Il green pass e la necessità di tracciare la diffusione di varianti del Coronavirus riaccendono le polemiche fra sostenitori della “tutela della privacy” e quelli della protezione della salute pubblica. È veramente impossibile avere la botte piena e la moglie ubriaca? di Andrea Monti – Originariamente pubblicato su PC Professionale n. 365
La (temporanea) possibilità di riprendere a circolare liberamente in Italia e all’estero dipende dalla capacità delle istituzioni pubbliche di tracciare spostamenti e contagi. Questo significa sapere “chi” va “dove” e in quale condizione sanitaria (tampone negativo, attestazione di guarigione, vaccinazione). L’app IO, sviluppata da Pago PA, è uno degli strumenti che avrebbero consentito di verificare da remoto se un utente fosse o meno in possesso dei requisiti. Tuttavia, un intervento dell’Autorità garante per la protezione dei dati personali ha inizialmente bloccato l’utilizzo del software, il cui uso è stato condizionato all’esecuzione di interventi tecnici e a una maggiore informazione verso gli utenti sui dati raccolti e trattati dall’app. Nello specifico, l’Autorità ha ritenuto che IO sarebbe stata sviluppato in violazione dei principi di minimizzazione del trattamento che impongono di usare solo i dati personali strettamente necessari per raggiungere lo scopo prefissato. Inoltre, ha aggiunto il Garante, l’app è progettata in modo da trasferire i dati residenti nello smartphone dell’utente al di fuori dell’Unione Europea senza un’adeguata informativa.
A prescindere dal fatto che, successivamente, l’Autorità ha consentito l’uso di IO, la presa di posizione istituzionale ha provocato le proteste di chi ha qualificato la normativa sulla protezione dei dati come un inutile fardello burocratico che rende meno efficace le iniziative di contrasto alla pandemia. A queste proteste hanno fatto eco quelle dei sostenitori della “privacy”, scandalizzati dalla blasfemia di un’affermazione del genere.
È, invece, solo questione di tempo (anzi, di velocità della diffusione delle varianti di Coronavirus) se non si è ancora tornati a parlare di app per il contact-tracing, e dei relativi “rischi per la privacy”. Vedremo dunque nel prossimo futuro se l’isteria per la “privacy” renderà inutile, per la seconda volta, pensare alle tecnologie dell’informazione come strumento per individuare ed isolare i focolai prima che diffondano il contagio.
Il caso dell’app IO ripropone per l’ennesima volta, infatti, la contrapposizione frontale fra chi è disposto ad accettare whatever it takes per salvare vite umane e chi, in nome di un feticcio giuridico, è disposto a sacrificarle.
Ma è veramente così? No, perché in realtà la questione si presta male a una polarizzazione da stadio. Richiede un’analisi più articolata su cosa sia la “privacy”, su cosa prescrive effettivamente la normativa e in che modo si dovrebbe applicare allo sviluppo e all’utilizzo di software per la gestione di dati personali. Solo dopo avere affrontato questi tre punti è possibile raggiungere delle conclusioni – se non ragionevoli – almeno ragionate.
In primo luogo: la “privacy” in quanto tale non esiste come diritto. La parola non compare nella nostra Costituzione, nella Convezione europea sui diritti umani, nella Carta dei diritti fondamentali dell’Unione Europea e nemmeno nel Regolamento sulla protezione dei dati personali (il famoso – o famigerato – GDPR). Anche per questo motivo la protezione dei dati personali non è sinonimo di “privacy”. Esiste invece il diritto alla protezione della vita privata e familiare che è una cosa diversa da quello alla protezione dei dati. Il primo è quello che possiamo (più o meno) associare alla parola “privacy. Il secondo serve a proteggere le persone da abusi commessi tramite i dati, come errori di gestione (il fenomeno delle cartelle pazze), di aggiornamento (una cartella clinica senza le annotazioni delle ultime analisi), di disponibilità (i tanti click-day finiti con le infrastrutture istituzionali paralizzate dal sovraccarico) e anche, infine ma non solo, dalla messa a disposizione di chi non a titolo per riceverle determinate informazioni personali.
Il GDPR – e veniamo al secondo punto della questione – garantisce il rispetto di questi diritti (e non solo, dunque, della confidenzialità) stabilendo degli obiettivi ma lasciando liberi i titolari (questo è il nome di chi tratta dati altrui) di decidere come raggiungerli. Nell’esercitare questa libertà di azione i titolari devono fare attenzione a una sola cosa: documentare in modo chiaro le scelte compiute e le ragioni che le hanno giustificate. Poi, in sede di controlli, sarà il Garante a valutare se sono state rispettate o meno le norme.
Ma, e siamo al terzo, punto, in questa sua valutazione l’Autorità garante ha adottato un approccio basato sul principio di precauzione (nel dubbio, vieto) che viene però applicato senza un riscontro basato su dati concreti. In altri termini: basta che un sistema operativo o un software possano raccogliere dati personali anche più del necessario per considerarli mal-progettati. E basta che certi dati vengano inviati altrove sulla base di un’informativa incompleta (anche se non c’è evidenza del pericolo concreto per gli utenti) per ritenere sussistente una violazione di legge.
È chiaro che interpretando il GDPR in questo modo la conseguenza logica e inevitabile sarebbe dover mettere fuorilegge la stragrande maggioranza dei sistemi operativi per smartphone e computer, delle piattaforme software attualmente sul mercato e dei servizi che tramite loro vengono erogati. Non è un mistero che Android sia un onnivoro di informazioni, che la telemetria di Windows 10 faccia parlare di continuo un PC con i server di Microsoft, come accade anche per Creative Cloud di Adobe. Anche IOS e OSX seppure in misura minore, sono progettati per interagire dinamicamente con l’infrastruttura di Apple. Ma, con tutte le cautele del caso, bisognerebbe chiedersi: dove sono i rischi concreti per gli utenti? Rispetto all’enorme numero di persone che utilizzano questi sistemi quanti casi di abusi reali sono stati effettivamente documentati? Attenzione, che ci sia un problema di qualità del software e di superficialità nella progettazione delle piattaforme è innegabile. Come è innegabile che sempre di più la vita delle persone dipende dal modo in cui sono trattati i dati (non solo) personali che le riguardano. È possibile applicare il GDPR in modo più flessibile, concentradosi su verifiche mirate e punendo severamente chi non rispetta le regole invece di appllicare trasversalmente un principio di “prevenzione preventiva” che ha come unico effetto quello di penalizzare l’ecosistema digitale senza che le persone siano più tutelate.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte