Il drammatico evolversi della crisi sanitaria legata al Covid-19 sul territorio italiano ha richiesto al Governo di porre in essere misure eccezionali per far fronte a questa emergenza, incluso il ricorso a nuovi strumenti tecnologici mai precedentemente impiegati dalle istituzioni nazionali.

Il 20 marzo 2020, il Ministero per l’Innovazione Tecnologica, congiuntamente al Ministero dello Sviluppo Economico e al Ministero dell’Università e della Ricerca, ha rivolto un invito a tutti gli operatori dell’ecosistema digitale italiano, affinché contribuissero a semplificare la gestione della pandemia da parte del Governo mediante lo sviluppo di piattaforme digitali e di altri sistemi per l’elaborazione di dati.

E’ così nata l’app mobile “SOS Italia”, progetto realizzato dall’Associazione Italiana Digital Revolution, in collaborazione con la software house Sielte, che si presume sarà a breve disponibile sui digital store dei sistemi operativi iOs e Android.

“SOS Italia” si pone l’obiettivo di monitorare e contenere la diffusione del Covid-19 attraverso un’interfaccia user-friendly (log in tramite Google, Facebook, sms con OTP su numero di telefono e integrazione nativa con SPID) che consentirà ai cittadini di reperire facilmente le comunicazioni ufficiali rese dal Governo, le regole di condotta da adottare, i numeri da chiamare in caso di emergenza ed altre informazioni utili.

Il cittadino potrà compilare un questionario con finalità di autodiagnosi e comunicare alle autorità il proprio stato di isolamento obbligatorio o preventivo, la presenza di sintomi e la positività al virus.

Ogni utente potrà anche scegliere di digitalizzare le proprie autocertificazioni per gli spostamenti consentiti e ricevere notifiche nel caso in cui vi sia il rischio che sia incorso in un contagio. Ciò sarà possibile perché, una volta che il soggetto avrà volontariamente scaricato l’app, la funzionalità GPS rimarrà attiva anche se l’utente non sta utilizzando l’applicazione. In questo modo si potrà creare una mappatura di tutti i luoghi frequentati dal singolo individuo e costruire un registro delle persone con cui il soggetto è venuto a contatto.

Analogamente a quanto già sperimentato in Corea del Sud, anche in Italia si tenta, pertanto, una risposta tecnologica, basata sull’utilizzo di Big Data e algoritmi, per porre un freno alla curva dei contagi. Ma, se da una parte le funzionalità tecniche dell’applicazione forniscono strumenti di indiscussa rilevanza per il monitoraggio e il contenimento della pandemia, d’altra parte preoccupano le inevitabili implicazioni in materia di data protection.

Durante una crisi sanitaria su scala nazionale e globale, la protezione del primario diritto alla salute si pone potenzialmente in contrasto con una serie di altri valori meritevoli di tutela. La gestione dell’attuale emergenza comporta inevitabilmente la restrizione, da parte delle autorità, di diritti fondamentali, tra cui, la libertà personale e la tutela dei dati personali (privacy).

Esaminiamo gli aspetti privacy. Il GDPR prevede la liceità del trattamento dei dati, pure relativi a categorie particolari, anche senza l’espresso consenso dell’interessato, quando il trattamento è necessario per salvaguardare i suoi interessi vitali (o quelli di altra persona fisica), ovvero quando sia indispensabile per l’espletamento di un compito di interesse pubblico. Sulla base di questa previsione, quindi, il trattamento dei dati della persona fisica, compresi quelli relativi alla sua salute, può avvenire indipendentemente dal rilascio del consenso quando la finalità del suddetto trattamento sia quella di limitare la diffusione del Covid-19.

Per quanto riguarda il trattamento dei dati delle telecomunicazioni, come i dati relativi all'ubicazione, devono essere rispettate anche le leggi nazionali di attuazione della direttiva relativa alla vita privata e alle comunicazioni elettroniche (c.d. direttiva e-privacy). La direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica.

Il d.l. 14/2020, contenente disposizioni urgenti per il potenziamento del Servizio Sanitario Nazionale in relazione all’emergenza Covid-19,  prevede la possibilità che i soggetti operanti nel Servizio Nazionale di Protezione Civile, gli uffici del Ministero della Sanità e dell’Istituto Superiore di Sanità e tutti gli altri soggetti deputati a monitorare e a garantire l'esecuzione delle misure di contenimento della pandemia,  possano condividere e scambiare  tra loro dati personali dei cittadini (inclusi quelli relativi allo stato di salute) che risultino necessari all’espletamento delle loro funzioni. Tali soggetti possono anche omettere di fornire l’informativa privacy (come anche le istruzioni agli incaricati del trattamento) o fornirla solo oralmente.

Tale decreto, esplicita anche che i trattamenti di dati personali debbano essere comunque effettuati conformemente ai principi di liceità, trasparenza e correttezza previsti dall’articolo 5 del GDPR, riducendo al minimo il loro trattamento (principio di minimizzazione).

Ad oggi, però, non risulta essere chiaro come tali principi verranno puntualmente attuati e chi, tra le diverse autorità in gioco, sarà di fatto individuato quale soggetto titolare del trattamento dei dati e quali enti, pubblici e privati, saranno i responsabili del suddetto trattamento.

Uno dei temi che desta maggiore preoccupazione è quello che riguarda il trattamento dei dati relativi all’ubicazione dei cittadini e su come questi possano essere utilizzati dalle autorità.

In varie interviste, il Garante Privacy, nella persona del suo presidente, ha ribadito che il diritto alla privacy può soggiacere a talune limitazioni di fronte ad un interesse collettivo, purché venga assicurato il necessario bilanciamento tra tutela dei diritti individuali e salvaguardia dei beni giuridici collettivi, anche prevedendo che ogni eventuale legge in deroga abbia una durata definita e coincidente con il periodo di emergenza.

Una questione inevitabilmente connessa riguarda, inoltre, il tempo di conservazione dei dati, che dovrà essere anch’esso limitato al suddetto periodo di emergenza e dovrà essere chiarito prima quali saranno le operazioni di trattamento consentite al termine del periodo emergenziale e che sorte avranno i dati raccolti.

Il Garante Privacy ha chiarito che “la protezione dati può persino essere uno strumento utilissimo nell'azione di contrasto dell'epidemia, quando quest'azione sia fondata su dati e algoritmi, dei quali va garantita esattezza, qualità e revisione "umana", ove necessario, come nel caso di decisioni automatizzate errate perché fondate su bias.”. 

A questo proposito, continua il Garante Privacy, un decreto-legge potrebbe coniugare tempestività della misura e partecipazione parlamentare. Va da sé che la durata deve essere strettamente collegata al perdurare dell'emergenza.

Nella dichiarazione congiunta del Presidente della Convenzione 108 ed del Commissario per la protezione dei dati del Consiglio d’Europa vi è un interessante indicazione sull’uso di test preliminari in "sandbox", e cioè il consiglio di testare l’app in un ambiente sicuro e privato prima di rilasciarla al pubblico.

Il Garante Privacy potrà essere, se del caso, coinvolto in sede di consultazione preventiva, ma in ogni caso le logiche del trattamento e le misure di sicurezza, dovranno essere verificati da consulenti esperti in grado di elaborare corrette architetture privacy ed impostare operazioni di trattamento - by design e by default - rispettose dei nostri diritti fondamentali.

In conclusione, la privacy non è di ostacolo al trattamento massivo di dati, anche sensibili, ma tali operazioni, che incidono su nostri diritti fondamentali, debbono essere efficaci, graduali ed adeguate.