La Corea del Sud è uno dei paesi che ha dato carta bianca alla tecnologia per gestire l’attuale pandemia di Coronavirus, indipendentemente dalle implicazioni, piuttosto invasive, in materia di privacy. Ecco, quindi, che app come Corona 100M, che informa della presenza di contagiati da Covid-19, con un dettaglio di 100 metri di distanza dalla localizzazione dell’utente, diventano strategiche per il contenimento del contagio. L’app fornisce, addirittura, anche la data e ora in cui è stato diagnosticato il contagio, facendo in modo che i soggetti in questione diventino facilmente identificabili incrociando età, quartieri e attività in corso. Sempre a garanzia di minore esposizione al contagio sono stati messi a punto anche i siti web Coronamap.live e Wuhanvirus.kr, in cui vengono illustrati gli spostamenti di persone potenziali vettori del virus, e un motore di ricerca dedicato, Coronaita, che offre puntuali informazioni sulle aree colpite dall’emergenza.
I Paesi orientali e l'uso di tecnologie per tracciare le persone
Alla base di questo uso estensivo dei dati personali, vi la passata esperienza di Seul relativa all'epidemia di Mers (la Sindrome Respiratoria del Medio Oriente) del 2015, quando il governo fu molto criticato per aver tenuto segrete le informazioni sui contagiati: ciò ha determinato emendamenti legislativi in ottica di maggiore controllo sulle identità e spostamenti dei contagiati in caso di crisi sanitarie. Da qui l’uso massivo di tecnologie come il geotracking per tracciare i movimenti degli infetti, riuscendo a ricostruire tutta la loro rete di contatti. Questo ha portato a risultati tangibili sul controllo dei numeri dell’emergenza, e ha fatto sì che la Corea del Sud non abbia dovuto attuare le misure restrittive adottate dalla Cina, imponendo un cordone sanitario attorno a Wuhan, all'interno del quale sono bloccate 56 milioni di persone da parecchie settimane.
In un tale contesto emergenziale è lecito chiedersi quanto sia corretto sacrificare la tutela di dati sensibili, quando le ripercussioni di tale disclosure sono riportate dalle stesse testimonianze di alcuni sudcoreani che si sono visti discriminare, chiamare untori, piuttosto che soffrire la pubblica esposizione di dettagli della propria vita privata, tanto da rimanerne sicuramente compromessi anche al termine della pandemia.
Lo scenario dell'occidente alla luce del Gdpr
In Occidente, ed in Europa in particolare, lo scenario è decisamente diverso. Legislazioni nazionali dei paesi membri, oltre che europee, con autorità ad hoc competenti in materia, hanno il compito di regolamentare, gestire e sorvegliare la tutela dei dati personali e punire data breach che contravvengono a tali disposizioni. Il Gdpr, ovvero regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, entrato in vigore a partire dal 25 maggio 2018, è l’esempio perfetto del tipo di disposizioni a cui conformarsi con cura, nonostante abbia, inizialmente, procurato diversi mal di testa a molte istituzioni e imprese, incentivandone però lateralmente il progresso tecnologico.
In questa particolare situazione di pandemia, si replicano anche oggigiorno dinamiche comportamentali già riscontrate in epoche passate, inclusa la ricerca spasmodica dell'untore, del "paziente zero”, divulgandone la sua identità, anche solo per soddisfare la curiosità delle persone. Al contrario, la necessità più nobile nel definire la fonte del contagio ha forti radici scientifiche, poiché ciò aiuta a rispondere a domande cruciali su come, quando e perché la malattia è iniziata e permette di contenere il contagio.
Il poter raccogliere, processare, analizzare ed, infine, divulgare tali informazioni grazie a tecnologie digitali ottimizza di gran lunga i processi, velocizzando i tempi di reazione e risposta e fornendo indicazioni comportamentali puntuali ai cittadini.
La posizione dell'autorità italiana...
Questa situazione di urgenza ed incertezza ha attivato immediatamente le reazioni delle autorità garanti europee in materia, fornendo il loro contributo e le loro linee guida in merito alle attività di trattamento dei dati e alla lotta contro il Coronavirus. L’Autorità garante italiana per la protezione dei dati personali è stata una delle prime a pronunciarsi sull’attuale congiuntura (già dal 2 febbraio 2020 in coordinamento con la Protezione Civile), e, a questo proposito, Antonello Soro, presidente dell’Autorità, ha specificato che “il diritto alla privacy è un diritto non tiranno, e come tale soggetto a bilanciamento come altri beni giuridici, ovvero la salute pubblica. […] L’emergenza è una condizione giuridica che legittima, in generale, la limitazione della libertà, purché proporzionalmente alle esigenze di contrasto a questa stessa e in maniera limitata nel tempo”. L’emergenza, allora, non si configura come una fonte del diritto, ma come una circostanza da iscrivere nel quadro di garanzie costituzionali, con tutte le deroghe del caso. Bisogna, quindi, graduare le limitazioni delle libertà e dei diritti dei cittadini, e tenere presente che tale principio di deroga, proprio dell’ordinamento italiano e europeo, non tradisce i fondamenti democratici sui quali si basano gli ordinamenti europei, diversamente da quanto avviene altrove nel mondo.
...e di quella europea sulla protezione di dati sensibili
Chiarezza è stata fatta anche a livello europeo, con la nota emanata il 16 marzo 2020 dal Comitato europeo per la protezione dei dati (EDPB), con cui da Bruxelles la sua presidente, l’austriaca Andrea Jelinek, ha specificato: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data”. Inoltre, sempre in tale nota, è stato specificato che il GDPR è un'ampia legislazione e prevede anche che le regole si applichino al trattamento dei dati personali in un contesto come quello relativo al Covid-19, e che, quindi, il GDPR presuppone le basi legali per consentire ai datori di lavoro e alle autorità sanitarie competenti di trattare i dati personali nel contesto di epidemie, senza la necessità di ottenere il consenso dell'interessato (come ad esempio la misurazione della temperatura corporea nei luoghi di lavoro, purché tali dati non siano successivamente impiegati per altri fini).
In riferimento alla già citata geolocalizzazione, geotracking, invece, anonimizzare i dati raccolti ne consente l’utilizzo, dato che le leggi nazionali di attuazione della Direttiva sull’ePrivacy prevedono il principio secondo cui i dati di localizzazione possono essere utilizzati dall'operatore solo quando sono resi anonimi o con il consenso delle persone.
In definitiva, ricondurre le scelte emergenziali dentro una cornice giuridica conforme all’ordinamento giuridico italiano ed europeo in atto, senza perdere di vista l’obiettivo ovvero la ricostruzione della catena epidemiologica per il contrasto della diffusione del virus ed, in generale, definire meccanismi proporzionali al contesto, costituisce la vera sfida per l’introduzione di tecnologie funzionali da mettere in uso al più presto.
