
Abbiamo assistito tutti, o quasi, al lancio giornalistico della notizia che la Regione Lombardia aveva chiesto ai gestori telefonici di tracciare gli spostamenti dei suoi cittadini, riuscendo a scoprire che una bella fetta continuava a muoversi, più o meno giustificatamente.
Al ministero dell’Interno lo hanno scoperto anche loro leggendo i giornali. E sono rimasti sbalorditi.
Primo perché, secondo i dati del movimento attraverso gli spostamenti dei cellulari, il 40% dei lombardi continuava a muoversi.
Secondo, perché quel tipo di controlli, da Grande Fratello, sono, a prima vista, una prerogativa dell’autorità giudiziaria, non di un’autorità amministrativa.
E forse anche perché non ci hanno pensato loro.
Anche di fronte ai distinguo ed alle precisazioni della Giunta lombarda, e nonostante la precisazione che si è trattato di un esame di “big data”, cioè l’analisi quantitativa e anonima di dati, al Viminale c’è stata con una certa irritazione.
Perciò sono state avviati accertamenti sia per capire esattamente i termini di questo tracciamento che sarebbe andato avanti qualche giorno, sia per valutare le possibili ricadute giuridiche.
Il tema non è banale: è stato creato un precedente che va valutato a fondo. Ma, forse, era inevitabile che ci si arrivasse.
I giornali hanno pagine intere di articoli su come la Cina o la Corea o Israele sfruttino le capacità di cellulari e app per tenere sotto controllo i propri cittadini.
Qualche giorno fa, il presidente della Regione Veneto, Luca Zaia, diceva in un’intervista radiofonica: «Il tracciamento dei movimenti attraverso i cellulari per limitare la diffusione del coronavirus secondo me è un’ottima soluzione. Il problema è che siamo in un Paese nel quale la limitazione della privacy e di libertà personale sono evocate a ogni pie’ sospinto. Ma siamo in emergenza, e ci vuole un provvedimento che ci legittimi a fare tutte queste attività. A noi hanno proposto dei software che sono stratosferici, però mi metto nei panni dei cittadini, e quindi bisogna che ci sia una legittimazione giuridica sennò poi va a finir male».
Lo stesso assessore lombardo Giulio Gallera, che in questi giorni è uno dei più mediaticamente esposti nella lotta al virus ed ha avuto per primo sul tavolo il risultato del tracciamento, ha tenuto a precisare che «è un’applicazione che le grandi compagnie telefoniche hanno messo a disposizione per vedere in maniera aggregata e totalmente anonima il flusso delle persone, come si sono mosse all’interno della regione o fuori. Nessuno controlla come il Grande Fratello».
Anche secondo il Garante Europeo per la protezione dei Dati Wiewiórowski i big data significano grandi responsabilità.
Dobbiamo sapere cosa facciamo e sapere che siamo responsabili dei risultati della nostra attività.
Responsabilità significa anche che non dovremmo esitare ad agire quando è necessario.
C’è anche la responsabilità di non utilizzare gli strumenti che abbiamo in mano per combattere la pandemia”.
La frase chiave è: “Il diritto alla protezione dei dati personali non è assoluto, deve essere considerato in relazione alla sua funzione nella società ed essere equilibrato con altri diritti fondamentali, conformemente al principio di proporzionalità”.
Dunque si possono legalmente utilizzare i dati personali se questo “è necessaria per motivi di pubblico e sostanziale interesse, sulla base del diritto dell’Unione o degli Stati membri, che devono essere proporzionati all’obiettivo perseguito”.
Il Garante Europeo precisa, a scanso di equivoci, che non sta interpretando il GDPR “in modo innovativo, ma sta citando il testo esistente”.
Il GDPR, ribadisce il Garante Europeo dopo che nei giorni scorsi altre autorità del settore si erano espresse, “afferma chiaramente che il trattamento dei dati personali dovrebbe essere progettato per servire l’umanità (era la citazione preferita dal mio predecessore Giovanni Buttarelli)”.
E dunque il GDPR consente dunque il trattamento di dati sensibili “quando è necessario per motivi di interesse pubblico nell’area della sanità pubblica, come la protezione da gravi minacce transfrontaliere alla salute”.
In queste settimane c’è chi chiede di sospendere la legge sulla protezione dei dati o di rivederla alla luce dell’attuale crisi, ma, dice il Garante, “vorrei sottolineare ancora una volta che questa legge non è né un ostacolo per essere attivi né una scusa per non essere efficienti, in quanto questa normativa è stata scritta in consultazione di specialisti esperti nell’uso straordinario delle nuove tecnologie al servizio dell’umanità”.
Dunque appare indispensabile che eventuali misure adottate a livello europeo o nazionale siano:
– Temporanee – non son fatte per restare dopo la crisi.
– I loro scopi siano limitati – dobbiamo sapere cosa stiamo facendo.
– L’accesso ai dati è limitato e regolato – sappiamo chi sta facendo cosa.
– Sappiamo cosa faremo sia con i risultati delle nostre operazioni sia con i dati grezzi utilizzati nel processo: conosciamo come tornare alla normalità (o quasi).
Negli Stati dell’Unione però ci sono approcci diversi, chi consente il tracciamento senza informare le persone, chi no, ad esempio.
Per superare queste divergenze il Garante richiede “richiede un modello paneuropeo di un ‘applicazione mobile COVID-19‘, coordinato a livello dell’UE. Idealmente, in coordinamento con l’Organizzazione mondiale della sanità, per garantire la progettazione che preveda la protezione dei dati di progettazione a livello globale sin dall’inizio”.
“Il Garante e la comunità della protezione dei dati – assicura Wiewiórowski – sono pronti ad assistere gli sviluppatori della tecnologia in questo sforzo collettivo”.
Tutto questo ci dimostra che il problema esiste ed è percepito anche a livello europeo, ora però ci troviamo, appunto, di fronte ad un’emergenza che non ci consente di attendere i tempi europei per assumere una decisione.
Siamo, cioè, di fronte ad un problema che ci impone di valutare, in prima istanza, se dalla raccolta dei dati aggregati sia il caso di passare, come già in altri Stati dell’Unione Europea, a forme di controllo individuale mirate a monitorare gli spostamenti, o meglio i non spostamenti, dei malati accertati fornendo così a sanitari e, eventualmente, Forze dell’Ordine uno strumento estremamente potente di monitoraggio e repressione di comportamenti pericolosi per la salute pubblica.
Il consenso a questo primo passo potrebbe essere abbastanza facile da ottenere.
Tuttavia è fondamentale che l’utilizzo derivi da una normativa statale chiara al fine di evitare quello che sta accadendo in questi giorni per quanto riguarda l’utilizzo dei droni per il controllo del territorio, dove, pur in presenza di una pronuncia favorevole del Garante della Privacy, le Autorità locali assumono posizioni diversificate creando una situazione “a macchia di leopardo”.
Da questa prima evoluzione del controllo elettronico discenderebbe, però, in modo quasi inevitabile la tentazione (orwelliana) di fare un passo in più ed attuare quelle misure quasi fantascientifiche (almeno per noi) che abbiamo visto nei filmati provenienti dalla Corea dove i cittadini devono inquadrare un codice QR ogni volta che prendono un mezzo pubblico o entrano in un qualunque negozio.
La contropartita ad una così pesante, dal nostro punto di vista, violazione della privacy è l’informazione tempestiva circa l’eventuale esposizione al contagio avendo, magari, condiviso il vagone della metropolitana con un soggetto risultato successivamente positivo.
In un paese in cui una buona fetta di utenti utilizza normalmente un VPN per anonimizzare la località da cui naviga, salvo poi lamentarsi perché così non riesce ad usufruire dell’offerta di iscrizione premium gratuita a PornHub, (a proposito con la rilevazione delle celle il VPN non funziona) vi lascio immaginare come potrebbe essere accolta.
Ma il punto cruciale di tutto questo discorso è che la Lombardia si è mossa in una zona grigia, perché se è vero che le intercettazioni e le localizzazioni telefoniche sono demandate alla Magistratura è altrettanto vero che ciò si applica ad una singola utenza o ad un gruppo di utenze ben definito o, quando si effettua una ricerca per area, si richiede un elenco delle utenze agganciate ad una o più celle in un determinato periodo per verificare gli spostamenti di eventuali sospetti o per individuare movimenti compatibili con il delitto su cui si sta indagando. In questo caso sono stati chiesti dati massivi ed anonimi, che le aziende penso utilizzino normalmente per valutare il carico della rete.
Il vero problema è che manca una norma che regoli questo aspetto dell’utilizzo delle reti telefoniche e dati e adesso, nel pieno dell’emergenza, è, forse, un po’ tardi per pensarci.