A queste tutele di natura privatistica si affianca il ruolo dello Stato nella gestione e nella protezione dei dati dei cittadini. Tale protezione è garantita in primo luogo riservando l’attività di raccolta dei dati ai soli soggetti muniti di un’apposita licenza (Art. 23 della Legge) ed autorizzati a conservarli in servers fisicamente collocati in Cina (Art. 37 della Legge). Le Previsioni sulla Supervisione della Rete e sulle Ispezioni da parte degli Organi di Pubblica Sicurezza (公安机关互联网安全监督检查规定), inoltre, consentono agli organi di sicurezza pubblica di accedere agli uffici degli Internet Service Providers sia fisicamente, sia attraverso l’accesso ai servers, allo scopo di verificare che il trattamento dei dati avvenga nel rispetto della legge. L’azione degli organi di sicurezza pubblica è regolata, nel senso che le Previsioni si preoccupano di prevenire abusi da parte degli operatori di tali organi (art 5 delle Previsioni). Più problematica è la questione riguardante la legittimità dell’operato degli organi stessi, che agiscono in base ad un generico dovere di sorveglianza derivante dalla Legge sulla Sicurezza della Rete e ribadito più volte, ma non specificato nei suoi contenuti, dalle Previsioni[28].
Il limite dell’ordinamento cinese è che presuppone che l’interesse dei cittadini alla tutela dei dati e quello dello Stato alla sicurezza della rete coincidano in larga parte. Non sorprende quindi il fatto che l’istituzione della Piattaforma Nazionale Integrata di Servizi Governativi non sia considerata lesiva del diritto alla riservatezza dei cittadini, ma anzi uno strumento che, attraverso una gestione centralizzata e tecnicamente sicura, ne rafforza la protezione.
La peculiarità del sistema cinese di contact tracing deriva perciò da due circostanze distinte. La prima è di natura strutturale e consiste nella capacità dello Stato di coordinare un numero vastissimo di entità, al fine di perseguire una strategia unitaria. L’efficacia del contact tracing in Cina deriva da tale coordinamento, reso possibile anche dal controllo centralizzato dei dati riguardanti i cittadini. D’altro canto, si rileva la particolare concezione della tutela delle informazioni sensibili riguardanti i cittadini. Esse non sono tutelate nell’ottica di garantire una protezione dall’intrusione dello Stato. Al contrario, è lo Stato, che attraverso l’accesso alle informazioni, si erge come garante contro eventuali abusi da parte dei soggetti ad esso esterni.

3. Il contact tracing in Europa
La diffusione del coronavirus in Europa ha spinto numerosi governi nazionali ad accelerare lo sviluppo di meccanismi di contact tracing, anche a seguito dell’efficacia dimostrata da tali strumenti in diversi paesi dell’Asia Orientale tra cui, oltre alla Cina, anche Taiwan, La Corea del Sud e Singapore. L’Unione Europea ritiene prioritario garantire che le app per smartphone adottate negli Stati membri rispondano ad alcuni criteri comuni ed ha pertanto adottato uno standard condiviso, il Common EU Toolbox for Member States. In primo luogo, le app adottate dai diversi Stati dovranno essere interoperabili, ciò consentirà in futuro una più facile ripresa degli spostamenti tra paesi europei. Ma la creazione di regole tecniche da parte dell’UE ha anche la funzione di imprimere gli obiettivi europei della tutela della libertà individuale e della riservatezza nell’architettura stessa delle app di contact tracing. E ciò anche allo scopo di aggirare le incertezze che ancora avvolgono l’effettiva portata della protezione offerta dal GDPR alle informazioni riguardanti i cittadini[29].
L’Annesso I del Common Toolbox impone infatti che il contact tracing avvenga mediante l’uso di tecniche di rilevamento della prossimità installate volontariamente dagli utenti. In sintesi, le app devono inviare un segnale bluetooth (ovvero un segnale che non fornisca informazioni sulla posizione dello smartphone) a tutti i dispositivi circostanti che abbiano a loro volta attivato l’app[30]. L’invio del segnale lascia quindi una “traccia” nei dispositivi vicini attraverso la comunicazione di un numero generato casualmente, ma riconducibile al codice QR che identifica ciascun utente. La traccia del contatto tra i due segnali bluetooth è conservata per 14 giorni nella memoria dei telefonini, ovvero in un server centrale ma in forma anonimizzata. L’oggetto principale delle app di contact tracing, così come concepito dall’Unione Europea, rimane dunque al di fuori dell’ambito di tutela del GDPR, chiave di volta del sistema europeo di protezione dei dati. Infatti, il Regolamento Generale è costruito attorno alla nozione di dati personali, informazioni che consentono di individuare il soggetto che riguardano, mentre lo strumento adottato dal Common Toolbox, il bluetooth, non consente raccogliere dati sulla posizione degli utenti, da cui sarebbe possibile risalire all’identità, ma solo sui loro contatti. Pertanto, il trattamento di dati personali da parte delle app di contact tracing conformi allo standard europeo dovrebbe essere limitato ad attività ancillari.
Se le autorità sanitarie, per forza di cose, sono al corrente dell’identità dei soggetti infetti rilevati, non possono però accedere a quella dei loro contatti, che sono identificati mediante un codice a barre. Le informazioni relative ai contatti possono essere utilizzate esclusivamente in forma aggregata e anonimizzata per scopi di ricerca, ma non per assicurare che i contatti si attengano alla raccomandazione di auto isolarsi. Inoltre, poiché l’app non garantisce alle autorità sanitarie l’accesso alla posizione degli utenti e poiché l’accesso da parte delle autorità ai dati sugli spostamenti dei cittadini raccolti dalle piattaforme private è consentito ai soli fini di ricerca, l’architettura tecnica del servizio esclude che i portatori di coronavirus accertati e i loro contatti possano essere sorvegliati mediante geolocalizzazione[31].
Qualora le autorità sanitarie individuino un utente del servizio positivo al coronavirus, devono limitarsi ad inviare una notifica a tutti i soggetti memorizzati nell’app, ovvero contattarli telefonicamente. Il contenuto della notifica è rilasciato alla determinazione degli Stati membri, ma tendenzialmente dovrebbe a) mirare ad informare il notificato del fatto di essere entrato a stretto contatto con un individuo infetto (senza fornire informazioni atte ad identificarlo); b) suggerire al notificato di isolarsi per un periodo di 14 giorni; c) stabilire un canale di contatto tra il notificato e le autorità sanitarie, in modo da consentire l’accesso ad un canale prioritario per l’effettuazione di un test (tampone)[32].
E’ opportuno insistere sulla circostanza che, nel sistema ideato dalla Commissione UE, l’app è installata dai cittadini su base volontaria. Questo è un elemento di fondamentale importanza, in quanto, affinché i sistemi di tracciamento abbiano l’efficacia sperata è necessario che essi siano adottati almeno dal 50% dei cittadini (in Italia il 73,8% della popolazione usa uno smartphone, il che vuol dire che la maggioranza di tali utenti dovrebbe acconsentire a scaricare l’app)[33]. Non è chiaro in quale misura gli Stati membri possano incentivarne l’adozione, ma è da escludersi che possano imporre un sistema di incentivi equiparabile a quanto esaminato per la Cina, dove l’esibizione dell’app è un requisito per l’accesso ad alcuni servizi essenziali come il trasporto pubblico. Tutt’al più, come sembra suggerire la guida di Immuni, l’app vincitrice della gara d’appalto in Italia, potrebbero essere alcune grandi aziende ad imporre l’uso dell’app ai propri dipendenti[34].
In definitiva, lo standard europeo si basa su un modello ispirato alla libertà personale dei cittadini ed alla tutela della persona (attraverso la riservatezza). Questi del resto sono principi cardine non solo dell’ordinamento giuridico, ma della stessa civiltà europea. . E’ perciò evidente che le scelte operate da ciascun cittadino saranno decisive nel definire l’andamento della curva epidemiologica e nella ripresa delle attività economiche e sociali. Ma più importante ancora sarà il ruolo degli Stati membri. In primo luogo ad essi, pur con degli accorgimenti tecnici, sono affidate informazioni sensibili riguardanti la salute dei cittadini. D’altra parte, la responsabilizzazione dei cittadini e l’incisività di ogni decisione individuale sull’andamento dell’epidemia, rendono evidente come sia opportuno che la comunicazione da parte degli Stati sia trasparente e veritiera.

^Note

28.  http://www.gov.cn/gongbao/content/2018/content_5343745.htm ↑

29.  V. anche la raccomandazione della Commissione Europea dell’8 aprile 2020. E’ opportuno segnalare che la raccomandazione ammette l’uso di dati sulla posizione degli utenti forniti dagli Internet Service Providers, ma solo in forma aggregata e con l’uso di tecniche di anonimizzazione, a scopo di analisi. ↑

30.  Il segnale deve essere preciso ed individuare tutti i dispositivi che si trovino nel raggio di un metro e mezzo, con un margine di errore di mezzo metro. ↑

31.  v. l’Allegato I del Common EU Toolbox. ↑

32.  Common EU Toolbox for Member States del 15 aprile 2020. https://ec.europa.eu/commission/presscorner/detail/en/ip_20_670 ↑

33.  Common EU Toolbox, pag. 2. ↑

34.  https://www.agendadigitale.eu/cultura-digitale/immuni-come-funziona-lapp-italiana-contro-il-coronavirus/ ↑

Pagine: 1 2 3 4