La App Immuni e la democrazia

Il Governo ha deciso di tracciare i nostri spostamenti: risalire a ritroso la catena di persone con cui un individuo, poi risultato infetto, sia entrato in contatto per contenere l'ulteriore diffondersi del virus.
Le nostre perplessità riguardano, non la scelta in sé, ma l'autore, il presumibile disegno di questa tracciatura e il quantum di notizie a noi svelato
Quanto all'autore, il parlamento al momento non ha ancora toccato palla e forse non la toccherà. L'iter di questa futura app si è articolato nei segreti delle stanze ministeriali. Tre ministri hanno lanciato una call, avara di indicazioni sulle caratteristiche dell'app; un commissario straordinario, nominato con ennesimo dpcm, ha selezionato l'app Immuni; una nascente terza camera, il comitato dei tecnici, vincolata al segreto verso noi cittadini lo ha confortato in questa scelta, e infine un contratto tra la Bending Spoons s.pa. e il Commissario per la cessione gratuita dei diritti sull'app.
A questo punto alcune domande e qualche risposta.

Il diritto comunitario sulla protezione dei dati cosa dice a riguardo e cosa la nostra Costituzione?
Il Reg 2016/ 679 all'art. 9 prevede due vie: i dati sensibili o si raccolgono con il consenso dell'interessato o con una legge (europea o) nazionale che per motivi di salute pubblica e nel rispetto di taluni principi è legittimata a saltare il consenso.
Volendo ammettere che i due binari si equivalgano a livello comunitario, non riterrei che spetti al decisore nazionale scegliere il consenso senza legge o la legge senza il consenso. E ciò perché la Costituzione italiana protegge le libertà fondamentali, e quindi la privacy, con la garanzia della riserva di legge. Questa ultima richiede che la disciplina almeno nelle sue linee generali sia dettata dal Parlamento, mentre la sua specificazione possa essere in un regolamento del Governo.

Qui, è mancata la legge e persino la coppia decreto-legge/legge di conversione, sempre legittima data l'urgenza. Invece, la misura di come arretra la privacy dinanzi al diritto alla salute pubblica e come esso avanzi si spezzetta in più atti, informali e formali, con dignità di mero provvedimento amministrativo, cioè di un atto che deve seguire, ma mai precedere la legge. E questo ordine di interventi tra atti rimanda a un preciso ordine democratico da rispettare: prima il parlamento e poi il Governo con la sua amministrazione.
Quindi, il Governo non era libero di chiedere il nostro consenso in alternativa alla legge, dovendo percorrere la sola via della legge. Però siccome il diritto europeo è favorevole a tutele dei diritti più rafforzate a livello statale di quanto lo siano in sede europea, nulla avrebbe impedito a questa legge di chiedere in aggiunta anche il consenso. È proprio questa confusione tra l' 'anche' e l''invece' che fa la differenza.

Guardiamo la fase successiva: come funzionerà Immuni. Grazie al sistema bluetooth il cellulare di Francesco capterà l'avvicinarsi al cellulare di Maria e poi a quello di Gennaro. Se in seguito Francesco dovesse risultare positivo, i dati anonimi dei due cellulari saranno trasferiti a un server centrale, che li interrogherà con un algoritmo e poi in qualche modo avviserà Maria e Gennaro di essere entrati in contatto con un infetto, dall'identità a loro coperta, e ciò al fine di applicare misure di cura, non meglio specificate, neanche nel loro automatismo, volontarietà o obbligatorietà.
La fase ora descritta è molto delicata per la privacy, anche di più della prima, perché è in questo momento che si corre il rischio di una bulk collection dei dati, di un uso per fini impropri, di una cattura o di una ri-personalizzazione. Ebbene, qui il fumo che protegge l'app è tale da non farci neanche intravedere in lontananza il disegno del governo. Indicheremo un possibile modello di tutela, senza alcuna pretesa di assolutezza.

PODCAST VIE DI USCITA

Podcast su racconti inaspettati, storie di destini che voltano pagina, parole e voci di chi ha lottato per rinascere

Scopri di più

LAB24

Indice di competitività, l’Europa è divisa in 3

Scopri di più

I principi di minimizzazione e proporzionalità impongono di raccogliere i dati nella misura dello stretto necessario. Ciò significa che da quando il soggetto sarà stato trovato positivo, i dati immagazzinati solo nel suo cellulare andranno trasmessi al server centrale, non prima. Diversamente la raccolta sarebbe eccessiva rispetto al fine, e questa sproporzione non piace ne alla nostra Corte, né a quella di Giustizia. Infine, assolto allo scopo precauzionale i dati debbono essere cancellati.
C'è infine una terza fase, che ha a che fare con la identità del server, destinata a rimanere nel tempo.
Ritengo che il suo assetto debba essere trasparente, pubblico e italiano. Escluderei una trasparenza privata, cioè che a un certo livello sia riconducibile a persone fisiche, perché se i dati servono solo a fini di salute pubblica preventiva, esclusivamente il soggetto pubblico sarà deputato a svolgere il compito delicato di interrogarli e poi di curarci.