UN’ERESIA PARLARE DI PRIVACY QUANDO È IN GIOCO LA SALUTE?

Oggi le misure di limitazione della privacy sembrano ragionevoli, domani potrebbero essere utilizzate per fini di controllo sociale.

Non è un caso che un Paese come l’Ungheria, che ha già esautorato le prerogative del Parlamento, affidando pieni poteri ad Orbàn in fase di emergenza, abbia ora deciso di sospendere o limitare alcuni diritti previsti dalla normativa europea sulla protezione dei dati personali (QUI per un approfondimento).

L’enorme data-base che si andrà a creare nei prossimi mesi di convivenza con il virus, alimentato da dati personali (fra cui, ovviamente, quelli sanitari) e meta-dati (derivanti dal tracciamento massivo per fini di contenimento del contagio), farà gola a tanti, a partire dagli Stati che vorranno “schedare” i loro cittadini per condizionarli o manipolarli in maniera più o meno subdola.

Proprio la notizia che in Ungheria il Governo abbia limitato, tra gli altri, il diritto di accesso con cui ogni cittadino è in grado di sapere quali sono i dati personali in possesso dello Stato, rende l’idea di quale sia la deriva percorribile dalle autorità che non intendono essere trasparenti quando non conviene esserlo o, nello scenario peggiore, quando si ha qualcosa da nascondere.

Il 30 Marzo 2020 Viktor Orbàn ha ricvuto dal parlamento magiaro pieni poteri a tempo indeterminato ed ora la decisione di sospendere o limitare diritti sanciti dalla normativa europea sulla privacy.

1. IL DIBATTITO ITALIANO SULLA APP “IMMUNI”.

Da mesi anche in Italia, per fortuna con ben altri risvolti, la privacy è al centro del dibattito politico e non solo.
Merito – o i più maligni potrebbero dire demerito – della App Immuni, il nuovo strumento con cui si dovrebbe risalire con più efficacia ai contatti recenti di persone risultate positive al Covid-19 (c.d. contact tracing).
Il condizionale è d’obbligo, essendovi ad oggi molti nodi da sciogliere sulle specifiche tecniche dell’applicazione, sulle misure di sicurezza in essa implementate; il che sta facendo ritardare sia il rilascio di documenti tecnici ufficiali, sia il lancio della stessa applicazione sui cui, peraltro, negli ultimi giorni si susseguono indiscrezioni di possibili malumori anche in seno al Governo.
Staremo a vedere.

Resta dunque aperto il dibattito pubblico.
E di fronte alle osservazioni e alle perplessità espresse dagli esperti del settore su possibili falle di sicurezza dell’Applicazione, tali da minare la privacy dei cittadini, il Paese si è subito diviso in tifoserie contrapposte – come è del resto prassi in Italia – tra chi sostiene di essere favorevole e chi, invece, contrario alla App Immuni.

Senza voler indagare le ragioni dell’uno o dell’altro schieramento, vorrei invece soffermarmi sulle due argomentazioni più ricorrenti pronunciate da chi in Italia allude ad una sospensione temporanea della privacy o, più in generale, ritiene che il tema della protezione dei dati non dovrebbe neppure porsi quando vi è in gioco la salute.

Nell’ultimo mese, infatti, si sono registrate voci e commenti che tradivano un certo sdegno da parte di politici, virologi, giornalisti o semplici cittadini, non appena si faceva cenno a problematiche connesse alla sicurezza di Immuni.
Alcuni hanno sostenuto – e continuano a sostenere – che in questo momento di emergenza sanitaria la privacy non serve, è un orpello di cui possiamo fare a meno, perchè viene prima la salute dei cittadini.
Altri, invece, tirano in ballo Google, Apple ed altri colossi del tech, come a dire che è troppo tardi per fare i paladini della privacy; siamo già ampiamente tracciati, per cui non ha senso porsi dei limiti ora, tanto meno in una fase così emergenziale.

C’è un fondo di verità che dà sostegno a queste tesi, chi può negarlo, ma – a mio avviso – si confondono temi e situazioni completamente diverse tra loro.

2. … TRA SALUTE E PRIVACY, SCELGO LA PRIMA.

Innanzitutto, non vi è motivo di scegliere tra privacy e salute; chi continua ad essere portavoce di questa narrazione che vede i due diritti fondamentali schierati su due fronti contrapposti, semplicemente non conosce le leggi vigenti.
Nello specifico, non conosce la normativa europea sulla privacy che, in caso di epidemia, proprio in ragione della natura straordinaria dell’evento, prevede espressamente che si possa derogare alla disciplina generale, persino con riguardo al trattamento di dati sensibili, fra cui quelli sanitari (si veda il considerando n. 46 – Reg. UE n. 679/16).
Sul punto è intervenuto anche il Comitato europeo per la Protezione dei Dati, ribadendo che l’UE si è già dotata di regole applicabili anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19 (cfr.: dichiarazione del 20.03.20).

Del resto, la tecnologia oggi ci offre tutti gli strumenti (a partire dalla crittografia) in grado di tutelare al massimo grado sia la privacy dei cittadini, sia la loro salute; e questo per tutto il corso delle operazioni di contact tracing.
Per quale ragione allora dovremo essere costretti a scegliere tra privacy e salute?

3 …TANTO SIAMO GIÀ TRACCIATI.

Il riferimento a Google o Facebook, invece, è del tutto fuori luogo per una serie di ragioni.

La prima è piuttosto evidente: se chiamiamo in causa Google e Facebook, stiamo parlando di due società private, mosse da interessi commerciali. Peraltro, due società statunitensi, ed è noto come l’idea di privacy in America sia sensibilmente diversa da quella europea, ma il tema meriterebbe un capitolo a parte e non è questa la sede.
Il punto centrale è che uno Stato democratico dovrebbe essere guidato dalla Costituzione, dai suoi valori e non certo dal profitto.

A ciò si lega un’altra considerazione:

non dovremmo mai confondere lo “sfruttamento” dei dati personali per fini commerciali da parte di società private, con lo sfruttamento dei dati per fini di controllo sociale o di sorveglianza di massa da parte di uno Stato.

Con questo non voglio prospettare per l’Italia derive autoritarie, ci mancherebbe, ma siamo tutti d’accordo nel dire che, nel secondo caso, l’impatto sui nostri diritti sarebbe ben diverso, essendo a rischio l’intero tessuto democratico.

Tornando a Google e Facebook, è vero che ci “tracciano” (come anche altre Big del Tech), e lo hanno fatto fin dall’inzio; la loro cultura “data-driven”, che crea valore e profitto tramite algoritmi che interpretano e “monetizzano” i dati, è stata ed è la ragione del loro successo.
Ma qualcosa negli ultimi tempi è cambiato.
In questo senso l’UE si è dimostrata all’avanguardia, bisogna darne atto. 
Il GDPR, il Regolamento Euoropeo sulla protezione dei dati di cui si sente spesso parlare, e che trova applicazione da circa due anni, ha in un certo senso smosso le acque; c’è ancora tanta strada da fare, ma perlomeno si denota un cambio di rotta, anche in termini di maggiore sensibilità sul tema privacy da parte degli utenti.

Non dovremo mai dimenticarci come era il mondo prima dello scandalo “Cambridge Analytica”, che nel marzo 2018 ha portato alla luce l’attività di una società di brokeraggio di dati britannica – Cambridge Analytica, appunto – la quale aveva acquisito illecitamente 87 milioni di account di utenti Facebook, con l’obiettivo di creare profili ed inviare messaggi politici su misura (c.d. micro-targeting), influenzando gli elettori su argomenti a cui si erano dimostrati maggiormente suggestionabili.
È la stessa società che ha lavorato prima a fianco dell’entourage di Trump e poi con lo staff Leave.ue durante la campagna pro Brexit e che, dopo lo scandalo, è fallita in meno di due mesi.

Per chi avesse voglia di approfondire il caso Cambridge Analytica consiglio la visione di questo documentario.

Qualcuno potrebbe obiettare: le grandi corporation come Facebook non hanno cessato di trattare i nostri dati e continuano ad analizzarli per fini commerciali.
È corretto: anche ora ci profilano, ci tracciano, e lo continueranno a fare, perchè alcuni dei loro strumenti sono diventati per noi indispensabili e perchè, in fondo, è il loro business. Ma è pur vero che ora lo devono fare rispondendo a canoni di “trasparenza” del tutto inediti, che hanno trovato la loro prima definizione all’interno del Regolamento Europeo; devono farlo informandoci chiaramente sul tipo di attività di trattamento effettuato e sulla base giuridica che legittima quel trattamento.
Sono dunque obbligati ad ottemperare ad una normativa che prevede tutta una serie di adempimenti allo scopo, appunto, di generare “trasparenza”, vera pietra angolare di ogni democrazia.

Oggi, in definitiva, il rischio di un’altra Cambridge Analytica è molto più remoto.

E se in passato le big del tech hanno sfruttato un vuoto anche legislativo, per effettuare trattamenti oscuri dei nostri dati, perchè ora dovremo dare tutto per perso? Proprio ora che abbiamo gli strumenti per evitare che possa accadere di nuovo?

No, rassegnarci a quello che è stato il recente passato è pericoloso, non possiamo permettercelo.

Alle porte c’è un futuro in cui l’intelligenza artificiale, il riconoscimento facciale e molte altre tecnologie avranno un impatto fortissimo sui nostri diritti; tecnologie che, laddove non integrassero principi di privacy by design, di etica, e non fossero progettate secondo valori democratici, potrebbero dare il via a nuovi abusi, per mezzo di algoritmi invisibili che ci condizioneranno, ci manipoleranno fino a discriminarci a nostra insaputa.

E a quel punto, potremo ancora considerarci liberi?

4. I PERICOLI AUMENTANO IN TEMPI DI EMERGENZA

La storia ci insegna che una qualunque crisi, sia essa politica, economica o sanitaria, è da sempre terreno fertile per l’introduzione di misure emergenziali che derogano ai diritti fondamentali; misure che, però, non sempre vengono abbandonate ad emergenza conclusa.

Quando stai combattendo una guerra, il desiderio è quello di conoscere il tuo nemico, per prevederne le mosse ed attuare la strategia di attacco e/o difesa migliore.
Allo stesso modo, quando stai cercando di sconfiggere un virus che non conosci, la prima reazione è quella di mettere in piedi sistemi di controllo più sofisticati, facendo leva sugli ultimi ritrovati tecnologici per identificare singoli contagiati o possibili focolai con maggior efficienza.

Sono strumenti dettati dall’emergenza, che ci sembrano del tutto ragionevoli nel contesto in cui sono implementati; ma sono anche strumenti che potrebbero facilmente tramutarsi in sistemi di soverglianza di massa, laddove venissero utilizzati per altre finalità.

In queste settimane, ad esempio, stiamo assistendo all’installazione di termoscanner automatici agli ingressi di aeroporti, stazioni e metropolitane per la rilevazione della temperatura individuale, con allarme qualora si rilevi una temperatura superiore ai 37,5 °C.

Passando sotto l’occhio di un termoscanner, oggi si ha la percezione della novità e proprio per questo “ci facciamo caso”, pur sapendo le ragioni della sua installazione.
Ma fra qualche mese, questa percezione probabilmente svanirà; la procedura del termoscanner diventerà una routine.
A quel punto saremo vulnerabili agli occhi di chi ci controlla; vivremo quella procedura come un evento non più eccezionale ma normale, favorendone la loro permanenza per un tempo indefinito e per finalità diverse da quelle inziali.

Vasuki Shastry, giornalista e studioso delle correlazioni tra tecnologia e democrazia ha recentemente dichiarato: “le persone hanno difficoltà a ricordare i loro diritti alla privacy quando stanno affrontando qualcosa come una pandemia”.
Il pericolo, dunque, è che qualcuno possa sfruttare a proprio vantaggio questa condizione psicologica per limitare – sotto traccia – i nostri diritti.

Vi sembra una prospettiva catastrofica?
Può darsi, ma ripensiamo all’esempio dei termoscanner: davvero le società private o gli enti pubblici che stanno investendo ingenti somme per l’installazione di questi strumenti, li rimuoveranno una volta usciti dall’emergenza? Oppure, li utilizzeranno per altri scopi?

Dobbiamo quindi continuare ad alimentare il dibattito sulla App Immuni, rappresentando un crocevia importante per il futuro della nostra democrazia, al pari di tante altri dispositivi o misure di controllo in cui la tecnologia è chiamata a giocare un ruolo chiave nell’utilizzo dei nostri dati (e quindi, dei nostri diritti).

Anche in questo periodo di crisi, in cui al centro vi è -legittimamente- la tutela della salute, non dovremo mai dimenticarci che l’epidemia prima o poi se ne andrà, mentre le scelte di oggi che incidono sui nostri diritti lasceranno un segno indelebile.