VICICONTE – DIRITTO ALLA SALUTE VS DIRITTO ALLA RISERVATEZZA.PDF 

di Gaetano Viciconte

La sorveglianza digitale di massa evidenzia numerose criticità. Occorre bilanciare il diritto alla salute con le libertà fondamentali, con l’ausilio di soluzione tecniche che consentano la minore invasività possibile e ai cittadini di ritrovarsi nella condizione in cui versavano in epoca anteriore all’utilizzo della soluzione.

Ferve il dibattito sull’introduzione della nuova applicazione governativa da installare sui dispositivi di telefonia mobile per allertare le persone entrate in contatto con soggetti positivi al covid-19 e la tutela del diritto al corretto trattamento dei dati che saranno ricavati. Le diverse posizioni assunte sul tema hanno fatto registrare concezioni differenziate dei rapporti tra tutela della salute e diritto alla protezione dei dati personali, con sfumature e accenti diversi, ricompresi tra le tesi estreme che si potrebbero definire, da un lato, quella della gerarchia dei diritti fondamentali, in cui il diritto alla riservatezza è stato inteso come recessivo rispetto al diritto alla salute, dall’altro lato, quella dell’incomprimibilità dei diritti fondamentali neppure in fase di emergenza, in mancanza di una disciplina di riferimento diretta ad affrontare proprio le situazioni emergenziali.

Com’è noto, le norme in materia di protezione dei dati personali sono il Regolamento UE 2016/679 (GDPR) e il Decreto Legislativo 196/2003 (nel testo modificato dal D.Lgs. 101/2018).

Il Governo ha evitato di percorrere soluzioni avventurose di deroga sostanziale rispetto alle norme richiamate ed è approdato con l’art.6 del d.l. n. 28/2020 ad una regolamentazione ritenuta garantista: la disciplina è stata emanata con un atto avente forza di legge, l’installazione dell’applicazione di tracciamento è su base volontaria senza conseguenze pregiudizievoli per i soggetti che non aderiscono al programma, i dati raccolti sono pseudonimizzati, gli stessi dati sono conservati fino alla durata dell’emergenza e poi cancellati, la loro gestione è affidata ad una piattaforma di titolarità  pubblica, è esclusa la geolocalizzazione dei singoli utenti.

La questione delle garanzie giuridiche sembra apparentemente risolta, ma un punto cruciale rimane il conflitto tra i valori costituzionali in gioco, quando si sposta l’angolo visuale anche al tema delle sanzioni che potranno essere ricondotte a comportamenti devianti sia rispetto alle misure di isolamento con finalità di prevenzione del contagio sia in relazione al programma di tracciamento dei contatti recentemente introdotto.

Rimangono alcuni fondamentali interrogativi, a cui sarà necessario fornire una risposta, per l’incidenza concreta che potrebbero avere nella nostra vita quotidiana.

Sulla disciplina penale applicabile, rileva la qualificazione della posizione del cittadino in isolamento domiciliare che sia venuto in relazione con altri soggetti e sia stato scoperto per effetto del contact tracing, pur senza poter procedere alla sua geolocalizzazione. In tal caso, attraverso l’utilizzo giudiziale dei dati raccolti con l’applicativo, qualora tale soggetto sia identificabile e non sia in grado di fornire la prova di non aver violato l’isolamento, è destinata a trovare attuazione la previsione dell’illecito penale così come configurato dall’art.4, comma 6, del d.l. n.19/2020 ovvero del reato di “inottemperanza alla misura della quarantena da Covid-19”, che punisce la “violazione della misura di cui all’articolo 1, comma 2, lettera e)” , con un rinvio quod penam all’art. 260 del testo unico delle leggi sanitarie, “salvo che il fatto costituisca violazione dell’articolo 452 del codice penale o comunque più grave reato”.

Invece, una volta scaricata l’applicazione sul dispositivo di telefonia mobile, nell’ipotesi di inadempimento anche diffuso all’obbligo di tracciamento o di artificiosa sottrazione all’obbligo medesimo da parte di utenti che potrebbero utilizzare in maniera anomala il dispositivo spegnendolo in taluni momenti o separandosene, è possibile ricondurre tali ipotesi nell’ambito di applicazione dell’art. 260 del testo unico delle leggi sanitarie, r.d. 27 luglio 1934 n. 1252 (mancata osservanza di un ordine legalmente dato nella materia in esame)?

L’art. 260 t.u. sanitario, come è noto, sanziona l’inottemperanza agli ordini dati per impedire l’invasione o la diffusione di una malattia infettiva dell’uomo. Per stabilire se un determinato provvedimento possa essere qualificato come ordine occorre riferirsi al suo contenuto intrinseco e al suo aspetto formale, tenendo presente che costituiscono ordini i provvedimenti con i quali la p.a. impone obblighi di dare, di fare o di non fare[1].

Tuttavia, nella vicenda in esame, essendo stato previsto il tracciamento dei contatti mediante l’installazione dell’applicazione su base volontaria, il consenso dell’utente è la condizione per l’applicabilità della legge. In concreto, in un’ottica negoziale, il consenso dell’utente è una manifestazione di volontà ad aderire alle condizioni previste dalla legge per usufruire della prestazione, pur trattandosi di negozi disciplinati dalla legge e non dalla volontà delle parti, cosiddetti a fonte eteronoma.

Deve ritenersi che l’avvenuta prestazione del consenso da parte dell’utente sia revocabile, in conformità con quanto previsto dal GPDR, ma non sia modulabile in modo diverso rispetto alle previsioni normative sul contact tracing, non essendo negoziabile il contenuto dell’adesione al relativo programma.

 Ma è sufficiente la prestazione del consenso al fine di sottoporsi al programma in esame per considerare che si sia determinato un ordine impartito dall’autorità, alla cui violazione consegue l’applicazione della sanzione penale prevista dall’art. 260 del testo unico delle leggi sanitarie?

Pur considerando il principio dell’inapplicabilità della disposizione di cui all’art. 260 del testo unico sanitario alle ipotesi di violazione di norme generali e astratte ovvero a quelle in cui i destinatari del provvedimento amministrativo violato non siano determinati e/o determinabili, occorre tener conto che in questo caso il precetto normativo si individualizza subito dopo la prestazione del consenso da parte di ciascun utente, facendo scattare gli obblighi di adempimento previsti dal programma di contact tracing. Con la conseguenza che rimane il problema di come inquadrare le conseguenze dell’eventuale violazione dell’obbligo che il cittadino è incentivato ad assumersi, quando egli, ad esempio, spenga il telefono durante determinate fasce orarie o non lo porti con sé, risultando, peraltro, molto difficile l’accertamento del carattere doloso o anche solo gravemente colposo della condotta, perché il telefono potrebbe spegnersi per incolpevole esaurimento della carica oppure potrebbe essere stato dimenticato a casa, oppure potrebbe trovarsi in una posizione di assenza di campo. Tuttavia, solo uno specifico intervento normativo potrebbe determinare l’applicazione di sanzioni, giacché il principio della riserva di legge non consente interpretazioni estensive della fattispecie esistente disciplinate dall’art. 260 del t.u. delle leggi sanitarie ad ipotesi in cui gli obblighi non discendono da un atto di natura pubblicistica impositivo di prescrizioni, bensì da un atto di adesione volontaria di natura negoziale al programma di tracciamento dei contatti.

            Rimangono, tuttavia, ulteriori due questioni di rilevante portata da affrontare costituiti, da un lato, dal problema dei contatti falsamente positivi e, dall’altro, della tutela della protezione dei dati personali dal rischio di intromissioni, di manipolazioni e di utilizzo illecito.

            In relazione alla prima di tali questioni, è stato ipotizzato come potrebbe essere verosimile la rilevazione del contatto positivo, quando ci si avvicini a soggetti portatori del virus, ma il contatto debba ritenersi innocuo perché protetto da uno schermo di vetro o di plexiglass. Il tema, tuttavia, è di portata più generale ed è legato alla trasparenza del funzionamento del sistema di rilevazione dei contatti, perché una sua valutazione in tal senso potrebbe essere richiesta in sede di procedimento o di giudizio penale, qualora si ritenesse di mettere in discussione il presupposto che ha determinato l’isolamento di colui che è venuto falsamente in contatto con un soggetto positivo, nel caso in cui si proceda proprio per la violazione del “divieto assoluto di allontanarsi dalla propria abitazione”, secondo la disciplina sopra richiamata o in sede di giudizio amministrativo per contestare la legittimità del provvedimento che dispone la quarantena.

            Al riguardo non può esserci alcun dubbio che il software delle tecnologie da adottare debba essere disponibile pubblicamente, con il codice sorgente completo e con licenza di software libero, e, quindi, liberamente verificabile da parte di chiunque e deve rispettare i più alti standard di sicurezza informatica in modo tale da consentire, qualora necessario, il controllo sulle modalità di avvenuto contatto con un soggetto positivo al virus.

Il Codice dell’amministrazione digitale all’art. 69, comma 1, nell’ipotesi specifica di  riuso del software, definisce, comunque, l’obbligo per le pubbliche amministrazioni titolari di software realizzato su specifiche indicazioni del committente pubblico, «di rendere disponibile il relativo codice sorgente, completo della documentazione e rilasciato in repertorio pubblico sotto licenza aperta, in uso gratuito ad altre pubbliche amministrazioni o ai soggetti giuridici che intendano adattarli alle proprie esigenze».

Tale indicazione normativa può ritenersi espressione di un principio più generale, secondo cui la caratteristica centrale nella decisione automatizzata deve essere quella della sua “explainability”, attraverso l’individuazione di strumenti che consentano di interpretarne il codice sorgente così da poter ricostruire i passaggi logici che lo compongono.

Per quanto concerne il software che gestisce il programma di contact tracing il legislatore, recependo il contenuto della “Lettera ai decisori” del 20 aprile 2020 promossa dal Centro Nexa del Politecnico di Torino, all’art.6 del D.L. n.28/2020 dà atto che il sistema acquisito per tale programma è a licenza aperta, a cui, quindi, non può non trovare applicazione il principio espresso anche dal codice dell’amministrazione digitale nella disciplina sopra richiamata.

            Il tema è quello del controllo del processo decisionale dell’amministrazione, quando lo stesso avviene mediante l’utilizzo di una procedura digitale ed attraverso un “algoritmo” ovvero di una sequenza ordinata di operazioni di calcolo, come nel caso del contact tracing. In questa, come in altre ipotesi, la gestione dell’interesse pubblico è affidata a procedure seriali o standardizzate, implicanti l’acquisizione di dati certi ed oggettivamente comprovabili e l’assenza di ogni apprezzamento discrezionale. Ciò è, stato ritenuto in una recente pronuncia del Consiglio di Stato[2]  conforme ai canoni di efficienza ed economicità dell’azione amministrativa (art. 1 l. 241/90), i quali, secondo il principio costituzionale di buon andamento dell’azione amministrativa (art. 97 Cost.), impongono all’amministrazione il conseguimento dei propri fini con il minor dispendio di mezzi e risorse e attraverso lo snellimento e l’accelerazione dell’iter procedimentale. Tuttavia, il ricorso a tali sistemi non può portare all’ elusione dei princìpi che regolano lo svolgersi dell’attività amministrativa.

La regola tecnica che governa ciascun algoritmo resta pur sempre una regola amministrativa generale, costruita dall’uomo e possiede una piena valenza giuridica e amministrativa, anche se viene declinata in forma matematica. Essa deve, pertanto, essere sottoposta ai principi generali dell’attività amministrativa, come quelli di pubblicità e trasparenza (art. 1 l. 241/90), di ragionevolezza e di proporzionalità.

In definitiva, dunque, l’algoritmo, quale elemento essenziale del software, deve essere considerato a tutti gli effetti come un “atto amministrativo informatico” e, pertanto, deve essere pienamente conoscibile, anche se trattasi di una regola espressa in un linguaggio differente da quello giuridico. Al cittadino, pertanto, non può essere precluso di conoscere le modalità con le quali è stata in concreto assunta una decisione destinata a ripercuotersi sulla sua sfera giuridica, per di più in senso fortemente limitativo. Con l’effetto di dover rendere il processo informatico conoscibile in tutte le sue componenti: dalla sua costruzione, all’inserimento dei dati, alla loro validità, alla loro gestione.

Ciò introduce, peraltro, la seconda delle questioni sopra indicate ovvero l’eventualità che i dati oggetto di trattamento, al verificarsi di un data breach, siano in grado di reidentificare un interessato e associargli un dato particolare quale l’aver effettuato un tampone con un determinato esito. La task force degli esperti nominati dal Governo, al fine di regolamentare la fase 2 dell’emergenza sanitaria aveva auspicato che il decreto legge che avrebbe dovuto introdurre il programma di contact tracing avrebbe dovuto precisare: 1) l’obbligo del gestore del server proxy di procedere alla immediata cancellazione di ogni associazione tra ID dell’applicazione e IP di invio dei dati; 2) l’obbligo di adozione di misure tecniche ed organizzative tali da impedire la memorizzazione dell’associazione tra identità della persona fisica e ID dell’installazione dell’app all’atto dell’inserimento delle positività da parte del personale sanitario. La misura suggerita è stata quella della variazione periodica e casuale dell’ID anonimo dell’applicazione.

Ciò non si rinviene nella disciplina introdotta di recente dal legislatore, ma si auspica che accada, giacché i dati trattati ai fini dell’esercizio del sistema devono essere “resi sufficientemente anonimi da impedire l’identificazione dell’interessato”, come previsto dal Considerando 26 del GDPR, occorrendo misure tecniche ed organizzative che minimizzino i rischi di reidentificazione in ogni fase di vita del sistema.

Infine, non deve in alcun modo essere sottovalutato il problema di come si potrà tornare alla normalità una volta finita l’emergenza, distruggendo in modo sicuro i dati acquisiti. L’esigenza specifica è che tutti i dati, con l’eccezione di quelli aggregati in modo anonimo a fini di ricerca o statistici, siano cancellati, senza alcun pregiudizio per tutti i cittadini, i quali dovranno ritrovarsi nella condizione in cui versavano in epoca anteriore all’utilizzo della soluzione.

In una recente intervista Yuval Noah Harari ha dichiarato che è necessario istituire un organismo di controllo indipendente sulla gestione dei dati acquisiti mediante i programmi di contact tracing, anche alla luce di alcune esperienze problematiche da parte di alcuni paesi che ne hanno fatto ricorso.

L’auspicio è che si vada in questa direzione e che non vi siano tentazioni di ripristinare sistemi come quelli introdotti in sede europea con la direttiva denominata data retention[3] sul periodo di conservazione dei dati delle conversazioni telefoniche e del traffico telematico per ragioni di giustizia, adottata dopo gli attentati di Londra e di Madrid del 2004 e del 2005 su cui la Corte di Giustizia con la pronuncia dell’8 aprile 2014[4] è intervenuta dichiarandola invalida, ritenendo illegittima la sorveglianza digitale di massa. È proprio da qui che bisognerebbe ripartire per bilanciare il diritto alla salute con le libertà fondamentali, nella consapevolezza che non vale il principio affermato di recente dall’economista americano Garett Jones in un recente saggio[5], secondo cui un 10% in meno di democrazia risolverebbe molti dei nostri problemi. La tesi “less is more” in democrazia non vale, perché di democrazia non ce n’è mai abbastanza.

[1] Cassazione penale, sez. VI, 22/01/1982.

[2] Sezione Sesta,13 dicembre 2019, n. 8472.

[3] Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006.

[4] Cause riunite C-293/12 e C-593/12.

[5] 10% less democracy: why you should trust elites a little more and the masses a little less, Stanford University Press, 2020.