Data tracing: il modello sudcoreano alla prova degli standard europei di tutela del diritto alla riservatezza

di Alessio Azzariti

Coronavirus e tecnologia

Con la diffusione del COVID-19 la tenuta complessiva degli ordinamenti fondati sul rispetto dei diritti dell’uomo è stata messa a dura prova. Ciò, è ancor più evidente per gli Stati occidentali con una tradizione di diritti civili e politici risalente nel tempo, che ad oggi risultano i più colpiti dal fenomeno; secondo i dati WHO[1], infatti, oltre il 60% dei contagiati si trova tra la regione europea e quella nordamericana.

Tra le misure restrittive poste in essere dagli Stati, la più comune è stata quella implicante la limitazione della libertà di movimento degli individui, con eccezioni in materia di lavoro, salute ed urgenti necessità.

Il controllo delle misure volte ad affrontare la diffusione del virus è stato realizzato, da un lato, tramite il dispiegamento della forza pubblica sul territorio, e dall’altro attraverso l’utilizzo della tecnologia per controllare i movimenti o lo stato di salute degli individui.

Una prima misura applicata in Italia ha riguardato la raccolta di dati biometrici relativi alla temperatura corporea negli aeroporti[2].  Le forze dell’ordine si sono avvalse inoltre di droni per monitorare il rispetto delle misure contenitive[3], nonché del tracciamento dei dati telefonici. La Regione Lombardia, ad esempio, ha monitorato i cambiamenti delle celle telefoniche a cui si aggancia il segnale GSM[4].

Al di fuori dei confini nazionali, un caso di rilievo riguardante l’utilizzo di tecnologia per affrontare l’espansione dell’epidemia, è rappresentato dalla Corea del Sud. Quest’ultima, pur non avendo previsto le stesse limitazioni alla libertà di movimento adottate da altri paesi, a fianco di tamponi massivi sulla popolazione, si è avvalsa dei dati delle carte di credito e di debito, di quelli provenienti dal GPS degli smartphone, nonché, infine, dei filmati di telecamere a circuito chiuso[5].

Tramite questi strumenti in grado di tracciare gli spostamenti degli individui, gli utenti delle app hanno potuto sapere se fossero stati a contatto con un individuo infettato e se, in determinate aree, vi fossero focolai del virus. In questo modo è stato più semplice ricostruire la catena del contagio. È per questo che anche in Italia si è invocata l’adozione del “metodo coreano”[6] e la spinta, anche internazionale, in direzione di tale modello, ha portato il Governo ad indire un bando[7] proprio per proporre soluzioni di “contact tracing”, che ha raccolto 319 progetti[8]. L’app in questione, denominata “Immuni”, è stata poi individuata nell’ordinanza n. 10/2020 della Presidenza del Consiglio “per la conformità al modello europeo delineato dal Consorzio PEPP-PT e per le garanzie che offre per il rispetto della privacy”.

L’interrogativo che sorge, è tuttavia se il modello sudcoreano – ed in specie il tracciamento degli spostamenti su base massiva – possa essere considerato compatibile con i valori liberali degli Stati occidentali e pertanto replicabile in quest’ultimi? Ed in particolare qual è il quadro normativo-valoriale di riferimento a livello europeo?

Dati GPS ed Unione Europea: quadro normativo

Nel quadro normativo UE è anzitutto rilevante l’art. 8 della Carta dei diritti fondamentali dell’Unione Europea. Esso prevede che i dati personali siano trattati secondo il principio di lealtà, per finalità determinate ed in base al consenso della persona o ad un altro fondamento legittimo previsto dalla legge.

L’art. 52 co. 1 della stessa, stabilisce che le limitazioni ai diritti ivi contenuti debbano essere previste dalla legge, nel rispetto dei loro contenuti essenziali e del principio di proporzionalità e rispondere a finalità d’interesse generale dell’Unione o all’esigenza di proteggere i diritti e le libertà altrui.

Il principio del consenso può essere derogato, quindi, da un fondamento legittimo previsto dalla legge. È questo il caso previsto all’art. 6 lett. d) del GDPR che prevede la liceità del trattamento dati quando questo è necessario per la salvaguardia di interessi vitali dell’interessato o di altra persona fisica. È lo stesso GDPR, al considerando n. 46 a dire espressamente che “Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione […]”.

Quando si parla di geolocalizzazione di dispositivi mobili, tuttavia, sono previste ulteriori tutele, come ha sottolineato, di recente, il Comitato europeo per la protezione dei dati[9]. Tali dati, in via generale, possono essere sottoposti a trattamento solo se anonimi o con il consenso degli individui, così come previsto all’art. 9 della direttiva 2002/58/CE, nella misura e nella durata necessaria alla fornitura del servizio. Tuttavia, l’art. 15 della medesima direttiva prevede che gli Stati possano derogarvi, a condizione che la misura adottata sia “necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale, della difesa, della sicurezza pubblica, etc.”. A tal fine pertanto gli Stati possono adottare misure legislative che prevedano la conservazione dei dati per un tempo limitato.

Tirando le somme, lo spazio concesso al trattamento dei dati per rispondere all’emergenza COVID – 19 percorre un sentiero stretto; per derogare le regole sopra menzionate, serve una normativa specifica che soddisfi i requisiti in funzione del motivo che giustifica la misura. In conformità del principio di proporzionalità, dovrebbero essere preferite le soluzioni meno intrusive per perseguire l’obbiettivo, ed in ogni caso dovrebbe essere sempre garantito un rimedio giurisdizionale agli individui.

In conclusione, il concetto di necessarietà, opportunità e proporzionalità in una società democratica è punto centrale nella discussione, per trovare un giusto equilibrio tra tutela del diritto alla protezione dei dati personali e tutela della salute pubblica.

La Carta UE all’art. 52 co. 3 stabilisce che i diritti che tutela, qualora coincidenti, hanno la stessa portata di quelli previsti dalla CEDU (o più estesa).

Cosa dire, quindi, a riguardo della tutela prevista in ambito CEDU?

CEDU: necessità di una deroga ai sensi dell’art. 15

Il concetto contenuto nella direttiva di cui sopra è in parte simile a quello previsto all’art. 8 co. 2 della CEDU. Infatti, quest’ultimo stabilisce che in via eccezionale possa esservi un’ingerenza dell’autorità pubblica nell’esercizio del diritto alla vita privata soltanto se previsto dalla legge e se tale ingerenza costituisce una misura che in una società democratica è necessaria alla protezione della salute.

Ciò che ci si chiede è se, una misura che prevedesse la possibilità di tracciare i movimenti della popolazione stanziata sul territorio nazionale (magari anche senza consenso) possa ritenersi legittima.

A parere di chi scrive, una tale misura, per essere proporzionata, dovrebbe essere giustificabile laddove sia residuale, stante l’esaurimento di strade percorribili meno invasive. La Corte Edu, ormai da tempo, ha tradotto il concetto di necessità con “bisogno sociale imperioso”[10], concetto che consente di valutare se le autorità avessero potuto adottare misure alternative, meno invasive, ma ugualmente idonee a raggiungere lo scopo. Tale orientamento è stato confermato – nell’ambito della repressione della criminalità – anche in casi riguardanti la raccolta di dati personali tramite GPS; si pensi a tal proposito al caso Uzun v. Germany[11], dove la sorveglianza nei confronti di un individuo sospettato di essere coinvolto in un attacco armato è stato ritenuto legittimo soltanto in quanto posto in essere a) dopo che altre misure meno intrusive si erano rivelate insufficienti; b) per un breve periodo di tempo (tre mesi); c) limitatamente agli spostamenti nell’auto del complice e d) per il perseguimento di gravi reati. Allo stesso modo, nel caso Ben Faiza v. France, la Corte aveva ritenuto vi fosse una violazione dell’art. 8 CEDU poiché la legge nazionale non descriveva in modo sufficientemente chiaro le modalità di esercizio del potere ed i limiti di tale potere.

Per essere conforme alla CEDU, in via di principio, la normativa che autorizza misure di tracciamento e geolocalizzazione, pertanto dovrebbe soddisfare i seguenti requisiti: a) residualità; b) sufficiente chiarezza; c) previsione di modalità e limiti all’esercizio di tale tracciamento (in conformità dello scopo) e d) indicazione di un termine finale.

È doveroso pertanto chiedersi, ai fini di una valutazione di proporzionalità, se non siano sufficienti altre misure ad affrontare l’emergenza, come la limitazione degli spostamenti, il dispiegamento delle forze di pubblica sicurezza, l’esistenza di sanzioni amministrative e/o penali, ma soprattutto se la comunicazione di informazioni da parte delle autorità governative sia stata trasparente; una popolazione che non è informata correttamente potrebbe di conseguenza vedere i propri diritti più facilmente limitati per un comportamento – incolpevolmente – inadeguato.

A parere di chi scrive si potrebbe fare un parallelo, almeno in parte, con la limitazione cui vengono sottoposti coloro che per effetto di una sanzione penale o di una misura cautelare, vedono l’applicazione braccialetto elettronico che permette di tracciarne i movimenti. Con la differenza che in caso di malattie infettive il numero di cittadini monitorati sia significativamente maggiore. Inoltre, sussiste un’altra differenza: i contagiati, generalmente, non hanno commesso reati (né ne sono accusati) e l’isolamento forzato dei contagiati è una misura preventiva in termini di salute pubblica anziché repressivo-sanzionatoria; tuttavia entrambe le misure si concretizzano in una limitazione della libertà personale. Una terza differenza è che i contagiati potrebbero essere monitorati anche prima di essere identificati come tali, in modo da ricostruire ex post una mappa del contagio.

Considerata la necessità di affrontare la diffusione di un’epidemia, il carattere di misure di “sorveglianza” dovrebbe essere perciò tassativamente previsto da una legge e temporaneo per essere conforme alle necessità in una società democratica.

In realtà, sulla base di quanto appena detto, per il largo numero di individui che ne sarebbero toccati, nonché per il fatto che una crisi sanitaria nazionale si pone su un piano più ampio della repressione di crimini individuali, è il parere di chi scrive che anziché “normalizzare” simili limitazioni ai diritti all’interno delle eccezioni dell’art. 8 co. 2 CEDU, dovrebbe piuttosto applicarsi la deroga ai sensi dell’art. 15 CEDU, che è sottoposta a limiti ben precisi. Pertanto, qualora uno Stato che aderisce al sistema di diritti previsto dalla Convenzione europea dei diritti dell’uomo volesse adottare un sistema di tracciamento simile, su scala così ampia, dovrebbe darne comunicazione al Segretario Generale del Consiglio d’Europa, informandolo oltre che sui motivi, sul periodo temporale fino al quale lo Stato intende derogare all’art. 8 della stessa. Infatti, misure di questo tipo rischiano, specie in caso di abusi (il cui rischio è alto), di realizzare una regressione permanente ed ingiustificata del contenuto essenziale del diritto al rispetto della vita privata.


[1] www.experience.arcgis.com/experience/685d0ace521648f8a5beeeee1b9125cd.

[2] www.salute.gov.it; il sito del Ministero della Salute riporta che “dal 5 febbraio i controlli della temperatura corporea sono stati estesi a tutti i passeggeri di voli europei e internazionali in arrivo negli aeroporti italiani.”.

[3] www.ansa.it/piemonte/notizie/2020/04/03/coronavirus-droni-in-volo-su-torino-controlleranno-parchi_94d264f4-50ef-4a1c-9d9d-a86210cdaff6.html.

[4] www.adnkronos.com/fatti/cronaca/2020/03/17/coronavirus-lombardia-monitora-celle-telefoniche_7Ubs2OOMKGGSygaYEpLezO.html.

[5] www.corriere.it/tecnologia/20_marzo_18/coronavirus-controlli-celle-telefoniche-tracciamento-privacy-223ea2c8-6920-11ea-913c-55c2df06d574.shtml.

[6] www.agi.it/cronaca/news/2020-03-23/coronavirus-rezza-privacy-metodo-coreano-7771374/

[7] www.innovazione.gov.it/telemedicina-e-sistemi-di-monitoraggio-una-call-per-tecnologie-per-il-contrasto-alla-diffusione-del-covid-19/.

[8] www.wired.it/internet/web/2020/03/26/coronavirus-app-governo/

[9] Statement on the processing of personal data in the context of the COVID-19 outbreak,19 marzo 2020, disponibile al link: www.edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf.

[10] Sunday Times v. United Kingdom, n. 6538/74.

[11] www.echr.coe.int/Documents/FS_Data_ENG.pdf


Autore:

 


Per altri articoli e informazioni sul tema covid-19, accedi qui gratuitamente al Coronavirus Special Coverage di CyberLaws.
en_US
it_IT en_US