18 maggio 2020

Applicazioni di contact tracing ed efficacia giuridica delle notifiche

Gaetano Machì


ADAPT - Scuola di alta formazione sulle relazioni industriali e di lavoro
Per iscriverti al Bollettino ADAPT clicca qui
Per entrare nella Scuola di ADAPT e nel progetto Fabbrica dei talenti scrivi a: selezione@adapt.it

 

Bollettino ADAPT 18 maggio 2020, n. 20

 

Le applicazioni di contact tracing in Europa e in Italia

 

Parte della strategia nazionale ed europea per il contenimento ed il superamento dell’epidemia di COVID-19 consiste nell’utilizzo di mezzi tecnologici al fine di raccogliere e analizzare le informazioni relative alla diffusione del virus.

 

A questo proposito, la Commissione Europea ha proposto con una Raccomandazione l’utilizzo di metodi condivisi di raccolta ed analisi dei dati allo scopo di contenere la diffusione del virus SARS-CoV-2. Sulla base di ciò, diversi Paesi si sono attivati per sviluppare su scala nazionale delle app nel rispetto degli Orientamenti in materia di protezione dei dati approvati dalla stessa Commissione.

 

Secondo gli atti pubblicati dalla Commissione Europea, le applicazioni possono svolgere fino a quattro funzioni:

  • dare informazioni circa la pandemia in corso;
  • offrire agli utenti questionari di autovalutazione e di orientamento per un primo controllo sui sintomi;
  • garantire un canale di comunicazione tra pazienti e medici;
  • allertare coloro che si sono trovati per un certo periodo di tempo in prossimità di una persona infetta, per dare informazioni sull’opportunità di mettersi in auto-quarantena e su dove sottoporsi ai test.

L’applicazione di contact tracing adottata dal Governo italiano, denominata Immuni, sembra finalizzata a svolgere esclusivamente l’ultima funzione. Infatti, l’articolo 6 del decreto-legge 30 aprile 2020, n. 28 conferma che l’applicazione ha il solo fine di “allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19”.

 

Eventuali step successivi all’invio della notifica, tra cui presumibilmente rientreranno l’auto-quarantena e la sottoposizione a misure di sanità pubblica e di cura, saranno determinati dal Ministero della Salute di concerto con altre autorità nazionali e regionali.

 

Dalle informazioni attualmente pubblicate dal Ministero dell’Innovazione non è possibile delineare in modo preciso le modalità attraverso cui saranno processate ed inviate le notifiche, tuttavia è ragionevole pensare che un eventuale utilizzo massivo dell’applicazione sia compatibile esclusivamente con l’utilizzo di decisioni automatizzate.

 

Affinché una decisione non sia qualificabile come automatizzata, infatti, è necessario che l’intervento umano nel processo decisionale sia significativo. Perché ciò avvenga nel processo di invio della notifica da parte delle applicazioni di contact tracing, dovrebbe essere prevista prima dell’invio una revisione della decisione da parte di un operatore che sia in grado di valutare il caso specifico e modificare, laddove necessario, l’output dell’algoritmo. Secondo il Working Party ex articolo 29, l’eventuale intervento umano nel processo di decision-making e la sua rilevanza dovrebbero risultare dalla valutazione d’impatto ex art. 35, GDPR.

 

Ciò è confermato anche dalle linee guida del Comitato europeo per la protezione dei dati, per cui “tutte le procedure e i processi, compresi gli algoritmi implementati dalle app per il tracciamento dei contatti, dovrebbero svolgersi sotto la stretta sorveglianza di personale qualificato al fine di limitare il verificarsi di falsi positivi e negativi. In particolare, le indicazioni fornite in merito ai passi da compiere successivamente alla ricezione di un alert non dovrebbero basarsi unicamente su un trattamento automatizzato”.

 

Applicabilità delle norme in materia di decisioni automatizzate

 

La norma europea che regola i processi decisionali automatizzati relativi a persone fisiche è l’articolo 22 del Regolamento 679/2016. Esso, secondo l’opinione più diffusa, stabilisce un divieto da parte dei titolari del trattamento di sottoporre l’interessato a “una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

 

Ad oggi non è ancora possibile comprendere quali siano le conseguenze successive all’invio degli alert né, quindi, se queste produrranno effetti giuridici o che incidano in modo analogo sugli utenti. È tuttavia presumibile che “gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l’adozione di correlate misure di sanità pubblica e di cura” che verranno determinati dal Ministero della Salute in applicazione del d.l. n.  28/2020 abbiano tali caratteristiche.

 

Pur ammettendo l’applicabilità dell’articolo 22, paragrafo 1, è comunque possibile superare il divieto di sottoporre gli interessati a decisioni automatizzate laddove ciò sia autorizzato dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisi altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato oppure con l’ottenimento del consenso esplicito dell’interessato. In quest’ultimo caso sarà necessario accertarsi che il consenso abbia ad oggetto la decisione automatizzata e che sia informato e liberamente prestato.

 

Affinché il consenso alla decisione automatizzata sia informato è necessario, in applicazione dell’art. 15, lett. h) del GDPR, che il titolare del trattamento fornisca all’interessato informazioni riguardanti l’esistenza di un processo decisionale automatizzato, le informazioni significative sulla logica utilizzata e l’importanza e le conseguenze previste di tale trattamento per l’interessato.

 

Il principio di trasparenza in materia di decisioni automatizzate

 

La necessità di fornire agli interessati informazioni precise sui trattamenti in essere ha inoltre una rilevanza che va ben oltre il rispetto della normativa europea. È ormai opinione diffusa, infatti, ribadita anche per le applicazioni di contact tracing da diverse Autorità nazionali e sovranazionali, che una delle principali leve che incentivano l’utilizzo di nuove tecnologie da parte dell’utenza è la trasparenza.

 

Nodo centrale per la spiegazione della logica utilizzata dall’algoritmo è sicuramente la definizione di “contatto stretto” recepita all’interno del codice sorgente dell’applicazione. Affinché vi sia un “contatto stretto”, il Centro Europeo per il Controllo e la Prevenzione delle Malattie, ripreso anche sul sito del Ministero della Salute, è necessario che un soggetto:

  • abbia avuto un contatto diretto (faccia a faccia) con un caso COVID-19 a distanza inferiore ai due metri per almeno 15 minuti;
  • sia entrato in contatto fisico con un caso di COVID-19;
  • sia entrato in contatto diretto non protetto con le secrezioni di un caso COVID-19;
  • si sia trovato in un ambiente chiuso per un caso COVID-19 per almeno 15 minuti;
  • abbia viaggiato nel medesimo aereo di un caso di COVID-19 (in questo caso i criteri variano in base alla gravità dei sintomi del caso);
  • sia un operatore sanitario od altra persona che fornisce assistenza diretta ad un caso di COVID19 oppure faccia parte del personale di laboratorio addetto alla manipolazione di campioni di un caso di COVID-19 e non abbia utilizzato i DPI raccomandati o ne abbia utilizzati di non idonei.

Ad oggi non è chiaro come sia stato sviluppato l’algoritmo che determina la presenza o meno di un “contatto stretto”. Tuttavia, nell’impossibilità di identificare preventivamente il soggetto possessore del device su cui è stata scaricata l’applicazione, i parametri utilizzati saranno gli stessi per tutti gli utenti, dunque non sarà possibile applicare in modo dettagliato i criteri relativi a particolari categorie di soggetti. Allo stesso modo, essendo esclusa la geolocalizzazione degli utenti ex art. 6, comma 2, lett. c) del d.l. 28/2020, non sarà neppure possibile applicare le regole specifiche previste per gli aeromobili.

 

Conclusione e profili giuslavoristici

 

Sebbene l’utilizzo delle applicazioni di contact tracing sia rilevante per la gestione delle attività di tracciamento, trattamento e test nonché per la raccolta di informazioni utili ai fini statistici, l’efficacia giuridica delle notifiche dipenderà profondamente dalla determinazione delle procedure amministrative previste dal d.l. 28/2020.

 

Ad oggi, sulla base della normativa vigente, l’alert ha una finalità puramente informativa. Ciò, tuttavia, rischia di creare serie problematiche organizzative e di responsabilità ad esempio, in ambito lavorativo.

 

Il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, siglato da Governo e parti sociali, prevede che il datore di lavoro informi i propri lavoratori circa “la consapevolezza e l’accettazione del fatto di non poter fare ingresso in azienda e di doverlo dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano condizioni di pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti, etc.) in cui i provvedimenti dell’Autorità impongono di informare il medico di famiglia e l’Autorità sanitaria e di rimanere al proprio domicilio”.

 

Secondo le FAQ pubblicate dal Garante italiano, è possibile per il datore di lavoro chiedere un’autodichiarazione in merito all’eventuale esposizione al contagio da COVID-19 quale accesso per la sede di lavoro. Tuttavia, in ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

 

È necessario quindi chiedersi se l’alert inviato dall’applicazione di contact tracing basti da solo a motivare tale dichiarazione e a giustificare il divieto di accesso nel luogo di lavoro ai sensi della disciplina del protocollo o dell’art. 20 del Testo Unico di Salute e Sicurezza (d.lgs. n. 81/2008) che prevede l’obbligo in capo al lavoratore di comunicare al datore eventuali situazioni di rischio di cui sia venuto a conoscenza. Ad oggi rimane dubbio se laddove il lavoratore venga a conoscenza della possibilità di essere stato in contatto con un soggetto positivo, anche se attraverso un processo decisionale automatizzato caratterizzato dai profili critici sopra rilevati, sia comunque obbligato a comunicare il possibile rischio al datore di lavoro. A ciò si aggiunge anche la problematica relativa all’incertezza della decisione automatizzata causata in parte dall’approssimazione dei criteri per identificare uno “stretto contatto” e in parte dal fatto che la prossimità tra due soggetti viene valutata in realtà sulla base della posizione dei device. Ad oggi, infatti, non è possibile stabilire con certezza la corrispondenza tra la posizione del device e quella del possessore dello strumento.

 

Al fine di rendere più chiara l’efficacia delle notifiche delle applicazioni di contact tracing, sarà quindi necessario che il Ministero della Salute adotti, tra le misure tecniche ed organizzative di cui al secondo comma dell’art. 6 del decreto-legge 28/2020, dei procedimenti che prevedano un intervento umano significativo nelle procedure di decision-making e che garantiscano un maggior grado di accuratezza delle decisioni. Alternativamente, si dovrà predisporre un metodo che permetta di raccogliere il consenso informato degli utenti anche con riguardo alla decisione automatizzata oppure, come proposto dal Garante italiano per la protezione dei dati personali, dovranno essere previste “le modalità di intervento umano sulla decisione algoritmica, così da soddisfare anche i requisiti di cui all’articolo 22, par. 2, lett. b) – del Regolamento”.

 

Gaetano Machì

Scuola di dottorato in Apprendimento e innovazione nei contesti sociali e di lavoro

Università di Siena

@Gae95

 




PinIt