“Imprese e diritti umani”. Le interferenze con il diritto alla privacy durante l’emergenza COVID-19: un delicato bilanciamento tra diritti

L

di Fabiana Brigante

La profonda crisi sanitaria che stiamo vivendo non verrà di certo dimenticata. La rapidità di diffusione del Covid-19 in tutto il mondo ha condotto l’Organizzazione Mondiale della Sanità (OMS) a dichiarare, l’11 marzo, lo stato di pandemia; la preoccupazione per i dati allarmanti circa la sua diffusione e gravità ha spinto i governi ad adottare misure di contenimento per contrastare la diffusione del virus.

Il dato certo è che il Covid-19 ha e continuerà, purtroppo, ad avere un forte impatto su individui e società. I sistemi sanitari sono sottoposti a pressioni crescenti; l’aumento costante del numero dei contagi solleva importanti sfide che gli stati si trovano ad affrontare, e le decisioni vengono adottate in un contesto di scarsità di risorse ed incertezza dei risultati.

Nello sforzo di contenere il numero dei contagi, gli stati colpiti hanno fatto ricorso a misure straordinarie, dichiarando, in molti casi, lo stato di emergenza. Le azioni intraprese hanno inevitabilmente limitato numerose libertà dei cittadini, prima fra tutti la libertà di circolazione.

Non tutti i diritti e libertà che fanno parte della categoria comunemente conosciuta come ‘diritti umani’ sono da considerarsi assoluti ed inviolabili. Ad esempio, tra i diritti sanciti dalla Convenzione Europea dei Diritti Umani, alcuni non consentono deroghe – si pensi al divieto di tortura e di trattamenti inumani o degradanti (Articolo 3) o al principio nulla poena sine lege (Articolo 7), mentre altri consentono, a determinate condizioni, una interferenza degli stati nel loro godimento – si pensi agli articoli 8-11 della Convenzione, che, oltre ad elencare diritti, prevedono delle eccezioni qualificate agli stessi –. La giustificazione per queste limitazioni si fonda sulla necessità di bilanciare gli interessi della comunità con gli interessi dei singoli individui; tra i primi figura, senz’altro, la tutela della salute. Inoltre, l’Articolo 15 della Convenzione, rubricato “deroga in stato di emergenza”, prevede in tali circostanze la possibilità per gli stati contraenti di “adottare delle misure in deroga agli obblighi previsti dalla presente Convenzione, nella stretta misura in cui la situazione lo richieda e a condizione che tali misure non siano in conflitto con gli altri obblighi derivanti dal diritto internazionale”.

La possibilità di comprimere il godimento dei diritti umani oscilla tra un ampio ‘margine di apprezzamento’ lasciato agli stati e l’indicazione di criteri rigorosi da seguire per evitare illegittime interferenze. La scelta di riservare agli Stati room for manoeuvre deriva dalla circostanza che il contatto diretto e continuo con le esigenze urgenti del momento permette alle singole autorità nazionali di valutare la situazione di fatto e di decidere come intervenire meglio di quanto potrebbe fare un organismo internazionale. Tuttavia, qualsiasi deroga deve avere una chiara base nel diritto interno al fine di limitare la possibilità di scelte arbitrarie e deve essere strettamente necessaria e proporzionale rispetto al fine perseguito. In caso di stato di emergenza, i poteri straordinari conferiti ai governi devono senz’altro essere limitati nel tempo, in quanto lo scopo principale di tale regime è quello di contenere la crisi e ritornare, il più rapidamente possibile, alla normalità.

Dunque, la principale sfida sociale, politica e legale che si pone è quella di rispondere efficacemente alla crisi garantendo al contempo che non siano minati i valori fondanti della democrazia, e garantendo la tutela dello stato di diritto e dei diritti umani.

Operare un bilanciamento tra diritti non è semplice, specialmente quando si tratta di tutelare la salute degli individui. Numerosi sono gli strumenti internazionali che proteggono il diritto alla vita: L’Articolo 6 del Patto Internazionale sui Diritti Civili e Politici dispone che “il diritto alla vita è inerente alla persona umana” e che tale diritto “deve essere protetto dalla legge”. Ancora, l’Articolo 2 della Convenzione Europea dei Diritti Umani è dedicato alla tutela del diritto alla vita: non solo gli stati devono astenersi dal compiere atti che possano causare intenzionalmente la morte delle persone, ma hanno anche l’obbligo positivo di adottare tutte le misure necessarie, volte a rendere concreti ed effettivi i valori che l’art. 2 mira a tutelare.

La preoccupazione è che questa crisi sanitaria possa diventare una opportunità per i governi di celare, dietro l’adozione di strumenti per proteggere la vita dei cittadini, meccanismi di sorveglianza di massa che rimarranno in vigore anche dopo che l’emergenza sarà finita.

In Cina, primo paese gravemente colpito dal virus, le agenzie governative del Consiglio di Stato della Repubblica popolare cinese, in collaborazione con China Electronics Technology Group Corporation, si sono serviti di AliPay -uno dei servizi di digital payment più diffusi in Cina – per controllare gli spostamenti degli utenti. Dopo aver compilato i vari campi indicando i viaggi recenti, la temperatura corporea e la presenza o meno di alcuni sintomi, il sistema produce un codice QR da esibire alle autorità, e che consente a queste ultime di limitare l’accesso dei cittadini alle metropolitane, ai centri commerciali e ai luoghi pubblici.

Inoltre, video rilasciati dai media cinesi riprendono droni gestiti dalla polizia che monitorano gli spostamenti dei cittadini in pubblico; il South China Morning Post riporta che il colosso Baidu, principale motore di ricerca in lingua cinese, ha pubblicato una mappa epidemica che mostra la posizione dei casi confermati e sospetti in tempo reale in modo che le persone possano evitare di recarsi negli stessi luoghi.

In Corea del Sud, le agenzie governative stanno sfruttando i filmati delle telecamere di sorveglianza, i dati sulla posizione degli smartphone dei cittadini e i registri degli acquisti delle carte di credito per rintracciare i recenti movimenti dei pazienti affetti da Covid-19 e risalire alle catene di trasmissione.

A Singapore, il Ministero della Salute ha pubblicato informazioni particolareggiate relative a ciascuna persona contagiata, comprese le relazioni con altri pazienti. Stando a quanto dichiarato dalle autorità, scopo sotteso a tali azioni è quello di ‘avvertire’ le persone che potrebbero aver incrociato le persone affette dal virus. È stata inoltre introdotta una app per permettere l’individuazione delle persone che potrebbero essere state esposte al virus: l’app, chiamata TraceTogether, si serve dei segnali Bluetooth per rilevare i telefoni cellulari nelle vicinanze. Se uno degli utenti che la utilizzano dovesse risultare positivo al virus, le autorità sanitarie potranno accedere ai dati registrati da TraceTogether per individuare le persone che hanno frequentato i suoi stessi luoghi nei giorni precedenti.

L’uso che questi paesi hanno fatto della tecnologia di sorveglianza nella lotta contro la diffusione del virus ha sollevato numerose polemiche. L’opinione pubblica si è divisa tra chi ha accolto con favore l’utilizzo della tecnologia al servizio del diritto alla salute e chi ha richiesto maggiore trasparenza sui metodi di raccolta, utilizzo e conservazione dei dati.

L’Organizzazione Mondiale della Sanità, in un rapporto pubblicato il 28 febbraio, ha evidenziato la portata dell’efficacia delle misure attuate in Cina, che avrebbe “cambiato il corso di una epidemia in rapida crescita”. L’Alto Commissario delle Nazioni Unite per i Diritti Umani Michelle Bachelet ha dichiarato lo scorso 6 marzo che il Covid-19 è un test per le nostre società: “stiamo tutti imparando e ci stiamo adattando mentre rispondiamo al virus. La dignità e i diritti umani devono essere al centro in questo sforzo. Essere aperti e trasparenti è la chiave per responsabilizzare e incoraggiare le persone a partecipare a misure volte a proteggere la propria salute e quella della popolazione più ampia, specialmente quando la fiducia nelle autorità è stata erosa”.

Anche tra i membri della comunità scientifica ci sono numerose voci discordi. Liaoyuan Zeng, professore alla Università di Scienza e Tecnologia Elettronica della Cina, ha raccontato in una intervista di aver fornito alle autorità tutte le informazioni riguardanti i propri spostamenti nonché la sua famiglia, ritenendo tale raccolta di dati ragionevole visto lo stato di emergenza. Il direttore politico per l’Asia di Access Now – organizzazione no profit sui diritti digitali – Raman Jit Singh Chima ha invece sottolineato la potenziale pericolosità di questi strumenti, mettendo in luce che queste misure potrebbero restare in vigore anche una volta che sarà passata l’emergenza. D’altronde è ciò che è accaduto in America dopo l’attentato alle Twin Towers nel settembre del 2001 che ha favorito l’approvazione del Patriot Acts, legge federale che ha rinforzato il potere dei corpi di polizia e di spionaggio statunitensi con lo scopo, dichiarato, di ridurre il rischio di attacchi terroristici negli Stati Uniti, intaccando di conseguenza la privacy dei cittadini.

Per quel che concerne l’attività di raccolta, utilizzo e conservazione dei dati, i governi si servono di società telefoniche, Internet Service Providers (ISPs), sviluppatori di app. Il processo non è di certo nuovo, e coinvolge ovviamente anche gli stati europei: in effetti, l’archetipo delle app sopra menzionate può essere ravvisato in FluPhone, programma ideato nel 2011 da due ricercatori della Università di Cambridge quale metodo per misurare e tracciare la diffusione dell’influenza stagionale. L’applicazione si serviva della tecnologia Bluetooth per rilevare quando un utilizzatore fosse entrato in contatto con una persona che si era ammalata; tuttavia, solo l’1% della popolazione l’aveva utilizzata. Subentra dunque un ulteriore aspetto che desta qualche timore: molti esperti ritengono che le app di tracciamento dei contatti siano efficaci solo se adottate dal 60% della popolazione, rischiando, altrimenti, di raccogliere dati che non saranno efficaci nell’arginare i contagi.

Insomma, la sorveglianza non è la soluzione. Rachel Coldicutt, esperta britannica di tecnologia ed ex amministratore delegato di Doteveryone – think tank di tecnologia responsabile nel Regno Unito – ha insistito sulla necessità di porre dei limiti alla raccolta di dati. In alcune dichiarazioni rilasciate in una intervista a World Politics Review, ha sottolineato l’importanza della trasparenza: secondo l’esperta, i programmi di tracciamento dei contatti non possono essere utilizzate come scorciatoie per ridurre i tassi di infezione. Al contrario, possono essere efficaci solo se integrati nella più ampia strategia di contrasto al Covid-19 dell’OMS ‘trova, isola, testa e tratta’. Coldicutt ha spiegato che in paesi come la Corea del Sud, dove i funzionari sanitari tracciano i movimenti dei residenti utilizzando i dati GPS del cellulare, i filmati delle telecamere di sicurezza e le attività delle carte di credito, il rilevamento della posizione è solo una parte del sistema di risposta al controllo dei contagi. “Il tracciamento viene messo in relazione con i risultati dei test: tutti vengono testati. C’è la reale certezza di chi sia o meno un portatore del virus”.

Dunque,l’utilizzo dei dati degli utenti pone non poche sfide pratiche, prima fra tutti la possibilità di renderli anonimi. Sebbene molte aziende rassicurino gli utenti sul punto, alcuni esperti hanno sottolineato che il procedimento è tutt’altro che semplice. Alexandrine Pirlot de Corbion, membro di Privacy International, ha spiegato che rendere anonimi i dati richiede molto di più che rimuovere semplicemente gli identificatori ovvi – ad esempio un nome o un numero di telefono -, perché le tracce della posizione sono altamente uniche e possono essere ricollegate a una persona. Secondo Pirlot de Corbion, chiunque abbia accesso ai dati anonimizzati, potrebbe, ad esempio, individuare un determinato telefono che registra i dati sulla posizione ogni notte a un indirizzo specifico, potendo dunque collegare i dati anonimi della posizione ad una specifica identità.

Numerose sono le aziende che si stanno mobilitando, concludendo accordi con governi e terze parti per la condivisione dei dati raccolti nell’espletamento delle loro attività commerciali.

Il 10 aprile, Apple e Google hanno annunciato il lancio di interfacce di programmazione di applicazioni (API) per favorire l’attivazione del tracciamento dei contatti. In una prima fase, prevista per maggio, le due aziende rilasceranno API per consentire l’interoperabilità fra i dispositivi Android e iOS delle app sviluppate dalle autorità sanitarie, che potranno essere scaricate dagli utenti. Nella seconda fase, le due aziende lavoreranno per rendere disponibile una più ampia piattaforma di tracciamento dei contatti basata su Bluetooth, integrando questa funzionalità nei sistemi operativi. 

Ogni smartphone invierà costantemente tramite Bluetooth il proprio codice identificativo agli altri dispositivi con cui è entrato in contatto nel corso della giornata, entro il raggio di alcuni metri. Tale codice verrebbe modificato ogni 15 minuti, e deriverebbe da un ulteriore codice giornaliero il quale a sua volta deriverebbe da una chiave privata registrata nel dispositivo cellulare. Tale catena crittografica è stata pensata per proteggere la privacy degli utenti, consentendo di risalire ai singoli codici temporanei, ma impedendo il processo inverso.

Nel caso in cui una persona risultasse positiva al Covid-19, il suo smartphone potrà inviare ad un registro centralizzato la lista dei suoi codici quotidiani, così da formare un elenco pubblico – ma anonimo – dei contagiati. Gli utilizzatori del programma potrebbero così confrontare i codici degli utenti contagiati con i codici che i propri dispositivi hanno registrato, per sapere se siano entrati o meno in contatto con persone positive al virus.

Seppure in molti abbiano giudicato tale sistema sicuro, non mancano gli interrogativi: fino a che punto la privacy è assicurata? Come spiegato dal noto crittografo Moxie Marlinspike, un sistema così pensato garantisce la riservatezza fino al momento in cui si diventa positivi. Da quel momento in poi, i codici prodotti dall’utente contagiato diventerebbero collegabili tra loro, e confrontati con ulteriori dati potrebbero condurre alla identità del singolo individuo. Inoltre, vi sono alcuni dubbi circa l’affidabilità dei segnali Bluetooth, la cui intensità può variare da un dispositivo ad un altro, e che potrebbero dunque fornire dati asimmetrici.

La preoccupazione riguarda anche imprese non coinvolte nella produzione di software: ad esempio, Kisna Inc., azienda di tecnologia sanitaria e che produce termometri smart, colleziona dati sui sintomi e sulle temperature dei consumatori ed ha creato una mappa dei contagi negli Stati Uniti. Il New York Times ha riferito che i termometri Kisna caricano le letture della temperatura del singolo utente su un database centralizzato.

Come è stato osservato in precedenza, la raccolta dei datirappresenta di certo una risorsa strategica nella lotta al Covid-19, ma non bisogna sottovalutare i rischi che possono derivare per i diritti e le libertà degli individui.

È necessario tracciare una linea di confine tra le iniziative che si rivelino efficaci come misure di contenimento della diffusione del virus e quelle che invece esulano da questo obiettivo, e che sono finalizzate ad un accumulo di dati per scopi di promozione commerciale o di sorveglianza.

Le misure che saranno adottate dovranno trovare una giustificazione chiara nella legge, rispettando i diritti umani e le normative sulla protezione dei dati. Ciò include senz’altro la considerazione della necessità e della proporzionalità di qualsiasi misura; tra le possibili alternative fruibili, deve essere scelta quella che meno interferisca con i diritti degli individui, in accordo con il principio di proporzionalità. Le aziende e le amministrazioni sono chiamate alla trasparenza: deve essere chiaro a tutti quali sono i dati raccolti e come, con chi saranno condivisi e su quali basi, come verranno utilizzati e per quali scopi precisi. È importante la minimizzazione dei dati – devono cioè essere raccolti solo i dati necessari al raggiungimento degli scopi perseguiti – nonché garantire che siano protetti ed il loro accesso limitato, e che terze parti con le quali i dati sono condivisi adottino misure equivalenti. Qualsiasi iniziativa deve necessariamente includere garanzie contro gli abusi, e non dovrà prescindere dalla libera scelta dei cittadini di aderirvi o meno, includendo mezzi per la partecipazione libera, attiva e significativa delle parti interessate.