Non è stata forse immediata la percezione esatta dello scenario che, dopo la Cina, nel volgere di poche settimane ha riguardato l’Italia e poi altri paesi europei e del mondo.
Tra i governi e talora all’interno della stessa comunità scientifica non sempre è stata unanime la comprensione dell’entità dell’ondata virale e la definizione delle misure più idonee per contenerla con urgenza.
La stessa qualificazione del fenomeno che intanto si propagava è sembrata risentire di oscillazioni interpretative: come nella piéce di Ionesco (Il gioco dell’epidemia, Einaudi, 1971), quanto stava accadendo è apparso diverso dai singoli punti di osservazione di una varietà di soggetti, indotti ora a interrogarsi sui segni della diffusione virale, ora a sminuirne la portata e le insidie, ora a dover constatare la pandemia in atto e le sue drammatiche ripercussioni globali.
Poche esitazioni hanno riguardato un altro aspetto, anticipato dall’esperienza cinese e poi rapidamente recepito in Europa non appena si è palesata la gravità del fenomeno: il self-restraint che ciascuno avrebbe dovuto mettere in pratica per contribuire al contenimento del contagio, rinunciando – dapprima spontaneamente, poi in base alla prescrizione di comportamenti individuali – ad ambiti della propria autonomia personale che prima riteneva indisponibili.
Alcune delle misure emergenziali introdotte dai governi (dalla serie incrementale dei nostri decreti al Coronavirus Act approvato dal resipiscente governo britannico) tendono inevitabilmente a comprimere le libertà costituzionali di circolazione e di riunione, e di fatto mettono nel limbo quel «diritto alla vita privata e familiare» il cui rispetto è tutelato dalla CEDU: ciò a salvaguardia del diritto alla vita e alla salute senza cui, com’è ovvio, non potrebbe declinarsi qualsiasi altra libertà.
In particolare, il distanziamento sociale perseguito allo scopo di frenare la catena dei contagi ha aperto la via alla previsione di forme di sorveglianza sulle persone (in relazione agli spostamenti di chi sia abbia contratto il virus, ai suoi percorsi e contatti, al suo isolamento sanitario), che nel pubblico interesse devono attuarsi nella dimensione verticale del rapporto tra l’individuo e le autorità pubbliche (mentre le cronache hanno già riportato episodiche iniziative «delatorie» tra privati, in cui si riflettono forse tanto il senso civico quanto l’atavica paura dell’«untore»).
La serie degli strumenti utilizzabili allo scopo – applicativi di geolocalizzazione, rilevamenti delle interazioni con i social network – dà conto della varietà e pervasività degli strumenti di tracciamento oggi disponibili al «principe digitale», e può accreditare nel senso comune l’idea semplicistica di una neutralità tecnologica che, in fondo, assume connotati virtuosi oppure indesiderabili a seconda dell’uso che se ne faccia. Il quadro però si complica non appena, oltre alle applicazioni della tecnologia, si mettono bene a fuoco i poteri privati che la detengono e si richiamano i limiti che, sempre nell’interesse generale, devono essere posti ad una «società della sorveglianza».
Non desta dunque sorpresa che nell’emergenza sanitaria venga messa in gioco la privacy delle persone, né varrebbe evocare lo schmittiano «stato di eccezione» per comprendere che determinate garanzie – tra cui la protezione dei propri dati – possono temporaneamente e in parte ritrarsi in nome di una finalità di pressante rilevanza generale, qual è indubbiamente il contenimento epidemiologico. Clausole applicabili in circostanze eccezionali sono previste dallo stesso diritto europeo dei dati personali, che consente limitazioni alla privacy per motivi di sanità pubblica (artt. 9, c. 2, e 23 GDPR, e così l’art. 2 sexies del nostro Codice); più in generale va osservato che il corpo delle regole in materia persegue un duplice obiettivo, la protezione e la circolazione dei dati, e in relazione a questi articola i bilanciamenti necessari a regolarne il traffico.Una pur motivata restrizione della privacy non potrebbe tuttavia derogare ad alcuni canoni fondamentali, tra cui quelli della finalità del trattamento e del controllo dell’interessato sui propri dati, che assieme costituiscono l’architrave della sua disciplina. La finalità di interesse generale può costitituire un limite più che legittimo al godimento di diritti fondamentali – incluso il diritto alla protezione dei dati personali proclamato dalla Carta di Nizza all’art. 8 -, a condizione però che le misure adottate siano proporzionate e non intacchino il contenuto essenziale di tali diritti (art. 52 della stessa Carta). L’interessato dispone altresì di uno spettro di strumenti da esercitare sui propri dati (di accesso, rettifica, cancellazione) di cui si possono definire modalità particolari in un contesto emergenziale, ma annullando i quali verrebbe svuotato di senso il diritto all’«autodeterminazione informativa» che gli è riconosciuto.
Non si dimentica inoltre che la «materia» del trattamento è costituita da informazioni sulla salute, quindi ricomprese in quella categoria di «dati particolari» per la cui utilizzazione sono più stringenti i requisiti e più incisive le tutele. A mitigare i rischi per la privacy individuale può contribuire l’estrapolazione di big data dalla mole delle informazioni raccolte, di indubbia utilità nell’immediato per il monitoraggio dei focolai epidemici, e in seguito per gli studi sulle dinamiche del fenomeno. Tuttavia il carattere impersonale che caratterizza questo genere dei dati, depurati dagli elementi identificativi, non mette sempre al riparo dalla possibilità di recuperarne successivamente la capacità individuativa attraverso l’incrocio con dati ulteriori.
Il trattamento dei dati nell’attuale emergenza pare doversi perciò attenere ad alcuni punti fermi affinché non possa prodursi una torsione dei diritti. Qui il quadro di riferimento, pur caratterizzato da un fenomeno di repentino impatto globale come pochi se ne sono finora sperimentati, deve necessariamente concentrarsi sul quadrante occidentale del mondo e in particolare europeo, dove la lettera e lo spirito del costituzionalismo non consentirebbe l’impianto di misure analoghe a quelle che si sono adottate in Cina, Singapore, perfino nella Corea democratica. In proposito non vale certamente obiettare che la Cina si è dotata di strumenti (la legge sulla cibersicurezza del 2016, il disciplinare del 2018) i quali replicano nella trama normativa, talora in modo anche sorprendente, aspetti ricavati dal modello europeo e innestati nel suo diverso contesto ordinamentale. Il costituzionalismo è, intrinsecamente, limite al potere; e il principio della dignità, suo canone fondamentale, non potrebbe contentarsi della vigenza di regole apparentemente «virtuose» all’interno di forme autoritarie di governo, né tollerare la coesistenza di tali regole con istituti come il cosiddetto social credit system, che – ancora in Cina – mira a definire la reputazione individuale attraverso un sistema di monitoraggio massivo dei comportamenti dei singoli, allo scopo di assegnare un determinato «punteggio» da cui possono dipendere benefici o punizioni. In realtà, i principi e gli istituti codificati nel GDPR annoverano nelle legislazioni contemporanee non solo casi di proficua «migrazione», ma anche analogie del tutto esteriori e non pochi «falsi amici».
Ma senza andar troppo lontano, quel modello di tutela rischia di tramutarsi in vuoto simulacro anche nel cuore dell’Europa quando si trovi a dover operare in una cornice segnata dal cedimento delle garanzie costituzionali, come in Polonia, oppure in uno stato di emergenza proclamato sine die – complice proprio l’espandersi del virus – da parte del governo mediante l’assunzione dei «pieni poteri», come è appena accaduto in Ungheria. Si tratta di involuzioni democratiche che possono ovviamente riflettersi sul sistema europeo della privacy, distorcendone le componenti che poggiano sull’uniformità delle garanzie, sulla fungibilità dei controlli e sull’indipendenza delle autorità preposte ad esercitarli.
Quali sono dunque i punti fermi di tale sistema, da tenere presenti anche in «tempi calamitosi»? In primo luogo, seppure i motivi di interesse pubblico (in questo caso individuati dalla «salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica», secondo la lettera del GDPR) abilitano il trattamento di dati anche di natura sensibile senza il consenso degli interessati, non si dubita che le relative attività debbano avere una base giuridica specifica e corredata di garanzie puntuali. Su questo piano segna certamente un punto limite, e trasmette l’idea e la portata del «contesto emergenziale in atto» il decreto-legge emanato il 9 marzo (n. 14/2020, art. 14), che flette le regole di tutela dei dati mentre amplia la platea dei soggetti pubblici e privati tra cui è possibile scambiarli, salvo richiedere che al termine dell’emergenza i trattamenti effettuati si ricompongano nell’alveo delle «ordinarie competenze e delle regole» di normale applicazione. In effetti, anche un regime eccezionalmente derogatorio delle regole sul trattamento di dati (lo ha ricordato in una dichiarazione del 19 marzo il Comitato europeo per la protezione dei dati composto dai rappresentanti dei garanti nazionali) non potrebbe discostarsi dai principi cardine del GDPR, assicurando mediante controlli e garanzie adeguati la concreta e piena revocabilità delle misure straordinarie e dei relativi effetti.
In secondo luogo, è necessario che una volta superata l’emergenza e ripristinate le condizioni di normalità i dati raccolti per le finalità di prevenzione sanitaria vengano cancellati, o comunque resi anonimi se devono essere conservati per finalità di ricerca; in ogni caso i dati sanitari raccolti a scopo epidemiologico devono essere «segregati» in modo che con non sia possibile combinarli con altri dati riferiti alla persona contagiata, e ricavarne indebitamente un dossier sanitario individuale. A questo riguardo dovrebbero essere adottati idonei accorgimenti – benché il GDPR contenga previsioni generali al riguardo – per scongiurare il rischio che i dati sanitari raccolti possano essere illecitamente acquisiti per immetterli nei circuiti in cui essi vengono scambiati per finalità economiche – assicurative, creditizie, lavorative, di marketing –, dando luogo ad utilizzazioni che quali potrebbero, in lesione del principio di dignità, tramutarsi in pratiche discriminatorie in relazione all’accesso a beni e servizi da parte delle persone più vulnerabili.
Un profilo ulteriore si lega ai soggetti (internet providers, operatori di telecomunicazione) inevitabilmente coinvolti nell’opera tecnologica di tracciamento e rilevazione dei comportamenti individuali a fini di monitoraggio ed eventualmente di enforcement delle misure di distanziamento e di isolamento. In condizioni ordinarie, tali soggetti non possono utilizzare i dati relativi all’ubicazione se non dopo averli resi anonimi oppure previo il consenso degli interessati. Le regole europee tuttavia prevedono che per finalità di salvaguardia della sicurezza pubblica gli Stati possano eccezionalmente introdurre norme derogatorie, purché contenute nei limiti di «una misura necessaria, adeguata e proporzionata all’interno di una società democratica» (direttiva e-privacy del 2002, art. 15), ovvero conforme a parametri che valgono a renderla sindacabile dinanzi alla Corte di Lussemburgo e ai giudici di Strasburgo.
La chiara individuazione della base giuridica non vale però, in questo caso, ad esaurire ogni aspetto problematico. Mentre si reclutano i big players delle telecomunicazioni e del web nell’attività di tracciamento, occorre scongiurare un abuso dei dati raccolti che in seguito possa dar luogo a una indiscriminata profilazione delle persone, ed alimentare così quel fenomeno di «personalizzazione delle masse» che già ampiamente si sperimenta. D’altronde non è difficile immaginare che anche il lockdown con l’estensivo impiego «domiciliare» delle piattaforme e dei social rappresenti una ghiotta occasione per l’industria dei dati personali.
Ancora un aspetto, forse non abbastanza considerato in un momento di allarme sociale, riguarda la sfera di riservatezza delle persone contagiate e di quelle a loro prossime, i cui dati sono talvolta diffusi con modalità che, oltre ad acuire le sofferenze individuali, raramente hanno utilità per l’azione di contrasto epidemico e possono anzi alimentare atteggiamenti irrazionali presso la popolazione. La diffusione di informazione sanitarie sui singoli è in questo caso anche un atto di comunicazione pubblica di cui non andrebbero trascurati gli effetti.
In ultima analisi, la stella polare della privacy in tempo di epidemia resta, ancora più rilucente, il principio di proporzionalità. Esso richiede l’adozione delle soluzioni meno intrusive in relazione alla specifica finalità perseguita; e quando l’eccezionalità dei casi comporti una maggiore ingerenza (ad esempio mediante un contact-tracing non anonimizzato), maggiori devono essere le garanzie e più incisivo il controllo pubblico.
Invero non sono mancate in questi anni le occasioni per sperimentare la complessiva tenuta delle regole europee di protezione dei dati personali, messe alla prova nella loro adeguatezza ed effettività in una serie di casi rilevanti (basti pensare a Cambridge Analytica). L’impressione è che, in forza della portata globale del fenomeno e dell’ampiezza degli interventi richiesti per frontegguarlo, il COVID-19 possa rappresentare un banco di prova anche per il GDPR e delle norme correlate.
In mancanza di un’adeguata considerazione degli aspetti problematici posti dall’emergenza, tra gli strascichi dell’epidemia potrebbe esservi proprio una contrazione della sfera di libertà personale coincidente con la protezione dei dati. Una conseguenza del virus sarebbe stata allora quella di aver «infettato» la privacy: e, in tale ipotesi, la convalescenza potrebbe richiedere tempi lunghi.
Il breve inventario delle questioni poste dall’emergenza virale in relazione al diritto alla tutela dei dati personali (un diritto di per sé «inquieto», come si è detto) sollecita la riflessione non dei soli giuristi, ma interroga gli archivisti sul modo in cui sia possibile organizzare e conservare la rappresentazione di quanto va accadendo. In quest’ottica rilevano sia l’arché del comando e dell’autorità, le cui tracce evidenti consentiranno di costruire la memoria storica del potere, sia l’arca in cui raccogliere i segni degli «oggetti sociali» che prendono forma nelle attuali circostanze. La distanza tra le persone e l’isolamento «fiduciario», divenuti misura universale di precauzione, generano ed alimentano una categoria assai composita di documenti – intesi qui nel loro significato più ampio -, il cui comune denominatore è proprio nel porre rimedio a tali condizioni riannodando le maglie del tessuto sociale.
La didattica on-line, i flash-mob inscenati dai balconi, la telemedicina, le reti del volontariato, i «meme» tematici diramati sulle reti sociali, lo smart working, esemplificano solo alcuni degli ambiti di cui potrebbe essere considerata la rilevanza ai fini della documentazione, nonostante i problemi metodologici ed organizzativi che ciò comporta. In questo modo potrebbe prendere forma archivistica il lascito di quelle «comunità documentali» – per dirla con Barberis – che mai come in questa occasione «prendono il posto delle parole e della vicinanza fisica».