Persona, diritti personalità - Riservatezza, privacy -  Redazione P&D - 28/03/2020

Privacy e salute by design - Agostino Clemente

#privacy #covid19 #coronavirus #contacttracing #salute

Nei giorni drammatici segnati dall’epidemia del covid-19 ci si chiede se il diritto alla privacy sia un ostacolo all’impiego e allo sviluppo di tecnologie al servizio della salute
 
La protezione della privacy nelle tecnologie di tracciamento dipende non solo dalla garanzia che si evitino gli abusi ma ancor prima dal "disegno", dall'impostazione del sistema. In generale, il quadro in cui devono operare le tecnologie della salute è la declinazione di principi fondamentali e non l'applicazione di cavilli o codicilli. Nello scritto vengono illustrate le varie soluzioni tecnologiche richiamando non le specifiche norme ma i principi, a partire dal principio di privacy by design.


Nel dibattito sulle misure di contrasto al covid-19 ha fatto ingresso da qualche giorno la possibilità di fare ricorso alle tecnologie più avanzate. In Italia alcuni ministeri, tra cui quello per l’Innovazione, hanno invitato le aziende – lanciando alcune call - a presentare progetti innovativi in vari campi bio-medicali. Tra questi spiccano le tecnologie per la telemedicina; per la diagnostica veloce; e per il “tracciamento continuo, l’alerting e il controllo tempestivo del livello di esposizione al rischio delle persone e dell’evoluzione dell’epidemia sul territorio”.
Il tema dell’utile impiego delle tecnologie disponibili per affrontare l’emergenza era già stato esplorato nelle scorse settimane ma solo tra gli addetti ai lavori, stimolato dalle informazioni sulle metodologie utilizzate principalmente in Cina e in Corea del Sud.
Per quel che si sa, in questi paesi sono state adottate, tra l’altro, tecniche di tracciamento dei movimenti delle persone, al fine di monitorarne i contatti attraverso, appunto, le “tracce” lasciate dagli smartphone o da altri device, o attraverso il sistema satellitare GPS: non solo le posizioni e gli spostamenti ma anche i contatti futuri al fine di prevenire occasioni di contagio, e i contatti passati al fine di individuare le persone a rischio di sviluppare a loro volta l’infezione o di essere portatori più o meno consapevoli del virus.
Non abbiamo al momento sufficienti informazioni sugli effetti dell’impiego di tali tecnologie, sia con riguardo ai risultati direttamente conseguiti che con riguardo a possibili effetti negativi, quali eventuali errori di valutazione, stigma sociale, discriminazioni, turbamenti psicologici, e così via.
Nemmeno siamo in grado di rilevare la misura relativa dell’efficacia di queste tecnologie di tracciamento rispetto alle altre pure impiegate, in primis quelle per la diagnostica veloce e per la telemedicina.
Privacy by design e diritti fondamentali
L’adozione delle tecnologie di tracciamento in Italia e in Europa è stata presentata in varie sedi come una possibile risorsa decisiva, tanto utile da consentire di trascurare ogni valutazione in ordine all’impatto sul diritto alla privacy. Più di un autorevole decisore ha dichiarato che la privacy andrebbe messa da parte in una situazione drammatica come quella che stiamo vivendo, qualcuno ipotizzando addirittura la “sospensione” della protezione della privacy. Tale sospensione tuttavia non è possibile, in ragione sia della natura prevalentemente europea della normativa vigente, sia del rango costituzionale del diritto alla protezione dei dati personali.
In verità la contrapposizione tra la salute e la privacy sconta un difetto di consapevolezza della nozione moderna del diritto alla protezione dei dati personali. Ormai da tempo la privacy non è più intesa, se non in casi particolari, come il “diritto ad essere lasciato solo”. Nella moderna società dell’informazione le persone consapevolmente e volontariamente, comunque inevitabilmente, condividono molte, moltissime, informazioni che li riguardano. Basti pensare ai social network. Ma anche allo stesso telefono cellulare, che è un veicolo di informazioni che vengono immesse in una rete mondiale.
Ciò non di meno, in questa dinamica dell’interconnessione globale emerge la centralità di un moderno diritto alla privacy, da intendersi come ‘diritto al controllo delle informazioni che ci riguardano’. Anzi, la centralità del ruolo delle informazioni personali nelle dinamiche sociali ed economiche fa sì che il controllo delle informazioni personali emerga come un vero e proprio diritto fondamentale, ossia la indefettibile garanzia della libertà della persona rispetto non solo agli accessi abusivi della criminalità informatica ma anche allo strapotere dello stato e dei colossi del web.
Perdere il controllo delle proprie informazioni personali significa arrendersi al rischio del possibile condizionamento delle proprie scelte e delle proprie opportunità di vita, in campo lavorativo, commerciale, politico, persino sentimentale. Per arrivare al pericolo della manipolazione dell’identità personale e delle discriminazioni sociali.
D’altra parte è ovvio come anche la protezione della salute propria e di quella degli altri sia espressione di un diritto fondamentale, quale è il diritto alla salute. Come è possibile allora che due diritti fondamentali entrino in conflitto?
A ben vedere la contrapposizione tra privacy e salute è solo apparente. Per meglio dire, tale apparenza, come dicevo sopra, è la conseguenza di una non corretta identificazione dell’effettiva estensione dei diritti.
Detto in altri termini, se la protezione dei dati personali è funzione dei diritti e delle libertà della persona, il piano su cui si muove non è diverso da quello su cui opera il diritto alla salute. Si può proteggere la salute senza sacrificare la libertà e dunque anche la salvaguardia dei dati personali. Il tema vero non è pertanto “se” si possano adottare delle tecnologie idonee a proteggere la salute, ma “come” tali tecnologie debbano essere sviluppate e come debbano operare.
La soluzione offerta dalla principale fonte di regolazione della protezione dei dati personali, il noto GDPR, ossia il regolamento europeo sulla privacy del 2016, è straordinariamente efficace e funzionale: la privacy deve essere “incorporata” nelle tecnologie che mirino alla protezione della salute. È questo il principio fondamentale che pervade il regolamento: il principio di privacy by design.
In quest’ottica si sono espressi nei giorni scorsi sia l’EDPB - ossia l’organismo europeo costituito dai rappresentanti dei garanti nazionali – sia il presidente dell’Autorità garante italiana in alcune interviste.
Lo scopo di questo scritto è mostrare come il quadro in cui le tecnologie della salute devono operare, e in particolare le tecnologie di tracciamento, sia la declinazione di principi fondamentali e non di cavilli o codicilli. A questo scopo, nell’illustrare le varie soluzioni tecnologiche, non menzionerò singole disposizioni di legge ma solo principi, a partire proprio dal principio di privacy by design.
I tracciamenti di dati anonimi
In un primo campo di impiego dovrebbe operare la regola della anonimizzazione: le strategie di contrasto all’epidemia hanno bisogno di informazioni rigorose relative alla diffusione del virus e delle malattie, da acquisire secondo il rigore della ricerca statistica, senza i condizionamenti che possano derivare dall’emergenza sanitaria o dalla carenza di strumenti diagnostici o da altre contingenze. E’ indispensabile sapere quale sia la distribuzione del virus sul territorio; quali siano le fasce d’età più colpite; quale sia la probabilità di contagio in relazione ai diversi fattori (penso tra gli altri al contatto con gli asintomatici, alla frequentazione dei bambini, al contatto con gli oggetti); e così via. Ebbene, gran parte di queste informazioni devono essere acquisite rendendole anonime e poi, generalmente, aggregandole, senza bisogno di identificare le singole persone che devono essere scrutinate. Il dato, originariamente personale, viene pertanto anonimizzato automaticamente dal sistema e così acquisito e trattato. L’aggregazione deve aver luogo con rigore statistico, su campioni rappresentativi appositamente formati e l’intelligenza artificiale può dare un contributo eccezionale al riguardo. Tale funzionalità, nel campo epidemiologico, è probabilmente la più utile al momento, e se ne avverte sempre più la mancanza. Ebbene, in questo ambito la protezione dei dati personali è intrinseca nel trattamento anonimo, dunque non riferibile alle singole persone. Al riguardo si pone “soltanto” (uso le virgolette per evidenziare che anche questo non è un profilo banale) il tema della sicurezza del trattamento, per evitare che ci possano essere accessi abusivi al flusso delle informazioni. Si tratta cioè di evitare che nell’ambito di un trattamento di informazioni anonimizzate qualcuno possa estrarre abusivamente informazioni di natura personale.
I tracciamenti pseudonimizzati
Una seconda modalità di trattamento concerne le informazioni personali delle persone contagiate o ammalate, al fine di tracciare i loro contatti precedenti alla diagnosi e così intervenire assicurando l’assistenza medica e/o prescrivendo opportuni periodi di isolamento in quarantena. Al riguardo sono state immaginate e, per quanto io abbia compreso, anche tentate le strade dell’utilizzazione delle “tracce” telefoniche, attraverso l’incrocio delle celle attraversate nelle settimane precedenti la manifestazione del contagio. Si è però presto compreso che, in particolare nelle città, le informazioni da trattare sarebbero enormi, eccessive. I risultati, inoltre, sarebbero ben poco utili, anche in ragione del fatto che le celle telefoniche operano in un’area estesa verticalmente, per cui – ad esempio – ci dicono semplicemente che nei vari momenti della giornata siamo passati vicino a palazzi o luoghi dove abitano o lavorano centinaia o anche migliaia di persone. Non consentono dunque di circoscrivere aree da isolare per sottoporle ad osservazione o a controllo speciale. L’informazione è poi ancora meno significativa quando l’epidemia è nella fase di ampia estensione, con decine o centinaia di migliaia di contagiati nel paese. D’altro canto, la metodica è poco utile nella fase di lockdown, o nei piccoli paesi, giacché in questi casi i contatti personali sono per lo più esigui e facilmente rilevabili.
Sotto il profilo tecnologico si è pertanto prescelto, così ad esempio in Corea del sud, l’utilizzo di App che facciano uso della tecnologia bluetooth. Questa è una tecnologia che opera in un raggio di azione limitato a pochi metri e consente di registrare il flusso dei contatti in un ambito molto più selettivo. L’altro aspetto interessante è che il funzionamento di queste applicazioni si basa sulla attribuzione di un nickname a ciascun utente, che dunque non deve essere identificato personalmente, almeno nell’ambito del funzionamento fisiologico del sistema. Si tratta di un meccanismo di “minimizzazione” del trattamento, che è una delle più chiare indicazioni operative del GDPR. Anche le comunicazioni agli interessati, nella fisiologia del sistema, avvengono attraverso l’applicazione, senza necessità di identificare l’utente. Così l’utente riceverà informazioni di utilità generale ma potrà anche essere informato del fatto che la sintomatologia che egli descrive è indice di rischi effettivi, oppure che tra i suoi stretti contatti, o nelle sue vicinanze, ci sono persone che potrebbero esporlo a rischi di contagio. Egli così potrà o dovrà rivolgersi ai servizi competenti, senza che nessuno in questa fase sia identificato.
A mio avviso un meccanismo di identificazione personale può scattare soltanto nel caso in cui la persona si sottragga all’applicazione fisiologica del sistema, ad esempio non informando i servizi preposti o non dando prova di averlo fatto fornendo il codice trasmesso automaticamente. Allo scopo si dovrebbe prevedere che l’identificazione personale debba aver luogo in una “stanza” diversa, ad opera di soggetti autorizzati al trattamento distinti da quelli che gestiscono la dimensione fisiologica del sistema. Per intenderci, un po’ come quando si fa un acquisto e si paga con Paypal. Un tale switch del meccanismo sarebbe giustificato dalla necessità di evitare ed eventualmente sanzionare l’esposizione a pericolo della salute pubblica.
Le tecnologie di controllo
Un terzo campo di azione è quello del “controllo” delle persone a cui sia prescritta la quarantena, per evitare che si sottraggano alle prescrizioni. Per certi versi questo è l’ambito più semplice di applicazione delle tecnologie in esame, ma è forse anche il meno proficuo. Le ragioni di salute pubblica, per non dire di emergenza nazionale, convergenti con le ragioni della tutela della salute individuale, consentono una limitazione della libertà di movimento degli interessati e, nell’ambito della limitazione della libertà personale, deve essere ricompreso anche il trattamento dei dati. I profili di protezione sono dunque in questo caso attenuati, sebbene l’adozione di questi strumenti tecnologici non sembri implicare un salto di qualità nelle azioni di contrasto. Essi tuttavia sono stati impiegati, ad esempio a Hong Kong, nella forma di una sorta di braccialetto elettronico.
Privacy e salute non sono in conflitto
L’esame che abbiamo svolto mostra come non via sia ragione di prospettare un possibile conflitto tra l’impiego di tecnologie evolute e il diritto fondamentale alla protezione dei dati personali. Emerge anzi come il rispetto dei principi possa facilitare la spontanea adozione delle tecnologie disponibili, identificate come tecnologie di protezione e non di controllo sociale.
Se non sussiste un conflitto sotto il profilo tecnologico, esiste invece il rischio che nell’adozione delle decisioni in materia si trascuri la verifica del rispetto del principio di privacy by design; ossia che non si consideri indefettibile l’incorporazione della privacy nella tecnologia. Un altro rischio, anche questo di natura politica e non tecnologica, è che si trascuri il profilo dei necessari controlli relativi all’impiego di queste tecnologie. E’ stato giustamente sottolineato dal presidente dell’Autorità garante, Antonello Soro, che le tecnologie in questione devono essere impiegate sotto lo stretto controllo di una autorità e/o di un ufficio pubblico. In particolare, quando emerga la necessità o la possibilità di trattamento di dati personali, riterrei preferibile che autorizzati al trattamento siano soltanto specifiche figure pubbliche, o pool creati ad hoc, con uno status speciale. Abbiamo tuttavia illustrato come il trattamento di dati personali dovrebbe coprire uno spazio limitato della operatività delle tecnologie descritte, ove queste incorporino nel disegno la protezione della privacy. Di regola, infatti, i dati dovrebbero essere trattati in forma anonima o dovrebbero essere psuedonimizzati.
Prima di concludere mi si consenta un’ultima chiosa. E’ evidente che il sistema che ho esaminato non fornisce miracoli virtuali che possano tenere il luogo di indispensabili attività materiali: non si possono tracciare i contagi se i test vengono effettuati molto limitatamente. Sussiste inoltre inevitabilmente la difficoltà di attivare nei vari sistemi tutte le persone, soprattutto le più anziane che sono poi le più vulnerabili al covid.
E’ importante infine evidenziare come siano particolarmente rilevanti anche altri fronti tecnologici, alcuni dei quali già impiegati in altri paesi. Mi riferisco, ad esempio, alle tecniche per la diagnosi veloce o immediata, nonché agli strumenti di telemedicina per fornire supporto e assistenza tempestivi. Perché, a ben vedere, quello che stiamo imparando, anche delle esperienze degli altri paesi, è che la ricetta più efficace per sconfiggere l’epidemia sta nella tempestività degli interventi, a partire da quelli diagnostici e terapeutici.

Agostino Clemente è stato curatore del volume Privacy, edito da Cedam nel 1999, per la collana Enciclopedia diretta da Paolo Cendon.