L’App italiana di contact tracing alla prova del GDPR: dall’habeas data al ratchet effect il passo è breve?
Enza Cirone, Dottoranda di Ricerca, Università di Firenze
1. «[N]on tutto ciò che è tecnologicamente possibile è anche socialmente desiderabile, eticamente accettabile e giuridicamente legittimo» (Rodotà, 2004). Le parole dell’allora Garante italiano per la protezione dei dati personali Stefano Rodotà risultano particolarmente calzanti rispetto all’istituzione in Italia, per mezzo del decreto legge 30 aprile 2020, n. 28, di una piattaforma unica nazionale per la gestione di un sistema di allerta COVID-19 per tutti coloro che installeranno l’app ‘Immuni’ (Ordinanza n.10/2020 del Commissario straordinario per l’emergenza Covid-19).
Sebbene l’app non sia ancora operativa, sono molti i dubbi, supportati da evidenze scientifiche (si v. qui e qui), sulle potenzialità di questo strumento, la cui efficacia presuppone il download da parte di un’alta percentuale di utenti (cfr. qui; sull’utilizzo di simili app in altri Stati, si v. Ruotolo in questo blog). Anche sotto il profilo tecnico-informatico sussistono delle criticità, ad esempio circa la possibilità che l’eterogeneità del segnale bluetooth tra i diversi dispositivi limiti l’efficacia del sistema, ma anche riguardo la capacità dell’app di funzionare in background.
Questo contributo si concentra sul profilo della ‘legittimità giuridica’ dell’app italiana di contact tracing, alla luce delle fonti di diritto dell’Unione europea e italiane in materia di protezione dei dati (su tali fonti, nonché su quelle di diritto internazionale rilevanti, si v. Della Morte in questo blog). Particolare attenzione sarà riservata anche alle Linee Guida 4/2020, adottate il 21 aprile 2020 dal Comitato europeo per la protezione dei dati personali, che enucleano i principi cui dovrebbe ispirarsi l’utilizzo da parte degli Stati membri di sistemi di contact tracing (sul tema, si v. anche gli atti – anch’essi di soft law – emanati dalla Commissione europea e dal Parlamento). In particolare, l’analisi della legittimità del sistema di allerta sarà condotta alla luce di alcuni principi chiave del GDPR, ripresi anche dalle Linee Guida, quali il principio di liceità, di limitazione della finalità, di minimizzazione dei dati, di limitazione della conservazione e di privacy by design (v. infra, par. 3).
2. All’analisi del profilo considerato è utile premettere che il bilanciamento tra i diritti fondamentali alla protezione dei dati e alla protezione della salute, entrambi sanciti a livello di diritto primario dell’Unione, dagli artt. 8 e 35 della Carta dei diritti fondamentali (di seguito, “Carta”), deve muoversi entro la cornice dell’art. 52, par. 1, di quest’ultima. Tale clausola generale consente solo le limitazioni che «rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui», a condizione che siano «previste dalla legge», rispettino «il contenuto essenziale di detti diritti e libertà», e siano altresì necessarie e proporzionate rispetto all’obiettivo perseguito (per una panoramica sulla giurisprudenza della CGUE sul trattamento dei dati personali, si rimanda a Rossi dal Pozzo, 2019).
Invero, lo stesso legislatore europeo ha previsto la possibilità, all’interno del Regolamento generale per la protezione dei dati personali (di seguito, “GDPR”), di introdurre alcune limitazioni al diritto alla protezione dei dati in favore della protezione della salute (si v. i considerando 46, 53, 54, e gli artt. 9 e 23). In particolare, in linea con l’art. 52, par. 1, della Carta, l’art. 23 GDPR sancisce che il diritto alla protezione dei dati personali può essere limitato solo da misure necessarie e proporzionate in una società democratica per salvaguardare «altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse […] di sanità pubblica […]». Il ‘considerando’ 46 precisa che i trattamenti di dati personali necessari «per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione» possono rientrare tra quelli rispondenti «sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato». A ciò si deve aggiungere che l’art. 9 del GDPR stabilisce un generale divieto di trattamentodelle cd. particolari categorie di dati, nelle quali rientrano i «dati personali relativi alla salute», intesi, ai sensi del ‘considerando’ 35, come «tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso». Detto divieto, trova, tuttavia, eccezione nell’elenco di cui al paragrafo 2 dello stesso art. 9, che, alla lettera i), autorizza il trattamento di questi particolari dati anche per motivi di interesse pubblico nel settore della sanità pubblica.
Il quadro normativo europeo di riferimento non preclude, quindi, la previsione di misure limitative del diritto alla protezione dei dati personali che, al contrario, come ricorda il considerando 4 del GDPR, «non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con gli altri diritti fondamentali, in ossequio al principio di proporzionalità».
3. L’art. 6 del D.L. 28/2020, rubricato ‘Sistema di allerta Covid’, delinea le linee guida per il funzionamento di un sistema di tracciamento dei contatti e dei contagi. Il Garante italiano per la protezione dei dati personali ha espresso un parere positivo sulla proposta di decreto, rimandando, al contempo, «ogni valutazione dei profili tecnici del progetto» all’esito della valutazione d’impatto che verrà effettuata prima del rilascio della app (articolo 2-quinquiesdecies del Codice italiano in materia di protezione dei dati personali).
Procedendo all’esame del sistema di contact tracing alla luce del quadro giuridico sopra delineato, risulta soddisfatto, innanzitutto, il fondamento legale della limitazione del diritto alla protezione dei dati. Lo stesso presidente del Garante per la protezione dei dati, Antonello Soro, ha sottolineato che il ricorso a un atto avente forza di legge, quale il decreto legge, permette di coniugare «tempestività della misura e partecipazione parlamentare».
Il sistema di allerta risulta poi conforme anche al requisito della liceità del trattamento dei dati sanitari che è fondato sull’esecuzione di un compito di interesse pubblico alla tutela della salute pubblica e risulta quindi corrispondente a quanto disposto dall’art. 9, par. 2, lett. i), GDPR e agli articoli 2-ter e 2-sexies del Codice in materia di protezione dei dati personali. Detto trattamento, infatti, si considera lecito, anche senza il consenso dell’interessato, «se è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero […], sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato […]» (art. 9, par. 2, lett. i).
Merita precisare che, nel caso dell’app di contact tracing, è corretto parlare di consenso perché la scelta di effettuare o meno il download dell’applicativo è rimessa al cittadino. Tuttavia, non può dirsi che il consenso costituisca la base giuridica legittimante il trattamento dei dati, che si fonda, invece, sull’interesse pubblico alla tutela della salute.
A ciò si aggiunga che, riguardo agli obblighi in materia di riservatezza dei dati sul traffico, le disposizioni del GDPR devono essere lette in combinato disposto con quelle della direttiva E-privacy, in particolare l’art. 5, secondo cui la memorizzazione e/o l’accesso alle informazioni già archiviate nel dispositivo dell’utente possono essere effettuati prescindendo dal consenso dell’interessato (solo) se strettamente necessarie per consentire l’espletamento del servizio esplicitamente richiesto dall’utente.
In considerazione di ciò, si evidenzia che il principio volontaristico alla base dell’utilizzo dell’app (v. le già sopra citate Linee Guida 4/2020, par. 24) esige anche e soprattutto che la mancata adesione al sistema non limiti l’interessato nell’esercizio dei diritti relativi e non abbia conseguenze pregiudizievoli. In tal senso dispone l’art. 6 del decreto, in linea con quanto richiesto espressamente dal Garante italiano nel suo parere.Non sarebbe legittimo, di conseguenza, associare all’utilizzo dell’app una sorta di green code (come accade in Cina) cui collegare un cd. “immunity passport” (sul punto si rimanda alla dichiarazione dell’OMS). Ciò configurerebbe, peraltro, anche una violazione del diritto a non essere soggetti a processi decisionali automatizzati (art. 22 GDPR).
Nell’analisi della legittimità del sistema di contact tracing rispetto alla normativa in materia di protezione dei dati, un discorso a parte merita il principio di accountability, che costituisce uno dei cardini del GDPR. Questo principio, infatti, impone innanzitutto di definire il titolare del trattamento e chi, oltre a questi, possa avere accesso ai dati. Cogliendo il suggerimento del Comitato europeo, il decreto indica quale titolare del trattamento il Ministero della salute, che dovrà coordinarsi con altri attori istituzionali indicati nel decreto (tra i quali i soggetti operanti nel Servizio nazionale della protezione civile e l’Istituto superiore di Sanità), che tratteranno i dati in qualità di responsabili del trattamento.
Una ulteriore conditio sine qua non della legittimità del sistema individuata dal Comitato europeo è il principio della limitazione delle finalità (art. 5 GDPR). Al riguardo, onde evitare un utilizzo ultroneo dei dati raccolti, nel decreto si precisa che il sistema di allerta deve essere finalizzato esclusivamente al contenimento dei contagi, «ferme restando le possibilità di utilizzo a fini di ricerca scientifica e statistica» dei dati in forma aggregata o anonima.
La maggiore criticità di questa disposizione attiene alla tipologia di dati trattati: essi saranno dati di prossimità dei dispositivi e non di geolocalizzazione, ma è ancora dubbia la questione dell’impiego di dati anonimi o pseudonimizzati (sulla nozione di “dati sufficientemente anonimi”, Comandè). La differenza non è di poco conto, considerato che i primi escludono qualsiasi collegamento con l’interessato e, quindi, non si applica il GDPR, mentre per i secondi è sempre possibile la re-identificazione e, di conseguenza, si applica il Regolamento (su tale differenza, si v. qui). Al riguardo, rileva l’art. 6, comma 2, lett. a) del decreto che, riferendosi all’obbligo di informativa da dare agli interessati, richiama «[…] informazioni chiare e trasparenti […] sulle tecniche di pseudonimizzazione utilizzate […]», mentre la lett. c), relativa alla tipologia di dati che saranno trattati, stabilisce che «il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati».
Questo è un punto evidentemente non chiaro, rispetto al quale l’esigenza di maggiore precisione deriva anche dal principio di minimizzazione dei dati (art. 5 GDPR), in virtù del quale – come si legge nelle Linee guida – i dati trasmessi dall’app devono includere identificatori univoci e pseudonimi, generati grazie al ricorso a tecniche crittografiche di ultima generazione e rinnovati regolarmente.
Nel decreto si prevede inoltre che, per mezzo di un’impostazione predefinita dell’app, saranno raccolti e utilizzati esclusivamente i dati «necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19», i quali dovranno essere «individuati secondo criteri stabiliti dal Ministero della Salute […]». In assenza di ulteriori specificazioni, la conformità ai principi di proporzionalità e minimizzazione del trattamento non è, allo stato attuale, pienamente valutabile.
Con riguardo al principio della limitazione della conservazione dei dati (art. 5 GDPR), il decreto indica che i dati relativi ai contatti stretti saranno conservati – anche nei dispositivi mobili degli utenti – per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della salute; i dati saranno poi cancellati in modo automatico alla scadenza del termine. Si precisa, altresì, che i trattamenti saranno interrotti alla data della cessazione dello stato di emergenza, e comunque non oltre il 31 dicembre 2020, data entro la quale «tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi».
Ora, in base al principio della privacy by design, contenuto all’art. 25, par. 1, GDPR, si prevede che, sin dal momento della progettazione del sistema, e quindi prima del trattamento, siano predisposte misure tecniche e organizzative adeguate a garantire i diritti degli interessati. Ne deriva che, sebbene nel decreto sia previsto un termine di cancellazione preciso e proporzionato, una piena conformità del sistema di allerta al principio suddetto richiederebbe che già al momento del rilascio dell’app fosse operata una scelta tra la cancellazione automatica o l’anonimizzazione, in modo da definire anche le misure tecniche e organizzative più adeguate.
Per evitare qualsiasi opacità nel sistema, gli algoritmi implementati dall’app dovranno essere verificabili e dovrà essere pubblicato il codice sorgente affinché se ne possa anche testare la resilienza in termini di cybersecurity, così come richiesto dal Comitato europeo. Nella nota del Ministero dell’Innovazione si specifica che il codice sorgente sarà rilasciato con «licenza Open Source MPL 2.0 e quindi come software libero e aperto»; questa, però, a differenza della licenza GPL, presenta delle limitazioni, non trattandosi di una licenza open source piena.
Altro punto necessariamente da chiarire riguarda la modalità, centralizzata o decentralizzata, di conservazione dei dati. Nel decreto si dispone che i dati relativi ai contatti stretti saranno conservati anchenei dispositivi mobili degli utenti (sul punto, v. Della Morte). Nell’ipotesi di un sistema decentralizzato è il dispositivo a connettersi al server per controllare se tra gli identificativi delle persone risultate positive vi sia qualcuno dei codici dallo stesso memorizzati (cfr. il Libro Bianco recentemente pubblicato); nel modello centralizzato, invece, il dispositivo invia periodicamente al server la lista degli identificativi con cui è entrato in contatto. Se è indubbio, come hanno evidenziato anche i Garanti europei, che la decentralizzazione è più conforme al principio di minimizzazione, anche l’approccio centralizzato è praticabile, purché, come specificato dal Garante italiano, siano previste «in sede attuativa […] misure di sicurezza rafforzate, adeguate alla fattispecie».
Ciò che però desta maggiori perplessità è che la scelta dello strumento tecnologico (qui) non sia stata preceduta dalla valutazione di impatto (DPIA) di cui all’art. 35 GDPR, che è sempre obbligatoria nel caso in cui il trattamento possa «presentare un rischio elevato per i diritti e le libertà delle persone fisiche», e che avrebbe permesso preventivamente di valutare la soluzione maggiormente conforme alla normativa in materia di protezione dei dati. Ad oggi, invece, il sistema non è ancora operativo e si procederà a effettuare la DPIA prima del suo rilascio, per il quale non è ancora stata indicata una data precisa. Come si legge nella già citata nota del Ministero dell’Innovazione, «il sistema di contact tracing dovrà essere finalizzato tenendo in considerazione l’evoluzione dei sistemi di contact tracing internazionali, oggi ancora non completamente definiti (PEPP-PT, DP-3T, ROBERT), e in particolare l’evoluzione del modello annunciato da Apple e Google».
4. Dall’analisi svolta è emersa la necessità di specificare alcune caratteristiche tecnico-informatiche del sistema di allerta. Una conferma di tale esigenza è l’avvio, da parte del Comitato Parlamentare per la sicurezza della Repubblica (COPASIR), di una indagine volta ad approfondire, in particolare, le specifiche tecniche dell’applicativo, nonché le questioni relative all’affidamento e alla gestione dello stesso. Il rischio che permangano incertezze circa il funzionamento dell’applicativo deve ritenersi assolutamente da scongiurare non solo poiché, come evidenziato, esse potrebbero condizionarne la legittimità, ma anche perché l’assenza di trasparenza e, di conseguenza, di piena consapevolezza da parte degli utenti circa le funzionalità e le modalità operative dell’app rischia di compromettere la fiducia degli utilizzatori in questo strumento (al riguardo, si v. la lettera aperta firmata da più di 300 scienziati ed esperti) che, peraltro, costituisce un presupposto indispensabile per la sua efficacia.
Oltre a segnalare la necessità di chiarire tali aspetti, si possono svolgere due conclusioni finali, una più strettamente relativa all’app Immuni e una di ordine più generale.
Sul primo punto, se sulla legalità formale del sistema non si nutrono dubbi, permangono taluni interrogativi circa la sua capacità di rispondere a un criterio di necessità del trattamento, che deve costituire uno dei fari alla luce dei quali valutare la legittimità delle misure di limitazione dei diritti (si v. le interessanti considerazioni di McGregor).
Al riguardo, occorre richiamare che il tracciamento dei contatti, assicurato dall’app, non appare accompagnato da ulteriori strumenti di prevenzione e contenimento dei contagi che risultano, invece, imprescindibili per renderlo tecnicamente efficace e, dunque, strettamente necessario per il conseguimento dell’obiettivo perseguito. In particolare, come sostenuto anche dal commissario straordinario per l’emergenza Covid, il tracciamento dei contagi, se non associato a test diagnostici che accertino la positività di un soggetto, rischia di rivelarsi del tutto inutile. Inoltre, da quanto emerso sinora (v. dichiarazioni commissario straordinario), pare che la funzione dell’app sia solo quella di allertare l’utente di essere stato in prossimità di un soggetto rivelatosi positivo al virus, non essendo previsto alcun collegamento tra l’applicativo e il Sistema sanitario nazionale poiché quest’ultimo aspetto sarebbe pienamente rimesso alla responsabilità dell’utente allertato.
Più in generale, il dibattito relativo all’introduzione delle app di contact tracing evidenzia la necessità che simili soluzioni tecnologiche si innestino in un processo analogico che veda il coinvolgimento dell’attività umana (in questo caso, delle istituzioni sanitarie) e non di sistemi di intelligenza artificiale in senso stretto. Si tratta, evidentemente, di una esigenza ben nota e comune a molte soluzioni high tech messe al servizio di primarie esigenze di sicurezza pubblica o salute pubblica. È tuttavia opportuno ribadirne l’importanza in un contesto quale quello attuale, per arginare il rischio che l’emergenza determini un arretramento nel livello di tutela dei diritti fondamentali coinvolti. Infatti, per quanto sia vero che est modus in rebus, proiettandosi in una dimensione post-pandemia, la messa in campo di soluzioni tecniche non coerenti al quadro giuridico descritto potrebbe ingenerare un “ratchet effect”, portando a conseguenze irreversibili, così come scandite dalle parole di Harari, «Yes, the storm will pass, humankind will survive, most of us will still be alive — but we will inhabit a different world». Si tratterebbe, insomma, di un ulteriore passo verso la materializzazione di un “realismo della sorveglianza” (Dencik, 2019) in cui il controllo di massa è non solo normalizzato, ma, addirittura, percepito come ineluttabile.
No Comment