Tutti tracciati per il Coronavirus? Con quali rischi?

Desperate times, desperate measures”. Come a dire in emergenza tutto è consentito, un po’ come in amore e in guerra. Il titolo è uno dei tanti apparsi in questi giorni e riferiti alla notizia che in America, sulla scorta di quanto già fatto in Corea, Cina e altri Paesi, il Governo ha approvato norme di emergenza per la raccolta dei dati sulla posizione del cellulare e ulteriori informazioni personali su coloro a cui è stato diagnosticato il coronavirus o che sono sospettati di essere stati contagiati da altri. Obiettivo sarebbe quello di far rispettare gli ordini di quarantena, monitorando in modo stretto gli spostamenti, oltre che avvisare le persone venute in contatto con qualcuno risultato positivo al test.

Stando a quanto viene riportato da alcune testate, funzionari del Governo americano starebbero discutendo con grandi player quali Facebook e Google, proprio al fine di individuare possibili utilizzi dei dati in possesso delle piattaforme. Secondo TechCrunch: “i dati sulla posizione presi dagli smartphone degli americani potrebbero aiutare gli esperti di salute pubblica a tracciare e mappare la diffusione generale dell’infezione”. Sembrerebbe comunque che, proprio per tutelare gli utenti, i dati sarebbero finalizzati ad aiutare organizzazioni come i Centers for Disease Control and Prevention (CDC) ad avere una visione d’insieme del contagio, disaccoppiata pertanto dalle singole identità dei cittadini contagiati. Lo stesso, in Italia, stanno facendo alcune Regioni con gli operatori telefonici. Insomma, il tema è particolarmente delicato.

Tracciamento dei malati, una novità?

Sicuramente il ricorso alla tecnologia digitale e in particolare alla grande mole di dati raccolta quotidianamente per lo più da soggetti privati non è certo una novità. Non lo è infatti per Israele che prevede già ora il tracciamento delle persone alle quali è stato diagnosticato Coronavirus e dei possibili contagiati in quarantena e la possibilità di inviare messaggi ad hoc alle persone venute a contatto con i contagiati. La polizia israeliana raccoglie i dati sulla posizione della persona sotto sorveglianza, li invia al ministero della salute e fa attività di controllo sugli spostamenti.

Stessa modalità è usata in Corea del Sud, dove le misure erano state già individuate e non adottate nel 2015 in occasione dell’epidemia da MERS. Oggi il Governo invia massivamente messaggi alla popolazione con le misure igieniche da seguire oltre che l’indicazione dei posti frequentati da persone infette, andando a riportare dati come l’età, il genere e l’attività svolta dal malato, tanto da consentirne l’identificazione. Le attività di monitoraggio sono state realizzate non soltanto utilizzando posizioni GPS da cellulare, ma incrociando queste informazioni con quelle rilevate tramite riconoscimento facciale delle telecamere di sorveglianza oltre che da transazioni bancarie dei pagamenti effettuati con carta di credito. La raccolta di Big Data e la sua analisi è orientata a quella che si definisce attività di “contact tracing”, ovvero di tracciamento degli spostamenti dei contagiati e dei luoghi da essi frequentati per consentire al Governo interventi mirati (la cui efficacia è tutta da dimostrare).

Ma si può fare?

Ora, se si racconta la storia anche a un ragazzino di sedici anni (storia vera, ndr) questo commenterà con un: “ma questa è dittatura! Non si può fare qui in Italia!”. Tuttavia – proprio in Italia – non ci si interroga abbastanza su come bilanciare in modo corretto diritti quali quello della libertà personale e della protezione dei dati con quello della protezione della salute individuale e pubblica. Il Garante italiano, Antonello Soro, alla specifica domanda sulla possibilità di tracciare i cellulari per controllare gli spostamenti dei cittadini ha risposto in questo modo: “Finora ho letto numerosi generici riferimenti all’esperienza coreana e – più timidamente – cinese. Bisognerebbe conoscere proposte più definite. Mi limito a osservare che quelle esperienze sono maturate in ordinamenti con scarsa attenzione – sebbene in grado diverso – per le libertà individuali. E in ogni caso mi sfugge l’utilità di una sorveglianza generalizzata alla quale non dovesse conseguire sia una gestione efficiente e trasparente di una mole così estesa di dati, sia un conseguente test diagnostico altrettanto generalizzato e sincronizzato. Premesso questo, non esistono preclusioni assolute nei confronti di determinate misure in quanto tali. Vanno studiate però molto attentamente le modalità più opportune e proporzionate alle esigenze di prevenzione, senza cedere alla tentazione della scorciatoia tecnologia solo perché apparentemente più comoda, ma valutando attentamente benefici attesi e “costi”, anche in termini di sacrifici imposti alle nostre libertà“.

E allora, in emergenza come si possono utilizzare le tecnologie digitali garantendo la Sostenibilità Digitale?

Una risposta alla domanda la si può trovare già in una proposta del Garante europeo risalente al 2015 e al caso Ebola, quando si fece riferimento, nel parere 4/2015 “Verso una nuova etica digitale”, ad algoritmi e quindi al ricorso a Big Data e Intelligenza artificiale per analizzare dati in modo aggregato, “mascherando l’identità al fine di proteggere le persone, sfruttando al contempo il potere predittivo degli stessi dati”.

Il problema, come al solito, non è tanto se si possa o non si possa fare – commenta Stefano Epifani, consulente delle Nazioni Unite, presidente del Digital Transformation Institute ed autore del libro Sostenibilità Digitale. “È ormai abbastanza scontato, credo, che anche a livello internazionale ci si muoverà nella direzione del contact tracing. Il problema consiste nel fatto che alcune delle soluzioni che si sono prospettate a livello internazionale sono state concepite senza alcun riguardo per alcuni diritti fondamentali dell’individuo, che vanno ad incidere – peraltro – su un tema delicato come la salute. Non è un caso che anche le Nazioni Unite stiano esprimendo forte preoccupazione per il fatto che nel tentativo di combattere il coronavirus si rischi di intaccare gravemente i diritti umani. E non è da sottovalutare il rischio che, scelte fatte sotto la pressione della paura e dell’emergenza, sfocino in soluzioni sbagliate e liberticide. Anzi: di solito è la regola. Dovremmo ragionare in termini di sostenibilità digitale. Avremmo dovuto farlo anni fa, ripensando ai protocolli di contenimento e di gestione delle emergenze sanitarie sulla base da una parte delle tecnologie disponibili, dall’altra del framework dei diritti umani e dello schema di Agenda 2030. Prescindere da questi strumenti rischia di condurre a scelte sbagliate, non condivise a livello internazionale e non necessariamente coerenti con un quadro di riferimento comune. Con questa partita stiamo facendo un passo dal quale sarà difficile, quasi impossibile tornare indietro, e quali che siano le decisioni che si prenderanno è fondamentale che vengano prese con la consapevolezza necessaria rispetto a ciò che stiamo mettendo in gioco. Il problema, invece, è che si vede scarsissima consapevolezza della dimensione complessiva del quadro di riferimento e della partita in corso. Ci schermiamo, in Italia, dietro il fatto di essere una democrazia, e questo ci dovrebbe mettere al riparo dai rischi che si correrebbero scegliendo le soluzioni estreme, per così dire, che sono state prese in Paesi notoriamente non democratici. E non ci rendiamo conto che sono proprio queste scelte a rendere un paese più o meno democratico, nella sostanza”.

Quali i rischi che si corrono aprendo ora, in emergenza, le porte all’accesso a dati raccolti con altre finalità?

Ce lo spiega Francesco Micozzi, avvocato e docente di Informatica Giuridica all’Università di Perugia: “Il richiamo a misure di monitoraggio di un numero più o meno esteso di cittadini ed entro i confini di un più o meno precisato territorio sembra quasi rievocare gli scenari descritti da Orwell in “1984”. Bisogna prestare particolare attenzione al fatto che se è vero, da un lato, che occorre tutelare la salute pubblica, non per questo, d’altro canto, possano essere silenziati i restanti diritti fondamentali. Ciò che bisogna fare, invece, è contemperare i vari interessi in gioco (anche perché, se ci pensiamo, in una qualsiasi situazione di emergenza chiunque sarebbe disposto ad accettare la compressione sia pur temporanea dei propri diritti). Consideriamo, ad esempio, le limitazioni alla libertà di circolazione che sono state imposte dai provvedimenti governativi delle ultime settimane.

Lasciando un attimo da parte il discorso sulla fattibilità legale, a normativa vigente, dei sistemi di monitoraggio analoghi a quelli già visti in altri Paesi che – come correttamente evidenziato dal Presidente dell’autorità garante per la protezione dei dati personali, Antonello Soro – non brillano certo per tutela dei diritti fondamentali, mi concentrerei sulla domanda: quali i rischi?

I rischi sono fondamentalmente connessi al fatto che ci abitueremmo a vivere in una condizione di emergenza permanente, nella quale qualsiasi compressione dei diritti fondamentali sarebbe giustificata e sopportata dalla popolazione. Il rischio è quello di seguire il principio “collect now, think later” (raccogli quante più informazioni puoi e poi si penserà a cosa farne) che non è certo ammissibile nemmeno in base alle norme emanate negli ultimi giorni dal Governo italiano in materia di privacy (pensiamo, ad esempio, all’art. 14 del DL 14/2020) e questo perché l’ultimo comma dell’articolo 14 prevede che quei trattamenti di dati nella loro modalità “agile” debba cessare insieme alla cessazione dello stato di emergenza e che, in quel momento, tutto debba essere riportato alla “normalità”. I rischi, quindi, derivanti da una raccolta incondizionata e indifferenziata di informazioni personali sono da un lato la sproporzione delle informazioni rispetto alla finalità perseguita e, dall’altro, quelli dipendenti dall’eventualità che le stesse informazioni possano essere riconvertite al soddisfacimento di finalità diverse, una volta cessata l’emergenza. Altri rischi ipotizzabili sono legati a eventuali attacchi informatici ai danni dei soggetti detentori di questa mole di informazioni (raccolte durante l’emergenza e per far fronte all’emergenza) al fine di poterle utilizzare, invece, per scopi criminali. E allora (così come già prospettato sia dal Garante europeo nel 2015 che dalla EDPB qualche giorno fa) i dati personali assolutamente necessari e con l’impiego di garanzie e criteri ben definiti, nel rispetto della disciplina dei dati personali, potranno essere impiegati soltanto laddove – per soddisfare le finalità di monitoraggio e contenimento dell’epidemia – non siano sufficienti i dati anonimi (che, non essendo dati, sono sottratti all’applicazione delle norme in materia di protezione dei dati personali) eventualmente disponibili. In ogni caso i dati personali potranno essere trattati solo ed esclusivamente (con esclusione della diffusione dei dati relativi allo stato di salute) dai soggetti istituzionalmente deputati al contrasto al fenomeno emergenziale, e solo e unicamente per il tempo in cui permanga lo stato di emergenza”.

La domanda sbagliata

Ancora una volta – conclude Stefano Epifani – quando ci troviamo a ragionare di tecnologia digitale finiamo con il porci la domanda sbagliata. Sono giorni che in Rete si discute se il contact tracing sia buono o cattivo, sia bene o male. Con dichiarazioni di personaggi che, indubbiamente competenti nel loro campo, improvvisamente diventano quei tuttologi che hanno sempre criticato e, talvolta, attaccato. È il caso di Roberto Burioni, che dimentica di essere medico e si improvvisa esperto di privacy, di diritti umani, di gestione delle emergenze e di chissà cos’altro, decretando a mezzo Twitter che il contact tracing alla coreana è l’unica soluzione possibile.

Ma siamo alle solite: il punto non è chiedersi se tracciare i contatti tramite il supporto delle tecnologie digitali sia positivo o negativo. Perché questa domanda genera polarizzazione e fa si che si perda di vista il vero quesito che dovremmo porre a chi si occupa di tecnologia: come fare per utilizzare il digitale in maniera tale che supporti il processo di gestione e monitoraggio delle persone contagiate senza con questo mettere a rischio la loro privacy e gli altri loro diritti fondamentali? Il punto non è che non si debba gestire questa emergenza (o, più probabilmente, la prossima) facendo ricorso alle tecnologie. Il punto è che bisogna farlo inquadrando il problema nel modo corretto. Ossia contemperando necessità diverse che non hanno un impatto minore della salute pubblica. In alcuni dei Paesi dove lavoro – che hanno utilizzato un approccio troppo disinvolto alla pubblicazione di informazioni sui malati sufficienti da identificarli – si sono verificate vere e proprie cacce all’untore. E questo da una parte è inammissibile, dall’altra è ciò che rischia di accadere se chi si troverà a decidere lo farà senza prendere in considerazione il problema nella sua complessità.

Nessuno, in questi giorni, si è per esempio preoccupato di far riferimento ai sistemi basati sugli approcci orientati alla self sovereign identity, valutando se e come tali approcci potrebbero essere sfruttati per gestire un dato sensibile particolarmente delicato, come quello inerente la positività al coronavirus, senza per questo far si che tale dato venga distribuito ad altri attori, fossero anche altri organi dello Stato non direttamente interessati come il Sistema Sanitario. Insomma: a domanda sbagliata risposte sbagliate. Ma il problema non sarà della tecnologia, ma della nostra incapacità di ascriverla ad un contesto sostenibile dal punto di vista sociale”.

Alcuni dicono nessun rischio. E’ una emergenza, si fa una sola volta, si raccolgono i dati di singole persone contagiate e i loro spostamenti, si avvisano tutti quelli con cui le persone hanno avuto contatti e si buttano tutti i dati alla fine della pandemia (attività che andrebbe comunque garantita e monitorata, ma forse di difficile attuazione).

Ci si è chiesti, però, quanto questo non si faccia già sentendo la persona contagiata e avvertendo tutte le persone che sono venute in contatto con questa (compito che svolgono le aziende sanitarie con grande attenzione)? Ci si è chiesti quanto si andrebbero ad avallare meccanismi di sorveglianza stretta praticati in Paesi non certo democratici come il nostro? Ci si è chiesti quanto questo metterebbe a repentaglio i nostri diritti come liberi cittadini e quanto si riconoscerebbe alle piattaforme un potere ancora più grande di quello che si pensava potessero avere?

E, soprattutto, davvero dobbiamo necessariamente pensare al digitale sempre nel modo sbagliato nel momento meno opportuno?

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here