Il Garante indaga sulla verifica della quarantena mediante geolocalizzazione: lusinghe tecnologiche e cocenti disillusioni.
Il Garante indaga sulla verifica della quarantena mediante geolocalizzazione: lusinghe tecnologiche e cocenti disillusioni.
Di Christian Bernieri - DPO
“Favorisca i documenti”
Questa frase, parte dell’immaginario collettivo, potrebbe diventare un ricordo.
Le modalità di verifica, che riguardino l’identità di una persona, il possesso della patente o di un titolo di viaggio, sono molto cambiate negli ultimi anni.
Il fattore determinante, più che la disponibilità di nuovi strumenti, è certamente stato la scarsità di risorse, in particolare umane, e la costante necessità di risparmiare, velocizzare ed automatizzare i processi destinati a gestire grandi numeri.
Così, l’allungamento delle code ai caselli autostradali ha favorito la diffusione delle corsie riservate dotate di pagamento elettronico del pedaggio, con l’aumento del traffico sulle grandi direttrici i controlli di velocità sono stati demandati a postazioni fisse permanenti, con l’aumento delle vetture circolanti e la proliferazione delle tipologie di divieti, esenzioni e permessi, sono comparsi i varchi a lettura ottica delle targhe. Di recente, l’aumento del numero dei pagamenti, specialmente per i piccoli importi, ha portato alla grande diffusione dei rapidissimi micro pagamenti contactless.
Non dovrebbe stupire che le più recenti ed impellenti necessità abbiano trovato una entusiastica risposta nelle tecnologie disponibili come, di fatto, è accaduto negli uffici degli enti locali chiamati alla verifica del rispetto degli obblighi di quarantena da parte di centinaia, migliaia o centinaia di migliaia di persone.
Il totale dei soggetti positivi al Covid-19 rientra a pieno titolo nella definizione di grandi numeri e, come noto, nessuna funzione pubblica è dimensionata per gestire carichi di picco o di diversi ordini di grandezza superiori all’ordinario. Così, senza troppi complimenti, per gestire situazioni non ordinarie, si è fatto ricorso a modalità altrettanto straordinarie, modificando le logiche del controllo e cercando di applicare innovativi strumenti alla verifica del rispetto della quarantena.
A questo livello ed in questo momento, nella scelta degli strumenti e nell’individuazione delle modalità di uso, occorre vigilare affinché il necessario cambiamento non si trasformi in un distopico esercizio di potere dispotico.
Da un lato, ogni scelta deve essere accompagnata dalla conoscenza approfondita della tecnologia utilizzata, del quadro normativo di riferimento, dei diritti da preservare, occorre fare attente valutazioni in merito al bilanciamento di questi diritti, anche rispetto alle necessità contingenti e agli scenari futuri. Questo approccio non è affatto un concetto innovativo ed è previsto dal GDPR come la base per la legittimità dei trattamenti.
Due, in particolare, sono gli elementi che dovrebbero essere tenuti in considerazione e che, come dimostrano recenti casi di cronaca, sono, al contrario, stati completamente ignorati:
Il principio di limitazione delle finalità. Già presente nella normativa previgente, questo principio di legittimità impone di trattare i dati unicamente per finalità determinate, esplicite e legittime e di limitarsi a tali trattamenti (o trattamenti compatibili) anche successivamente. La trasparenza dà senso e contenuto all’esplicitazione delle finalità che dovranno, pertanto, essere predeterminate, documentate e conoscibili a tutti gli interessati.
Il modo più comune di violare questo principio è considerare i dati come disponibili e ritenerli utilizzabili per il solo fatto che esistano e che siano già stati raccolti. Questo è quanto accaduto, per esempio, a Ravenna ove i controlli dell’osservanza della quarantena sono stati organizzati con modalità peculiari e discutibili.
Le autorità sanitarie hanno utilizzato i dati con modalità di “pesca a strascico”, utilizzando tutti i dati di contatto, raccolti per le finalità di gestione delle liste di accesso ai percorsi vaccinali, per finalità di verifica massiva.
Così facendo, sono stati contattati soggetti diversi dai diretti interessati al fine di verificare il rispetto della quarantena, violando la riservatezza delle persone coinvolte che, in molti casi, hanno inserito dati di contatto comodi, di parenti, amici, colf, figli, funzionali unicamente alla procedura telematica di prenotazione di un vaccino.
Solo questo basta per comprendere che il meccanismo è stato attivato senza alcuna preventiva riflessione sull’effettivo impatto.
Come se non bastasse, la Polizia Locale, che non induce certamente serenità nell’animo di chi riceve una telefonata “in uniforme”, ha iniziato a contattare le persone soggette a quarantena chiedendo di dimostrare dove fossero inviando la posizione del proprio cellulare. Gli agenti sono stati istruiti su come aiutare i cittadini a condividere la propria posizione con gli strumenti disponibili, tuttavia a nessuno è sembrato ragionevole riconsiderare l’opportunità di questa scelta.
Il trattamento del dati di geolocalizzazione richiede una legittimazione da ricercare, appunto nelle regole del GDPR. Non è facile per gli enti coinvolti recuperare, a posteriori, gli elementi fondanti questa legittimità, specialmente perché il principio della finalizzazione è piuttosto stringente e non ammette atteggiamenti possibilisti, leggeri o superficiali.
Inoltre, sempre in tema di legittimità ma in ottica più ampia, sarà difficile per gli enti coinvolti giustificare la pretesa, o anche solo la presunzione che i cittadini posseggano ed usino un dispositivo dotato di localizzazione che, per quanto noto, non è obbligatorio avere, non è alla portata di chiunque e non può essere considerato probatorio di alcuna circostanza nell’ambito delle verifiche in oggetto.
Probabilmente, i grandi numeri non consentono modalità tradizionali di verifica ma, in questo caso, la soluzione adottata non è percorribile e porta a violazione di norme di legge, alla compressione di diritti degli individui e alla proliferazione dei rischi.
Uno di questi rischi, forse sottovalutato dagli enti locali di Ravennate, è l’utilizzo ulteriore dei dati da parte di terzi. Chiedere ai cittadini in quarantena di inviare la propria posizione tramite, per esempio, whatsapp o condividendo un punto geolocalizzato con Google Maps o, ancora, ricorrendo a qualsiasi altro strumento di terzi, significa consegnare ai provider un database preziosissimo: la fotografia esatta delle persone positive o sottoposte a quarantena, dove vivono, e cosa fanno. I provider, con grande candore, dichiarano nella propria informativa che utilizzeranno i metadati (le informazioni relative alla comunicazione in sé) per proprie finalità, le più ampie. Sarà pertanto facilissimo associare i dispositivi utilizzati per inviare questi sciagurati messaggi, profilando l’utente e arricchendo di significato ogni utilizzo precedente o successivo del medesimo dispositivo. Una miniera d’oro per chiunque abbia interesse e capacità di utilizzare queste informazioni.
Forse questo è uno dei motivi della sottovalutazione del problema: nessuno, nell’ambito dei funzionari e dei decisori coinvolti, ha alcun’interesse malizioso o malevolo, nessuno si sogna di monetizzare i dati né di compromettere le libertà delle persone coinvolte, tuttavia, mettendo questi dati a disposizione di soggetti terzi, tutto ciò si realizza comunque. Diventa difficile assolvere chi, in assoluta buonafede, consente ad altri di speculare violando la privacy di persone malate.
Il principio di minimizzazione si aggiunge a questo scenario per complicare le cose a chi, sempre in assoluta buonafede, intraprende attività di trattamento pionieristiche ed eroiche.
I dati, così chiede il GDPR, devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Questo breve e universale principio viene frustrato ogni volta che si popolano i database con dati non necessari, non strettamente necessari, o meglio, trattandosi di dati particolari (sensibili), non indispensabili per raggiungere le finalità perseguite. Le attività di verifica del rispetto della quarantena devono osservare questo principio ed il giudizio sulla necessità di un determinato dato dev’essere onesto e quanto più condivisibile possibile, soprattutto dev’essere formulato mettendosi nella prospettiva della persona a cui appartengono i dati. Purtroppo la prospettiva dell’ente locale, gravato da mille compiti e dal peso di far fronte ai propri doveri, è ben diversa e tende ad essere molto indulgente verso le proprie scelte, scambiando la difficoltà operativa con la necessità.
Questo è il caso, oltre che del comune di Ravenna, anche della ATS di Milano che, sempre per la medesima finalità, il monitoraggio dei soggetti sottoposti a quarantena, ha strutturato un sistema telematico dove il cittadino è chiamato, con un fraseggio minaccioso e perentorio, a compilare dei nuovi ed ulteriori formulari online, popolando nuovi e distinti database, contenenti le medesime informazioni già in possesso dell’autorità medesima. La duplicazione dei database viola direttamente il principio di minimizzazione, così come lo viola il fatto che aprire alla visione di tali dati un numero indefinito e non gestito di soggetti. Tristemente, anche in questo caso di recente cronaca, il sistema è appoggiato a provider di tecnologia con i quali sono condivisi dati e metadati che, ancora una volta, saranno oggetto di ulteriori e discutibili utilizzi da parte di aziende terze, felici di poter contribuire anche solo in cambio di queste preziose informazioni. Per maggiori dettagli si veda l’analisi specifica pubblicata a questo link: https://twitter.com/prevenzione/status/1483021416513650691?s=20
E’ bastata la notizia di questi trattamenti per far sì che il Garante Privacy si attivasse. si veda https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9737210
Come di consueto, l’autorità a tutela della protezione dei dati personali non si scompone e, con esemplare fermezza ed autorevolezza, si è limitato a porre le più immediate, semplici e banali domande rispetto al trattamento congegnato dalla dirigenza ravennate. Senza entrare in dettagli tecnici, così ostici per i funzionari pubblici, è stata formulata una richiesta di condivisione delle scelte e delle valutazioni funzionali a questi controversi controlli. Ripercorrendo ciò che i principi base del GDPR chiedono, ora, il Comune di Ravenna dovrà condividere con il Garante tutti gli elementi di una normalissima informativa, non predisposta rispetto al trattamento in oggetto, dettagliando le finalità, le modalità di trattamento, dimostrando la proporzionalità del trattamento e il rispetto del principio di minimizzazione.
Il Comune dovrà anche dar conto dei soggetti terzi coinvolti, partendo dalla loro elencazione e arrivando alla definizione esatta dei ruoli e delle misure organizzative adottate per garantire un livello di sicurezza adeguato.
Colpisce come tutto questo, che dovrebbe costituire l’antefatto, la premessa necessaria e le condizioni fondanti di un trattamento, non sia stato preventivamente rinvenuto nè dagli interessati nè dal Garante e che solo a posteriori, su formale domanda, si arrivi a costituire un dossier per giustificare le scelte prese ed attuate in modo così disinvolto e svincolato dalle regole dello stato di diritto.