COMBATTERE IL COVID-19, CON LA RETE: PRIVACY, LA RELAZIONE DEL CONSIGLIO D’EUROPA
Le soluzioni digitali anti-COVID-19 adottate da tutti i Paesi aderenti alla Convenzione costituiscono l’oggetto della Relazione del Consiglio d’Europa sulla protezione dei dati. Sono applicazioni dedicate (app), siti web specifici, eBracelets, sistemi di scansione termica, controllo tramite droni e robot, test antivirus obbligatori, lavoro e didattica a distanza.
Il Consiglio d’Europa incoraggia ad investire nella trasparenza, ottenibile tramite misure condivise a livello internazionale come la pubblicazione del codice sorgente delle app, la diffusione dei risultati delle valutazioni DPIA, l’organizzazione di hackathon / appathon, l’effettività della tutela dei diritti dell’interessato (accesso, opposizione, cancellazione), il controllo parlamentare e giudiziario.
Trasparenza significa essere in grado di rispondere alle perplessità dei cittadini sui potenziali effetti discriminatori di eventuali errori di rilevazione dei braccialetti elettronici, determinanti una quarantena obbligatoria preclusiva di chance di lavoro e/o di socializzazione; significa altresì, ammettere la partecipazione degli studenti alla selezione del software di e-proctoring per sostenere gli esami a distanza o “esami sorvegliati”. Trasparenza significa spiegare chiaramente gli effetti discriminatori e pregiudizievoli dei cosiddetti “passaporti di immunità”.
Il Consiglio d’Europa, nella relazione di Ottobre 2020 si esprime seguendo una duplice analisi:
1) la prima fornisce un’analisi complessiva degli sviluppi legislativi e il loro impatto sui diritti fondamentali alla vita privata e alla protezione dei dati;
2) prevede una revisione approfondita e tecnica dell’uso delle applicazioni di tracciamento digitale dei contatti e degli strumenti di monitoraggio.
1) La Convenzione 108 consente l’uso legale da parte dei governi di eccezioni. Tuttavia, tali eccezioni devono essere stabilite per legge, rispettando l’essenza dei diritti e delle libertà fondamentali.
A causa della pandemia, la maggior parte dei paesi parti della Convenzione 108 ha adottato misure di emergenza che limitano i diritti fondamentali, in base alle possibilità offerte dal proprio ordinamento giuridico. Si possono identificare tre approcci principali:
◦ adozione di misure generali di emergenza che conferiscono al governo poteri speciali (in particolare basati su leggi o decreti, in applicazione della legge costituzionale);
◦ adozione di misure di emergenza in settori specifici, spesso basate sulla salute pubblica o su regolamenti delle pandemie;
◦ adozione di misure di emergenza senza una base legislativa specifica.
Questi diversi approcci hanno portato a una forte frammentarietà di disposizioni nei 55 paesi della Convenzione 108.
I principi che regolano lo stato di emergenza sono stati individuati e chiariti nel toolkit pubblicato dal Segretario Generale del Consiglio d’Europa come segue:
– principio generale dello Stato di diritto;
– necessità;
– proporzionalità;
– provvisorietà;
– controllo (parlamentare e giudiziario) efficace;
– prevedibilità della legislazione di emergenza;
– leale cooperazione tra le istituzioni statali.
Il Consiglio analizza la situazione internazionale secondo i criteri della base giuridica, della proporzionalità, della trasparenza.
La base giuridica del consenso – adottata ad esempio nei trattamenti di e-proctoring o di smart working – non convince in quanto si tratta di consenso non liberamente espresso a causa dello squilibrio di potere tra le parti ovvero nella coppia “studente-università” e/o nella coppia “lavoratore-datore di lavoro”. La legge costituisce la base giuridica opportuna ma nello stato di emergenza ci si affida a strumenti normativi più rapidi come quelli emanati dal governo e quindi anche in questo caso si verificano dei vulnus ai diritti fondamentali.
Alcuni paesi hanno invocato la base giuridica dell’interesse pubblico alla salute per introdurre le scansioni della temperatura obbligatorie a frontiere, aeroporti e luoghi pubblici o la registrazione obbligatoria dei dati di contatto per le visite a bar e ristoranti ai fini del tracciamento dei contatti. Tuttavia, per invocare con successo questa base giuridica, il paese deve garantire che il trattamento sia strettamente necessario a tale scopo. Sulla scorta della base giuridica dell’interesse pubblico si sono verificati episodi di accesso disinvolto ai dati personali inerenti agli spostamenti presso i gestori di telecomunicazioni per creare statistiche atte a generare le mappe delle zone rosse.
Invece l’utilizzo dei dati delle telecomunicazioni richiede un’attenzione specifica. I dati delle telecomunicazioni non sono solo protetti dalla normativa generale sulla protezione dei dati ma anche da normative specifiche che garantiscono la riservatezza delle comunicazioni (tutela costituzionale del segreto delle telecomunicazioni). Anche il trattamento di dati aggregati e quindi anonimi richiede una legislazione dettagliata, poiché la creazione di tali statistiche richiede un intervento degli operatori di telecomunicazioni per il trattamento dei dati di localizzazione individuale ovvero per una finalità che non fa parte della loro competenza iniziale. In considerazione dei rischi per la protezione dei dati per le persone, i paesi non possono semplicemente fare affidamento sul motivo dell’interesse pubblico senza una legislazione specifica.
Simili trattamenti non solo violano il criterio della base giuridica ma anche quello della proporzionalità. In stato di emergenza si verificano situazioni i cui effetti non sono prevedibili e quindi risulta difficile stabilire la proporzionalità dei rimedi assunti. Il bilanciamento tra salute e privacy deve quindi tenere ben in considerazione l’imprevedibilità degli esiti della misura adottata.
La reale efficacia di molte misure deve ancora essere testata ed esaminata e i dibattiti sulla proporzionalità dell’interferenza con il diritto alla protezione dei dati, alla luce dell’efficacia effettiva della misura stessa sono ancora in corso.
La trasparenza risulta il principio-chiave nello stato di emergenza in quanto restituisce ai rimedi subitanei della pratica la dignità giuridica dell’interazione con l’interessato. Interazione come partecipazione alla revisione del procedimento tecnologico o algoritmico a fondamento della app di tracciamento oppure di partecipazione alla creazione della relativa intelligenza artificiale. Al riguardo diversi accademici ed esperti in materia di privacy nei Paesi Bassi hanno creato un manifesto “Safe against Corona” con 10 condizioni che l’app deve soddisfare, tra queste, i firmatari olandesi hanno richiesto che l’app potesse essere utilizzata solo per uno scopo (controllo del virus), che potesse essere testata come efficace, che i risultati dovessero essere affidabili e verificabili attraverso un codice sorgente pubblico, facile da usare e disponibile.
Sempre in tema di trasparenza, si pensi che lo sviluppo dell’app di tracciamento dei contatti da parte del Ministero della Salute olandese è stato preceduto da un appathon con presentazioni pubbliche di sette sviluppatori di app selezionati (scelti tra 700 proposte). Immediatamente dopo questo contest, l’autorità olandese per la protezione dei dati ha riferito di non essere in grado di valutare l’impatto sulla privacy a causa dei requisiti legali e degli scopi poco chiari. Alla fine, nessuna delle sette app proposte soddisfaceva i requisiti di protezione dei dati e i Paesi Bassi stanno attualmente lavorando a una nuova app di tracciamento dei contatti, sviluppata sotto pieno controllo pubblico, con estensione modulo chat aperto a tutte le persone interessate e un repository github in cui viene pubblicato il codice sorgente.
La pubblicazione del codice sorgente può aiutare a creare fiducia nel sistema, come aspetto importante di trasparenza e fornisce strumenti di controllo del rispetto dei diritti alla privacy e alla protezione dei dati.
2) Il lavoro di spiegazione pratica intitolato “Un caso di studio: l’uso di soluzioni digitali” risulta molto utile sotto il profilo privacy.
Il 27 maggio 2020 il Consiglio d’Europa ha inviato un questionario alle 55 parti della Convenzione 108. Il questionario consisteva in 5 domande con risposte a scelta multipla.
Sulla scorta di questo questionario, è stato elaborato il rapporto da cui si evince che i governi e le parti interessate coinvolti nella lotta contro la pandemia si sono affidati alle analisi di dati e a soluzioni digitali per combattere la diffusione del virus, in particolare utilizzando i dati sulla posizione mobile per valutare movimenti di popolazione o per applicare misure di reclusione, utilizzando dispositivi come prova digitale dell’immunità, rilevamento dei sintomi, autotest o tracciabilità digitale dei contatti di una persona infetta.
Essenzialmente le Soluzioni Digitali Anti-COVID-19 utilizzate sono costituite dalle app e da altri strumenti. Le app utilizzate si distinguono tra quelle a raccolta centralizzata e quelle a raccolta decentralizzata. Sappiamo che attualmente la soluzione migliore universalmente riconosciuta è costituita dalle app decentralizzate. Gli altri strumenti digitali AntiCovid sono i seguenti:
◦ siti web per fornire notizie e informazioni generali sulla pandemia
◦ siti web per aiutare le persone con autodiagnosi dei sintomi;
◦ fornire istruzioni per evitare infezioni;
◦ fornire informazioni sull’accesso ai servizi sanitari;
◦ creare mappe per aiutare le persone a evitare gli hotspot dei virus;
◦ attuare misure di contenimento;
◦ mappare i modelli di circolazione dei cittadini;
◦ creare statistiche giornaliere dei casi registrati;
◦ registrare il passaggio fisico dei visitatori all’ingresso e ai punti di controllo;
◦ consentire agli utenti di inviare segnalazioni online sulla violazione delle regole da parte di altre persone;
◦ fornire il controllo della folla.
http://www.dirittoegiustizia.it/news/
