Il Covid-19 ha riportato alla ribalta il rapporto tra privacy individuale e sicurezza collettiva, rievocando su scala decuplicata le settimane che seguirono l’11 settembre 2001.
Come allora gli Stati sono determinati ad adottare ogni provvedimento utile alla salute (e alla sicurezza) dei loro cittadini, consapevoli che l’obiettivo potrebbe richiedere, in parte, il sacrificio di alcune facoltà individuali, anche relative alla riservatezza.
L’esperienza, del resto, insegna che le situazioni di pericolo creano la ricerca di sicurezza, rendendo accettabile che il raggiungimento dell’obiettivo possa implicare la cessione di quote di libertà.
La questione centrale di cui vorrei occuparmi è tuttavia un’altra: comprendere in quali misure ciò è accaduto in queste settimane, non solo in Italia ovviamente.
La lotta al Covid-19, vista dal profilo che qui analizzo, ha sviluppato due sistemi di contrasto al contagio.
Il nostro Paese e la maggior parte degli Stati hanno adottato, sino ad ora, un approccio basato sull’isolamento fisico delle aree di focolaio e sul trattamento dei dati sanitari nella misura indispensabile a garantire l’attuazione dei provvedimenti di salute pubblica. Il Trattamento è stato effettuato principalmente dagli organi del Ministero della salute e, da qualche giorno, anche dalle aziende nell’ambito delle misure di contrasto alla diffusione del virus negli ambienti di lavoro.
Vi è poi il sistema di difesa adottato dalla Corea del Sud (e con profili diversi da Israele)[1], basato sulla limitazione dei lockdown, sostituiti da un sistema di sorveglianza digitale, in grado di individuare i contagiati, ricostruire le loro catene di contatto e sorvegliare l’attuazione della quarantena.
Sul campo quest’ultimo metodo ha dimostrato una indiscutibile superiorità. La Corea è stata tra le prime nazioni a registrare focolai di Covid-19 nel mondo, eppure al 20 Marzo conta 8.652 contagiati, laddove nel nostro Paese, purtroppo, le persone infette sono 41.035. Il dato che rende ancor più schiacciante il confronto è quello legato ai decessi: 94 persone morte in Corea contro 3405 in Italia.
La medaglia di questo successo ha però anche un’altra faccia: il prezzo che tutto ciò ha comportato in termini di compressione dei diritti (e della riservatezza).
Lo Stato coreano ha utilizzato un sistema di cliniche mobili, installate lungo le strade, che hanno lavorato con la stessa logica del box dei team di Formula 1 durante i pit stop: lunghe code di persone hanno transitato davanti ai sanitari per ricevere la somministrazione del test. In alcuni casi è stato possibile eseguire l’operazione anche restando in macchina. In 7 settimane sono stati eseguiti all’incirca 300 mila tamponi.
Nel frattempo, i team investigativi del governo sono stati incaricati di creare una traccia digitale di ciascuna persona analizzata, all’interno della quale far confluire e interconnettere dati personali, dati sanitari, utenze telefoniche, account digitali, dati Gps, immagini di video sorveglianza, movimenti di spesa mediante app e carte di credito.
Queste tracce, attraverso un sistema efficiente di big data analysis, hanno consentito di ricostruire a ritroso la catena dei contatti degli infetti, individuare nuovi soggetti da analizzare e verificare che le persone si adeguassero alle prescrizioni che il sistema aveva loro inviato sullo smartphone a seguito del tampone.
Il metodo utilizzato in Corea è stato certamente efficacia, ma certamente è poco compatibile con la nostra cultura giuridica e la nostra stessa concezione di democrazia.
Visto sotto il profilo della tutela della riservatezza, il nostro approccio al contagio è figlio di una diversa sensibilità sul tema che si è sviluppata in Italia e in Europa. L’esempio coreano rappresenterebbe per noi l’azzeramento e la negazione delle norme che regolano la privacy e del sistema di principi costruito intorno a essa.
È certo, per quanto già detto, che in condizioni di eccezionale pericolo possa rendersi necessario derogare a qualche facoltà individuale. Anche in queste ipotesi è condizione imprescindibile che si tratti di una deroga temporanea e circoscritta alla libertà di ciascuno di noi di sottrarre ambiti della propria vita privata al controllo statale, quando tale controllo non risulti indispensabile.
In Sud Corea il trattamento dei dati ha certamente avuto un risultato eccezionale nella lotta alla diffusione del contagio ma ha determinato un’invasione capillare in molti aspetti della vita dei singoli. Aspetti che sarebbe stato preferibile non condividere con il Governo. Inoltre, non ci sono conferme del destino che questa enorme massa di dati potrà avere nel prossimo futuro, e in particolare se verrà cancellata finita l’emergenza o se sarà utilizzata ancora e magari per ulteriori scopi[2].
Questi esempi ci insegnano in ogni caso che i principi di trasparenza, di proporzionalità, di temporaneità e di coerenza del trattamento dei dati personali non sono dei semplici totem, ma costituiscono validi misuratori della liceità del trattamento, anche quando è lo Stato il titolare di questa attività.
Anche nei casi eccezionali questi principi non dovrebbero infatti essere mai derogati e ritengo che tali limitazioni non sarebbero in grado di sopravvivere nella cultura della tutela dei dati personali che si è sviluppata in Europa e in Italia in tutti questi anni.
Bilanciare la salute pubblica e la riservatezza non è certamente un compito agevole. Credo però che il nostro Paese lo stia svolgendo con attenzione in questo momento difficile, anche quando si tratti di regolare i trattamenti tra privati.
A tal proposito credo che meriti una menzione il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” adottato dal Governo e Parti Sociali il 14 marzo scorso.
Il Protocollo prevede che l’azienda debba accertare la temperatura corporea degli addetti, prima del loro ingresso all’interno dei luoghi di lavoro.
Ciò, tuttavia, senza alcuna facoltà – ritengo – per il datore di lavoro, che è titolare del trattamento del dato sanitario rilevato, di conservare queste informazioni se non per comprovare l’isolamento temporaneo della persona e la richiesta di intervento sanitario. Dunque, il dato della temperatura corporea, se inferiore ai 37.5°, deve essere istantaneo e non memorizzato.
Le aziende devono in ogni caso fornire ai propri addetti una adeguata informativa (anche orale) su questo ulteriore trattamento dei dati sanitari, esplicitando che il medesimo è finalizzato all’adozione delle misure di contenimento del Covid-19 e di fatto attuando, anche in relazione a questo particolare tipo di trattamento dei dati personali, sempre e comunque i principi di trasparenza, proporzionalità, temporaneità e coerenza.
Il trattamento dei dati personali
dei lavoratori, anche nelle situazioni di emergenza, merita sempre una attenta
riflessione sulle modalità da adottare e le conseguenze che ne derivano, poco
prestandosi a improvvisazioni o a scelte drastiche.
[1] Esisterebbe, in realtà, anche il metodo utilizzato dalla Cina, che ha manifestato però tratti autoritaristici, che non permettono neppure di richiamare il concetto di privacy.
[2] Non vogliamo cadere nel tranello di una teoria del complotto, ma solamente mettere in luce un possibile rischio.