi diversi (ad esempio: verifiche fiscali o patrimoniali) ed in ogni caso devono essere distrutti non appena diventino inutili. Si tratta di regole di ragionevolezza per le quali non vi è ragione di abdicare neppure in epoca di epidemia.
La bufala secondo cui la privacy sarebbe un ostacolo alla lotta alle pandemie deriva da una serie di semplificazioni riguardanti l’espandersi del Coronavirus in Asia, dove è stato detto che le tecniche di monitoraggio siano state facilitate da normative blande sulla privacy. In verità le cose non stanno così: è vero che molti paesi asiatici hanno una cultura recente in materia di privacy, ma negli ultimi anni quasi tutti (inclusi Corea, Giappone, Singapore e Taiwan) hanno fatto passi in avanti, persino prendendo con termine di paragone il GDPR europeo. Ma il GDPR, come abbiamo detto, non impedisce misure emergenziali di tracciamento degli individui, purché ciò avvenga in un contesto giuridico certo e con delle garanzie per gli individui.
La Cina è un ulteriore esempio fuorviante. In un paese dove la sorveglianza massiccia della popolazione è già un fatto di sistema, i sistemi digitali di tracciamento contribuiscono poco rispetto allo spiegamento capillare di videocamere, lo sviluppo delle tecnologie di riconoscimento facciale ed in generale l’intrusività della sorveglianza statale.
Tornando agli altri paesi asiatici, la Corea del Sud è quella dove l’uso dei dati personali e le applicazioni di tracciamento hanno avuto maggior uso, ma purtuttavia è ancora presto per giudicare quanto tali tecnologie siano state effettivamente utili nella lotta al Coronavirus, rispetto alle altre misure prese. In Giappone il contenimento dell’epidemia è avvenuto, fino ad ora, senza il ricorso a particolari tecnologie ma facendo conto su buone abitudini pre-esistenti alla crisi: frequenti lavaggi di mano, pochi contatti fisici, cambi di scarpe ed abiti al rientro a casa ecc.. Anche Taiwan sta controllando bene il diffondersi dell’epidemia, ed in quel caso sembra giocare un ruolo preminente un’organizzazione statale già predisposta al contenimento dei virus: controlli rigorosi alle frontiere ed organizzazione sanitaria.
Si vede che la vicinanza con la Cina ha insegnato qualche cosa. Israele rappresenta un caso simile a Taiwan, dove però l’attenzione alle epidemie non è dovuto alla presenza di un vicino ingombrante, bensì alla comprensibile ossessione per la sicurezza nazionale. Israele ha fin da subito adottato rigorose politiche di contenimento, isolando il paese dal resto del mondo ed imponendo draconiane misure di quarantena; allo stesso tempo ha annunciato di aver chiesto agli operatori mobili i dati circa gli spostamenti dei cittadini, nonché la sperimentazione di app di geolocalizzazione (Israele è il paese di Waze, non dimentichiamolo).
Quanto sopra ci porta a concludere che il trattamento dei dati e le tecnologie di tracciamento dei dati sono destinate a svolgere un ruolo crescente nella lotta alle epidemie, ma la loro efficacia non deve essere sovrastimata rispetto alle misure più classiche di contenimento: controlli alle frontiere e sanitari, obblighi di quarantena, regole igieniche e sociali. Proprio tale perdurante incertezza circa l’effettiva utilità del tracciamento tecnologico ci deve far riflettere prima di richiedere l’abolizione o la sospensione delle regole sulla privacy. Va bene fare delle eccezioni alla privacy in favore della salute pubblica, ma perché esattamente, e con quali risultati?
Le esperienza raccolte fino ad ora (soprattutto Israele, Corea del Sud e Singapore) ci portano innanzitutto a concludere che le tecnologie di tracciamento possono funzionare solo dove siano accettate dalla popolazione, e non vengano invece subite come una sorta di punizione o di inaccettabile sorveglianza statale. E’ infatti molto difficile che le persone possono accettare controvoglia di farsi tracciare con delle app, potendo mettere in pratica innumerevoli e facili pratiche elusive. Le persone devono essere convinte circa la bontà e la civiltà di tali tecnologie, e soprattutto dalla loro sicurezza: in tal caso, proprio le regole sulla privacy costituiscono un valido baluardo per il cittadino sorvegliato, che potrà quindi essere garantito dai potenziali abusi (ad esempio, l’uso dei dati da parte di un’amministrazione statale diversa da quella sanitaria).
Resta la possibilità per i governi di analizzare (in tempo reale o ex post) il traffico telefonico e le relative informazioni di geolocalizzazione. Quando trattasi di dati anonimizzati ed aggregati, il GDPR neanche si applica. Se invece si volesse tracciare un telefonino in particolare, in tal caso l’art. 15 della Direttiva ePrivacy stabilisce una serie di regole di garanzia che permettono allo Stato di andare avanti. Tuttavia, anche l’efficacia pratica di queste tecniche di sorveglianza individuale non può essere sovrastimata: la precisione delle celle telefoniche, pur se migliorata con delle tecniche di triangolazione, è relativa ed in ogni caso non è possibile né utile, allo stato, pensare di tracciare una moltitudine di individui. Un conto sono le investigazioni da hoc nei confronti di un potenziale criminale (magari inconsapevole di essere tracciato), un conto sarebbe un sistema di tracciamento massiccio di persone bene informate della situazione e che, se del caso, possono decidere di lasciare il telefono a casa.
Di Innocenzo Genna, fonte HuffingtonPost