Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Andrea Iannuzzi, “La Repubblica” – 26 marzo 2020)
Tra le strategie messe in campo dal governo per contenere il contagio da coronavirus c’è il cosiddetto contact tracing digitale, cioè l’uso dei dispositivi mobili dei cittadini per la mappatura e il tracciamento dei soggetti entrati in contatto con persone infette: il modello coreano. Ma come si assicura la tutela della privacy e dei dati personali? Il Garante della privacy Antonello Soro, con il suo team di esperti, è al lavoro per conciliare tutte le esigenze: “Non si tratta – dice a Repubblica – di sospendere la privacy, ma di adottare strumenti efficaci di contenimento del contagio, pur sempre nel rispetto dei diritti dei cittadini”.
C’è bisogno di uno strumento legislativo ad hoc per attuare questo protocollo? Quale?
“La disciplina di protezione dei dati coniuga esigenze di sanità pubblica e libertà individuale, con garanzie di correttezza e proporzionalità del trattamento. Ma una misura quale il contact tracing, che incide su un numero elevatissimo di persone, ha bisogno di una previsione normativa conforme a questi principi. Un decreto-legge potrebbe coniugare tempestività della misura e partecipazione parlamentare. Va da sé che la durata deve essere strettamente collegata al perdurare dell’emergenza”.
Come si evitano gli abusi nel trattamento dei dati? Come ci si difende da intrusioni malevole?
“La nostra disciplina offre gli strumenti per minimizzare il pericolo di abusi, secondo i principi di precauzione e prevenzione, che impongono misure di sicurezza e garanzie di protezione dati già nella fase di progettazione e impostazione della struttura tecnologica. Rispettando questi criteri, si può valorizzare al massimo grado l’innovazione”.
Si può immaginare uno scambio di dati criptato o anonimizzato?
“Lo scambio e, prima ancora, la raccolta dei dati devono avvenire nel modo meno invasivo possibile per gli interessati, privilegiando l’uso di dati pseudonimizzati (ove non addirittura anonimi), ricorrendo alla reidentificazione laddove vi sia tale necessità, ad esempio per contattare i soggetti potenzialmente contagiati. Nella complessa filiera in cui si articolerebbe il contact tracing, soggetti privati – a partire dalle grandi piattaforme – dovrebbero porre il patrimonio informativo di cui dispongono a disposizione dell’autorità pubblica, alla quale dovrebbe invece essere riservata la fase dell’analisi dei dati, che necessita delle garanzie e della responsabilità degli organi dello Stato. In ogni caso, le società coinvolte in questo progetto dovrebbero possedere requisiti di affidabilità e trasparenza di azione. Nella valutazione è fondamentale il vaglio di conformità ai requisiti di protezione dati, per la garanzia dei diritti degli interessati, per l’attendibilità dell’analisi dei dati e anche per la sicurezza nazionale. Non sottovaluterei l’odierno richiamo in proposito da parte del Copasir”.
Come si potrà poi tornare alla “normalità” una volta finita emergenza?
“La chiave è nella proporzionalità, lungimiranza e ragionevolezza degli interventi, oltre che nella loro temporaneità. Il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole dal modello coreano a quello cinese, scambiando per efficienza la rinuncia a ogni libertà e la delega cieca all’algoritmo per la soluzione salvifica”.