© elenabsl/Shutterstock
Le misure adottate da alcuni paesi per contenere la pandemia di coronavirus hanno destato perplessità in associazioni e studiosi che si occupano di tutela della privacy e diritti digitali. Azioni emergenziali in deroga alle normali regole nazionali rischiano di tradursi in strumenti di sorveglianza di massa
L’uso dei dati sanitari al fine di monitorare il contagio e proteggere la popolazione è diventato uno dei temi centrali nella pandemia di coronavirus. In molti paesi, alle restrizioni sulla libertà di movimento delle persone si è accompagnato il ricorso ad azioni di sorveglianza, che in alcuni casi hanno portato a episodi di violazione piuttosto gravi. Sebbene il tracciamento dei contatti e la raccolta di dati epidemiologici possano essere utili strumenti a supporto delle istituzioni governative e sanitarie, un eccesso di discrezionalità da parte dei governi può diventare un problema per la tutela delle libertà fondamentali dei cittadini, e forse una minaccia per la tenuta democratica di alcuni stati. Diverse associazioni che si occupano di diritti digitali hanno sottolineato in queste settimane che il periodo eccezionale che stiamo vivendo non deve diventare una scusa per introdurre in via permanente forme di controllo della popolazione.
Attualmente molta dell’attenzione giornalistica è concentrata sullo sviluppo di app di tracciamento dei contatti. Ma questi strumenti, sulla cui efficacia ci sono pareri discordanti, non sono gli unici a mettere in crisi concetti come privacy e protezione dei dati personali. A questo proposito, lo European Data Protection Board (EDPB, l’agenzia europea indipendente che si occupa di assicurare il rispetto delle leggi sulla protezione dei dati) ha recentemente sottolineato l’importanza del trasferimento di dati sanitari tra stati ai fini di ricerca. C’è chi si chiede se il GDPR (General Data Protection Regulation), il regolamento europeo per la protezione dei dati, possa essere un ostacolo in questo tipo di situazioni, e non vada addirittura messo da parte, almeno temporaneamente. La risposta dell’EDPB è che il regolamento non impedisce la collaborazione tra stati a fini di ricerca scientifica, per esempio per lo sviluppo di un vaccino. Anzi, esso permette anche il trasferimento dei dati al di fuori dello spazio economico europeo – in questi casi l’EDPB suggerisce che si adottino soluzioni che garantiscano i diritti fondamentali dei soggetti coinvolti.
Il Balkan Investigative Reporting Network (BIRN), assieme alla fondazione SHARE, da circa due mesi sta monitorando la situazione dal punto di vista dei diritti digitali nell’Europa centrale e sud-orientale. Lo stesso sta facendo Privacy International su scala globale . Vediamo cos’è successo fin qui in alcuni paesi dell’area balcanica.
Iniziative problematiche
In Serbia, il presidente Aleksandar Vučić ha fatto alcune dichiarazioni piuttosto controverse nelle scorse settimane, dicendo per esempio che i telefoni di parte della popolazione erano sotto controllo per monitorarne la posizione. Lo stesso avveniva, a suo dire, ai telefoni delle persone provenienti da paesi considerati a rischio, in particolare l’Italia. Gli annunci hanno destato perplessità a proposito della base giuridica di un’azione del genere. Il 26 marzo, sul sito del ministero della Salute, sono stati inoltre pubblicati alcuni dati di due pazienti morti per coronavirus (iniziali, genere, anno di nascita, ospedale, altri dati clinici generali). Una scelta problematica, visto che può facilitare l’identificazione delle persone coinvolte.
La fondazione SHARE ha poi comunicato il 20 aprile che la password di accesso all’Informacionom sistemu Covid-19, il sistema centralizzato che raccoglie i dati di tutte le persone monitorate ai fini di limitare la pandemia, è rimasta pubblicamente accessibile per otto giorni. L’informazione è stata trovata tramite una normale ricerca su Google da parte della fondazione, avvenuta il 17 aprile (ma la password risultava visibile dal 9). Immediatamente sono state avvisate le autorità, che hanno provveduto a sistemare la faccenda. «È responsabilità delle istituzioni sanitarie nominare una persona per la protezione dei dati personali – ha commentato SHARE – ma per scarsità di risorse queste posizioni sono spesso ricoperte da persone non formate, il cui lavoro principale talvolta riguarda ambiti completamente diversi». Inoltre, la fondazione ha potuto ricostruire che per ogni istituto sanitario era stato creato un solo profilo utente, il che rende impossibile risalire a responsabilità dirette nel determinare quanto accaduto. L’8 maggio il Parlamento ha votato la fine dello stato di emergenza nel paese, che era in vigore dal 15 marzo, a seguito della riduzione dei casi di coronavirus registrati.
In Bosnia Erzegovina, il governo della repubblica serba ha messo in atto una politica piuttosto aggressiva per denunciare le violazioni delle misure di quarantena imposte ai cittadini. In particolare, il 24 marzo ha deciso di pubblicare una lista delle persone che avevano violato l’imposizione di auto-isolamento a casa. Da quel momento la pubblicazione degli elenchi (che presentano nome, cognome e città delle persone fermate) si sono susseguite regolarmente e continuano tuttora. Tutto ciò nonostante l’autorità nazionale per la protezione dei dati abbia ribadito più volte l’illegalità di tale pratica.
In Croazia, a fine marzo, il governo ha proposto in Parlamento un emendamento alla legge sulle comunicazioni elettroniche, che regola la possibilità per le autorità di chiedere alle compagnie telefoniche i dati sui movimenti dei dispositivi elettronici. La proposta ha suscitato perplessità non tanto per la sua finalità, quanto per la poca chiarezza e l’insufficienza delle tutele a garanzia della privacy dei cittadini. Il testo non stabiliva per esempio chi potesse essere monitorato, per quanto tempo, cosa le autorità avrebbero fatto con quei dati e in che modalità la persona sarebbe stata informata del tracciamento.
La proposta del governo è stata poi sospesa perché il presidente del Parlamento, Gordan Jandrokovic, ha chiesto alla Corte Costituzionale di pronunciarsi. Quest’ultima ha risposto qualche giorno fa che il Parlamento non è autorizzato a richiedere tale parere: il Parlamento dovrà quindi legiferare per conto proprio e, nel caso dovessero esserci rilievi di costituzionalità, la Corte interverrà con una sentenza. Altro fatto notevole avvenuto in Croazia è stata la pubblicazione di un sito web, Samoizolacija.hr, che offriva la possibilità di fare segnalazioni anonime di persone che violassero l’obbligo di auto-isolamento, promettendo di inviarle poi al Ministero dell’interno. Il sito è stato rimosso dopo poco tempo.
Il governo del Montenegro ha comunicato a fine marzo, con un tweet , la pubblicazione di una pagina web con i nomi delle persone sottoposte a quarantena. La pagina è stata successivamente rimossa (ma l’indice delle città è ancora raggiungibile su WebArchive ). Diverse associazioni che si occupano della tutela dei diritti nel paese hanno espresso preoccupazione per questa e altre decisioni del governo, temendo che intenda approfittare della situazione per limitare le libertà dei cittadini al di là dell’emergenza in corso. Sofija Todorović, project coordinator del BIRN, non ci ha potuto confermare che la rimozione della pagina web sia avvenuta a seguito di tali iniziative della società civile. Il network investigativo ha inoltrato una serie di domande in proposito al governo, e attualmente è in attesa di chiarimenti.
In ogni caso, l’iniziativa del governo montenegrino ha già avuto una conseguenza pesante. Qualcuno ha infatti messo online un sito web che è in grado di geolocalizzare le persone messe in auto-isolamento. Si tratta di un’iniziativa che mette in luce i rischi di una gestione troppo disinvolta nella pubblicazione di dati sensibili, soprattutto in un contesto delicato come quello odierno. Il coordinatore della ONG Građanska Alijansa , Zoran Vujicic, ha detto che sui social media si è cominciato a parlare di alcune persone sottoposte all’isolamento, anche se queste non stavano violando le misure di sicurezza, contribuendo alla loro stigmatizzazione.
A guidare l’area balcanica nello sviluppo di un'app di contact tracing, utile a comunicare agli utenti se sono entrati in contatto con persone infette, è la Macedonia del Nord. La app StopKorona! è stata messa a disposizione per il download il 13 aprile e a detta degli sviluppatori (la società di Skopje Nextsense) è basata sulle connessioni bluetooth e su un sistema decentralizzato di raccolta dei dati. Chi fosse dichiarato positivo al COVID-19 può decidere volontariamente di segnalarlo nell’app, in modo da avvertire tutti gli utenti con cui è entrato in contatto nel periodo precedente.
Solo al momento della segnalazione i dati sono inviati «su un server sicuro del Ministero della salute», ha spiegato il ministro dell’informazione Damjan Manchevski. «Nessun altro utente avrà accesso ai numeri di telefono, né sono memorizzati altri dati sul proprietario del numero di telefono». In ogni caso, il 28 aprile il governo ha chiesto al Ministero della salute di istituire un gruppo di lavoro per fare analizzare il codice di StopKorona! da esperti indipendenti. L’obiettivo è verificare che il codice sia conforme agli scopi dell’applicazione, e che ne garantisca la sicurezza.
Come si torna indietro?
Ciò che in molti temono è che accada con le misure di contenimento del coronavirus ciò che è accaduto con le armi nucleari. Come spiega Marina Favaro su Outrider, con queste ultime le cose vanno così: «Minacce alla sicurezza del mondo, presenti e future, richiedono misure straordinarie. Queste vanno solitamente contro leggi e norme sociali in vigore. Vengono così perpetrate minacce persistenti di violenze di massa contro i civili. Le armi nucleari vengono associate con il concetto di sicurezza nazionale, al punto che i sostenitori della deterrenza nucleare possono facilmente presentarsi come coloro che stanno dalla parte della sicurezza, mentre chi vi si oppone è rappresentato come una minaccia». Il termine usato per descrivere questo processo è securitization. Uno dei problemi è che tornare indietro (desecuritization), una volta che le misure “di sicurezza” sono state messe in atto, è molto difficile.
Quando, con la fine della Guerra Fredda, la minaccia di una guerra globale è rientrata, si è avviato un lungo processo di disarmo che non si è ancora concluso. Il timore è che con il coronavirus possa avvenire (e stia avvenendo) qualcosa di simile. «Se misure straordinarie di sorveglianza di massa non finiscono con la fine dello stato d’emergenza, tali misure diventeranno la nuova normalità», prosegue Favaro. «Se il COVID-19 è la guerra, dobbiamo pianificare adesso la sua desecuritization. Dobbiamo mettere in conto di fare ritornare il tema dalla sfera della sicurezza a quello del dibattito democratico».
Abbiamo parlato dell’argomento con Łukasz Krol, ricercatore e docente al Collège d’Europe di Varsavia, interessato alla tecnologia e al modo in cui questa si collega alla realtà sociale. «Uno dei problemi relativi alla privacy e all’uso dei dati personali durante una pandemia è la differenza tra la dimensione tecnica e quella politica delle scelte. Spesso i governi spostano l’attenzione su questioni tecniche (per esempio nel caso delle app di tracciamento dei contatti) per sottrarsi dal dovere di motivare le scelte politiche che stanno alla base dello sviluppo e dell’implementazione delle tecnologie. Gli stati dovrebbero coinvolgere maggiormente i portatori d’interesse della società civile, in questo caso quelli che si dedicano alla sfera della privacy, della protezione dei dati e dei diritti digitali».
Questo articolo è stato prodotto nell'ambito del progetto Panelfit, cofinanziato dal programma Horizon 2020 della Commissione europea (grant agreement n. 788039). La Commissione non ha partecipato alla stesura del testo e non è responsabile per il suo contenuto. L’articolo rientra nella produzione giornalistica indipendente di EDJNet.
Hai pensato a un abbonamento a OBC Transeuropa? Sosterrai il nostro lavoro e riceverai articoli in anteprima e più contenuti. Abbonati a OBCT!
blog comments powered by
