Due giorni fa il Garante per la Privacy, Antonello Soro, si è finalmente espresso in merito al tracciamento GPS dei dispositivi mobili dei contagiati e di chiunque entri in contatto con loro (detto anche digital contact tracing).
Non solo dunque i contagiati, ma anche chi è entrato in contatto con loro (personale sanitario di ogni ordine e grado compreso).
L’opinione pubblica è divisa
Il contact tracing in forma analogica è già previsto dall’Organizzazione Mondiale della Sanità (OMS) in caso di epidemie ed è già effettuato anche in Italia.
In queste settimane ci siamo interrogati se era fattibile, e in che modo, adottare le misure di sicurezza e sorveglianza utilizzate dalle grandi potenze hi-tech, Cina e Corea del Sud in particolare.
Misure che, come ormai ben sappiamo, si basano sulla raccolta incondizionata dei nostri dati personali digitali.
Dibattiti etici oltre che giuridici, che vedono l’opinione pubblica divisa.
Sopratutto dopo le imprecise recenti dichiarazioni del vice presidente della Lombardia Fabrizio Sala e dell’assessore al Welfare Giulio Gallera.
La parola ad un esperto
Riportiamo in forma integrale l’intervista che Antonello Soro ha rilasciato a La Repubblica e disponibile anche sul sito del Garante.
C’è bisogno di uno strumento legislativo ad hoc per attuare questo protocollo? Quale?
«La disciplina di protezione dei dati coniuga esigenze di sanità pubblica e libertà individuale, con garanzie di correttezza e proporzionalità del trattamento.
Ma una misura quale il contact tracing, che incide su un numero elevatissimo di persone, ha bisogno di una previsione normativa conforme a questi principi.
Un decreto-legge potrebbe coniugare tempestività della misura e partecipazione parlamentare. Va da sé che la durata deve essere strettamente collegata al perdurare dell’emergenza».
Come si evitano gli abusi nel trattamento dei dati? Come ci si difende da intrusioni malevole?
«La nostra disciplina offre gli strumenti per minimizzare il pericolo di abusi, secondo i principi di precauzione e prevenzione, che impongono misure di sicurezza e garanzie di protezione dati già nella fase di progettazione e impostazione della struttura tecnologica. Rispettando questi criteri, si può valorizzare al massimo grado l’innovazione».
Si può immaginare uno scambio di dati criptato o anonimizzato?
«Lo scambio e, prima ancora, la raccolta dei dati devono avvenire nel modo meno invasivo possibile per gli interessati, privilegiando l’uso di dati pseudonimizzati (ove non addirittura anonimi), ricorrendo alla reidentificazione laddove vi sia tale necessità, ad esempio per contattare i soggetti potenzialmente contagiati.
Nella complessa filiera in cui si articolerebbe il contact tracing, i soggetti privati – a partire dalle grandi piattaforme – dovrebbero porre il patrimonio informativo di cui dispongono a disposizione dell’autorità pubblica, alla quale dovrebbe invece essere riservata la fase dell’analisi dei dati, che necessita delle garanzie e della responsabilità degli organi dello Stato.
In ogni caso, le società coinvolte in questo progetto dovrebbero possedere requisiti di affidabilità e trasparenza di azione. Nella valutazione è fondamentale il vaglio di conformità ai requisiti di protezione dati, per la garanzia dei diritti degli interessati, per l’attendibilità dell’analisi dei dati e anche per la sicurezza nazionale. Non sottovaluterei l’odierno richiamo in proposito da parte del Copasir».
Come si potrà poi tornare alla “normalità” una volta finita emergenza?
«La chiave è nella proporzionalità, lungimiranza e ragionevolezza degli interventi, oltre che nella loro temporaneità. Il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole dal modello coreano a quello cinese, scambiando per efficienza la rinuncia a ogni libertà e la delega cieca all’algoritmo per la soluzione salvifica».
Dunque dichiarazione a favore del modello coreano di tracciamento digitale.
Ma a condizione che il Governo provveda con un decreto legge specifico e temporaneo (e non un DPCM, tanto usato in questo momento) a stabilirne con precisione forma, modalità e soprattutto durata dei controlli sui cittadini.
Con il suggerimento di pseudonimizzare, laddove non fosse possibile anonimizzare, i dati raccolti. Salvo permettere la reidentificazione in caso di bisogno.
In tal modo l’impatto sulla privacy degli italiani sarà proporzionale al fine che si vuole perseguire ovvero rilevare in tempo reale nuovi focolai per intervenire tempestivamente. E cercare così di fermare il prima possibile questa l’emergenza sanitaria.
La strada per raggiungere un accordo sembra tracciata. Speriamo nel frattempo di non morire di Privacy.