Alcune osservazioni sulle app di tracciamento dei contatti e dei contagi alla luce del diritto dell’Organizzazione Mondiale del Commercio
Gianpaolo Maria Ruotolo, Università di Foggia
1. Già da qualche tempo i c.d. big data e l’intelligenza artificiale sono utilizzati per migliorare la qualità dei servizi nel settore pubblico e privato. Per quanto concerne il primo, essi, difatti, possono essere favorevolmente sfruttati da Stati e organizzazioni internazionali per programmare e valutare attività e interventi, e rappresentare un importante strumento di governance: e il settore sanitario è da sempre, in questo senso, uno dei più coinvolti (si veda, ad esempio, il caso del progetto Global Pulse delle Nazioni Unite).
Neppure il tracciamento delle epidemie umane mediante tali strumenti è una novità: applicazioni per seguire il movimento dei contagi sono state efficacemente utilizzate in occasione delle pandemie influenzali e, ancora di più, nel caso di Ebola. Sotto il profilo della sperimentazione, poi, nel Regno Unito, nel 2018, la BBC4 aveva lanciato, assieme ad alcune Università, un programma che provava a tracciare il modo in cui si sarebbe potuto muovere un virus “simulato” mediante una app (“Pandemic”) installata sugli smartphone di gruppi di volontari. Ne fu tratto anche un documentario, ora disponibile online, intitolato “Contagion”.
In occasione della drammatica pandemia di SARS-CoV-2 in atto, molti Paesi hanno già adottato, promosso e diffuso applicazioni informatiche per il tracciamento di contatti e contagi: il governo cinese, in collaborazione con la società della app di pagamento Alipay, ha implementato una app, attualmente in uso in oltre 200 città, che consente ai cittadini di verificare se sono entrati in contatto con persone che hanno contratto l’infezione; a Singapore è stata diffusa TraceTogether ed è stato sviluppato, mediante uno strumento open source, BlueTrace, un protocollo di tracciamento dei contatti; in Colombia è disponibile CoronApp, sviluppata dal governo e già scaricata da oltre 1,5 milioni di utenti; la Repubblica Ceca ha lanciato eRouška (“mascherina digitale”) un software di tracciamento sviluppato da alcuni programmatori locali, che si sono ispirati a quello utilizzato a Singapore; il 13 aprile 2020 la Macedonia del Nord ha lanciato StopKorona!, ed è così divenuta il primo paese dei Balcani occidentali a lanciare una app di tracciamento del COVID-19; il Ghana ha lanciato GH Covid-19 Tracker App, una applicazione sviluppata in concerto dal Ministero della Comunicazione e della Tecnologia e dal Ministero della Salute che si basa su tecnologie di geolocalizzazione per fornire informazioni dettagliate sulle persone che si sono trovate in contesti o posizioni predefinite e individuate come a rischio di contagio; la Norvegia, ancora, si è dotata di Smittestopp, sviluppata dal Governo utilizzando tecnologia Bluetooth e GPS, e in Israele il Ministero della Salute ha lanciato il 22 marzo 2020 HaMagen (“scudo”), una app di tracciamento dei contatti che tiene traccia della posizione di un utente utilizzando uno standard detto Location API (una libreria Java per la realizzazione di applicazioni location-based) e quindi la confronta con i movimenti noti di coloro a cui è stata diagnosticata l’infezione da Coronavirus.
Sono in via di adozione applicazioni analoghe in Regno Unito, dove, alla fine di marzo 2020, l’amministratore delegato di NHSX, l’ente governativo competente per il settore informatico del National Health Service, ha dichiarato che è in via di completamento un’app di tracciamento, la cui opportunità è stata suggerita al Governo da un gruppo di esperti che ritiene che la stessa possa “svolgere un ruolo critico” nell’allentamento del lockdown. App simili sono previste in Irlanda, in Francia (StopCovid), in Australia e Nuova Zelanda (che stanno prendendo in considerazione di utilizzare il medesimo protocollo BlueTrace di Singapore), in Austria e Svizzera. La Russia sta pensando di introdurre un’app di geofencing (un meccanismo che consente di creare una sorta di “recinto virtuale”) per i pazienti con diagnosi di COVID-19 che vivono a Mosca, progettata per garantire che costoro non escano di casa.
Quanto all’Italia si parla già da un po’ di Immuni, un’app prevista dall’art. 6 del decreto legge 28 del 30 aprile 2020, «Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19», ma non ancora operativa.
Tutte queste applicazioni hanno sollevato dubbi di legittimità in merito alla tutela della riservatezza delle persone e al trattamento dei loro dati (al riguardo si vedano, in questo blog, Della Morte e Cirone) e alcune di queste hanno già visto addirittura, sotto questo profilo, il pronunciamento di organi giurisdizionali (ad esempio la Corte suprema israeliana, il 24 marzo 2020, solo dopo aver ottenuto il richiesto controllo parlamentare, ha revocato un’ingiunzione già adottata, che aveva impedito al Governo di utilizzare, senza il visto della Knesset, la succitata app per tenere sotto controllo la diffusione del contagio).
Tutti questi strumenti, peraltro, sollevano alcune questioni anche alla luce del diritto dell’Organizzazione mondiale del commercio (OMC), che vorremmo provare ad esaminare in questo breve scritto. Ci concentreremo, a tal fine, sul solo caso italiano, con la consapevolezza che le considerazioni così sviluppate (o almeno il “metodo” a tal fine utilizzato) potrebbero essere estese, mutatis mudandis, anche agli altri.
2. Immuni, la app italiana per il tracciamento dei contagi, è stata introdotta, come dicevamo, con il decreto legge 28 del 30 aprile, e subito ha provocato le reazioni dell’opinione pubblica e degli esperti, alcuni dei quali hanno invocato la necessaria nazionalità di software e relativi server.
La app è stata selezionata all’esito di una “fast call for contribution” indetta il 23 marzo 2020 e chiusa appena tre giorni dopo, il 26 marzo 2020, rivolta a privati, società ed enti, diretta, appunto, ad individuare le migliori soluzioni digitali e tecnologiche disponibili per il monitoraggio “attivo” del rischio di contagio, in vista dell’adozione, a livello nazionale, di tali soluzioni e tecnologie.
L’ordinanza n. 10/2020 del 26 marzo del Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica COVID-19, quindi, dispone di «procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a.», la quale, così si legge nell’ordinanza, «esclusivamente per spirito di solidarietà e, quindi, al solo scopo di fornire un proprio contributo, volontario e personale, utile per fronteggiare l’emergenza da COVID-19 in atto, ha manifestato la volontà di concedere in licenza d’uso aperta, gratuita e perpetua, al Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica COVID-19 e alla Presidenza del Consiglio dei ministri, il codice sorgente e tutte le componenti applicative facenti parte del sistema di contact tracing già sviluppate, nonché, per le medesime ragioni e motivazioni e sempre a titolo gratuito, ha manifestato la propria disponibilità a completare gli sviluppi informatici che si renderanno necessari per consentire la messa in esercizio del sistema nazionale di contact tracing digitale».
Cerchiamo di valutare il procedimento in parola alla luce del sistema normativo dell’OMC.
Come noto, tale sistema contempla un Accordo sugli appalti pubblici, recentemente rivisto (revised GPA) il quale non è ricompreso nel novero dei c.d. Accordi commerciali multilaterali, coperti cioè da quel principio di single undertaking che ne impone il rispetto a tutti i membri dell’OMC, ma necessita, invece, di una ratifica ad hoc (siffatti accordi, nel sistema in parola, sono notoriamente detti “multilaterali”). Anche qualora tale ratifica dovesse essere adottata, poi, gli impegni di liberalizzazione delle procedure di appalto pubblico si applicherebbero solo ed esclusivamente agli Enti nazionali appaltanti specificamente elencati da ogni singolo Stato, ai soli beni e servizi esplicitamente da questo previsti e nell’ambito di soglie economiche predeterminate dallo stesso.
Con riguardo a tale contesto, quindi, l’Accordo GPA, in applicazione del principio generale di discriminazione, estende, in buona sostanza, all’ambito degli appalti le regole fondamentali degli scambi di merci: obbligo del trattamento generalizzato della nazione più favorita e trattamento nazionale.
E non a caso, nella recente prassi delle limitazioni agli scambi internazionali indotte dalla pandemia, il Vice-Direttore generale dell’OMC, in un discorso pronunciato il 1° aprile 2020, ha auspicato che «Governments in advanced countries should ensure that procurement regulations do not hinder foreign sourcing, make product standards freely available, and expedite approvals of imported supplies. They also need to keep supply chains open and support poor countries hit by COVID-19», nella consapevolezza che «suspend all national public procurement regulations and state-required localisation measures (may) frustrate the cross-border sourcing of essential medical supplies». Ricordiamo pure che l’Accordo GPA, come quasi tutti gli accordi amministrati dall’OMC, contempla una clausola di eccezione generale, la quale permette agli Stati che pur si sono vincolati a liberalizzare sul piano internazionale certe procedure di appalto pubblico, di derogare a siffatti vincoli per proteggere interessi superiori, come quelli di sicurezza nazionale (con riguardo, ad esempio, all’approvvigionamento di armi e munizioni), o per tutelare, tra gli altri beni, la vita o la salute delle persone, degli animali o delle piante, a condizione che tali misure non siano applicate in modo tale da costituire un mezzo di discriminazione arbitraria o ingiustificata tra Membri o una restrizione mascherata al commercio internazionale (art. III GPA); la portata della clausola, analoga ad altre contenute in altri Accordi dell’OMC, e tutte ispirate all’art. XX del GATT (Picone, Ligustro, p. 321 ss.), è stata chiarita dalla prassi applicativa che, in buona sostanza, ha sancito come essa debba esser volta ad evitare discriminazioni e restrizioni surrettizie agli scambi: cfr. WTO Analytical Index).
3. Ora, se si vanno a sfogliare le liste di impegni assunti dall’Italia con riferimento all’Accordo sugli appalti pubblici dell’OMC si nota che: 1) tutti i Ministeri, nonché la Presidenza del Consiglio dei Ministri, rientrano nell’elenco degli enti centrali i cui acquisti sono coperti dall’Accordo stesso (“purchasing bodies”; Annex 1, punto 12); 2) per quanto concerne l’ambito di applicazione materiale, sebbene in tali elenchi non siano ricompresi i servizi “sanitari” in senso stretto, vi sono citati, però, i “telecommunications services” e i “computer and related services” (Annex 5), e con riguardo agli appalti di beni, i “telecommunication equipment” e i “transmission apparatus” (Annex 4); 3) per entrambe le categorie di servizi e di beni la soglia minima di valore determinata dall’Italia per l’appalto perché esso rientri nell’ambito di applicazione del GPA è di 130.00 diritti speciali di prelievo (circa 160.000 euro).
Con riferimento alla procedura di affidamento dello sviluppo di di Immuni indetta a livello governativo, quanto detto sub1) non dà luogo a dubbi interpretativi: i soggetti istituzionali italiani che l’hanno avviata e gestita rientrano tra quelli tenuti – qualora si ravvisi la contemporanea presenza delle altre condizioni – al rispetto degli obblighi di liberalizzazione internazionale degli appalti.
Per quanto concerne il punto 2), poi è necessario risolvere un problema di “qualificazione”: la app Immuni, e tutte quelle analoghe, costituiscono un bene, seppur “liquido”, o un servizio?
Quella della distinzione tra beni e servizi in ambito digitale, è una questione che, nel contesto OMC, si è già posta: mentre alcuni Membri, tra cui gli Stati Uniti, sono da sempre propensi a qualificare esplicitamente tutte le transazioni digitali come scambi di merci, al fine di promuoverne una liberalizzazione più spinta mediante la loro sottoposizione a un apparato normativo più definito ed evoluto quale quello dell’Accordo generale sulle tariffe doganali ed il commercio (GATT) e dell’intero sistema degli scambi di merci, altri, tra cui l’Unione europea, tendono a considerarle invece alla stregua di servizi, anche al fine di sottoporle al sistema à la carte dell’Accordo generale sui servizi (GATS; cfr. infra, par. succ.). Quanto alla dottrina, essa appare abbastanza univocamente orientata nel ritenere applicabili le norme GATT al commercio elettronico “indiretto” (che si verifica nel caso dell’acquisto on-line di prodotti che vengono poi consegnati materialmente) e, invece, quelle del GATS a tutti i servizi digitali che non implichino il download di materiali o la ricezione di oggetti fisici, come quelli offerti, ad esempio, da un motore di ricerca o dai servizi di prenotazione di voli e soggiorni (per una ricostruzione e ulteriori riferimenti ci permettiamo di rinviare qui). Su questo punto il Panel del caso US – Gambling ha chiarito che la modalità della fornitura transfrontaliera (art. I, lett. a) GATS) comprende tutti i possibili mezzi di fornitura di un servizio dal territorio di uno Stato membro dell’OMC al territorio di un altro; pertanto ogniimpegno di accesso al mercato assunto relativamente a tale modalità implica, se non diversamente specificato, il diritto per i fornitori di tutti i Paesi membri di recapitare un servizio attraverso ogni mezzo possibile, ivi compresi quelli informatici; a giudizio del Panel, infatti, questa appare l’unica interpretazione compatibile con il detto principio di neutralità tecnologica, ampiamente condiviso tra i Membri.
Ebbene, alla luce delle considerazioni appena svolte, ci pare di poter considerare le app in esame alla stregua di servizi e quindi coperte dai relativi obblighi di liberalizzazione: ciò potrebbe, almeno in astratto, impedire, ove non altrimenti giustificata, ogni rigida “nazionalità” di app e server, però, come dicevamo, invocata da alcuni (sul rapporto tra regimi nazionali di data protection e sistema commerciale v. Ruotolo).
In merito al punto 3), poi, bisogna cercare di comprendere se un appalto “gratuito”, come quello relativo a Immuni e molti altri suoi omologhi esteri, possa, malgrado questo, rientrare nell’ambito di applicazione dell’Accordo GPA, sotto il profilo del valore. A noi pare che ciò non possa essere escluso aprioristicamente e questo perché i dati che verranno raccolti tramite l’app potrebbero costituire un asse patrimoniale di grande rilievo: ora, pur volendo tralasciare la nota questione della legittimità del conferimento di dati come corrispettivo di servizi (nei rapporti tra privati; cfr. G. Giannone Codiglione), la rilevanza economica dei big datasets in quanto tali è dimostrata, tra l’altro, dal modo in cui si atteggia il diritto della concorrenza che, con riguardo alla loro raccolta, da ultimo, individua un mercato rilevante autonomo rispetto ad altri (ciò che in precedenza non avveniva: si pensi al caso della concentrazione tra Facebook e WhatsApp).
In conclusione la procedura di adozione dell’app Immuni da parte del Governo italiano ci pare rientrare nell’ambito di applicazione dell’Accordo GPA dell’OMC; l’esclusione di operatori commerciali stranieri dalla stessa (e anche dalla raccolta, archiviazione, trattamento dei dati così raccolti), potrebbe essere giustificata, quindi, solo se rispettosa dei parametri previsti dall’eccezione generale di cui all’art. III GPA.
4. Restano alcune osservazioni relative all’inquadramento delle app di tracciamento della pandemia, e, in particolare, quella italiana, nel contesto del sistema multilaterale degli scambi di servizi.
Come già ricordato, il sistema del GATS ha natura à la carte: in esso, accanto a un nucleo di norme di portata generale applicabile a tutti i Membri e relativo al trattamento generalizzato della nazione più favorita, alle c.d. regolamentazioni interne, e all’obbligo di trasparenza (artt. da II a XV GATS), troviamo i più penetranti obblighi di trattamento nazionale (art XV GATS) e accesso al mercato (art. XVII GATS), che vincolano però esclusivamente i Paesi che li hanno esplicitamente accettati con riguardo a specifici settori e modalità di fornitura (modes of supply), indicati nelle rispettive schedules of committments.
Ora, dal momento che, come abbiamo già ricordato, il Panel del caso US – Gambling ha chiarito che la modalità della fornitura transfrontaliera (quella in cui non è previsto lo spostamento né del fornitore né del fruitore del servizio, essendo quest’ultimo a “viaggiare”) è idonea a ricomprendere tutti i possibili mezzi di fornitura di un servizio dal territorio di uno Stato membro dell’OMC al territorio di un altro, ivi compresi quelli digitali, ogni impegno di accesso al mercato assunto relativamente a tale modalità implica, se non diversamente specificato, il diritto per i fornitori di tutti i Paesi membri di poter offrire tale servizio..
Per quanto concerne, poi, le restrizioni agli scambi di servizi digitali, ricordiamo pure come l’Organo d’appello dell’OMC, sempre nella controversia US – Gambling, abbia chiarito che le misure nazionali che comportino un divieto assoluto di fornire un determinato servizio con strumenti digitali, equivalgono a dei «contingenti numerici con limite zero», una forma di restrizione quantitativa che non ammette alcun fornitore straniero su un determinato mercato (restrizione che è vietata, in particolare, dall’art. XVI, par. 2, lett. a), GATS, relativo all’accesso al mercato).
Quindi, al fine di comprendere se vi fosse (anche) un obbligo di liberalizzazione internazionale nel caso del servizio (che sarà) offerto da Immuni ai sensi di queste disposizioni, è necessario procedere a verificare le liste di impegni assunti dall’Italia nel contesto GATS.
Esse, reperibili sul sito dell’OMC, evidenziano l’esistenza di obblighi di liberalizzazione in materia di “health related and social services” e di “telecommunications services”; qualora tra questi si dovesse ritenere ricompreso il tipo di servizio offerto da Immuni (come a noi pare), quindi, la sua esclusione dagli obblighi di liberalizzazione potrebbe essere giustificata, come già per gli appalti, dalla clausola di tutela della salute e della vita di persone, animali e piante (che, nel sistema GATS, è contenuta nell’art. XIV).
Questa clausola, però, come abbiamo visto accadere con riguardo al suo omologo nel GPA, impone agli Stati di non applicare le eccezioni alla liberalizzazione «in a manner which would constitute a means of arbitrary or unjustifiable discrimination between countries where like conditions prevail, or a disguised restriction on trade in services». E con riguardo, in particolare, alla raccolta e alla gestione dei dati da parte della app di tracciamento, si tratta di un elemento che sarà possibile verificare in concreto solo nel momento in cui Immuni inizierà ad operare e ne saranno resi noti i particolari.
No Comment