La proposta di legge americana nota come Exposure Notification Privacy Act introduce una serie di obblighi e divieti per i gestori delle app di contact tracing con la scopo di tutelare la salute pubblica garantendo al contempo la privacy degli utenti. I contenuti, in larga misura condivisibili, appaiono però, spesso, troppo influenzati dai colossi della tecnologia come Apple e Google.
Negli Stati Uniti, il 1° giugno 2020, è stato presentato l’Exposure Notification Privacy Act (ENPA), un disegno di legge bipartisan (a firma dei senatori e senatrici M. Cantwell, B. Cassidy e A. Klobuchar) con lo scopo di garantire che i nuovi strumenti digitali per combattere il coronavirus, nella specie le applicazioni di contact tracing, non vadano a scapito della privacy degli utenti (si v. su questo Osservatorio E. Schneider, P. Clarizia, Immuni e tutela della privacy: “un nodo irrisolto”).
La prima novità dell’ENPA, rispetto ad altre normative relative ai sistemi di contact tracing elaborate durante la pandemia da COVID-19, attiene all’oggetto della proposta, che non è limitato ai sistemi di tracciamento e notifica in caso di coronavirus, ma è riferito a qualsiasi malattia infettiva. Di conseguenza anche la sua vigenza, non collegata all’attuale situazione di emergenza, è diversa e destinata a durare anche in futuro.
L’ENPA si applica a chiunque, persona fisica o giuridica, gestisca un servizio di tracciamento e di notifica automatica in caso di contatto con un soggetto rivelatosi positivo ad una malattia infettiva (non solo si è detto, al Covid-19).
La proposta di legge contiene una serie di obblighi in capo a chi gestisce i sistemi di tracciamento sopra indicati.
In primo luogo, l’obbligo di ottenere il consenso informato degli utenti per la raccolta delle loro informazioni attraverso il servizio. Il consenso non può mai essere implicito.
In secondo luogo, l’obbligo di consentire agli utenti di rinunciare al servizio e di chiedere la cancellazione dei dati, in qualsiasi momento e per qualsiasi motivo.
In terzo luogo, è previsto l’obbligo di coinvolgere sempre l’autorità sanitaria pubblica.
Si tratta di uno degli aspetti più interessanti della proposta di legge (ispirata qui a quanto già previsto da Apple e Google) la quale consente solo quei sistemi di “notifica automatica dell’esposizione” che siano gestiti da (o in collaborazione con) un’agenzia o un’autorità governativa competente in materia di salute pubblica o una persona fisica o giuridica titolare di un provvedimento concessorio o autorizzatorio rilasciato da un’autorità sanitaria pubblica.
Questa prescrizione mira ad accrescere la fiducia dei cittadini nel servizio, aumentandone la diffusione e la fruizione, anche ove gestito da operatori privati e a garantire il rispetto dei principi di proporzionalità e trasparenza, nonché il rispetto della privacy degli utenti. D’altra parte, come da alcuni evidenziato in senso critico, tale limite potrebbe avere l’effetto di restringere il novero dei servizi di tracciamento a disposizione dei cittadini riducendo la loro capacità di scelta.
In quarto luogo, la proposta di legge detta i criteri da rispettare prima di poter avvisare l’utente che potrebbe essere stato esposto ad una malattia infettiva. In base al testo dell’ENPA, ciò è possibile solo se la diagnosi è stata confermata da un’autorità sanitaria pubblica e purché l’utente a cui è stata diagnosticata la malattia infettiva acconsenta all’uso della diagnosi ai fini del servizio.
Si tratta di limiti molto stringenti che, se da un lato, rispondono ad esigenza di certezza (riducendo il rischio di falsi avvisi) e di rispetto della privacy, dall’altro, contrastano con la necessaria celerità dell’informazione, rischiando di eliminare la stessa possibilità concreta di effettuare la notifica.
A tutela della privacy degli individui è prevista la possibilità di raccogliere solo la quantità minima di dati necessari, in applicazione del principio di proporzionalità, ed è vietato raccogliere o utilizzare i dati per scopi commerciali (i dati possono invece, essere utilizzati a fini di ricerca sulla salute pubblica). L’ENPA, inoltre, fissa l’obbligo di cancellare entro 30 giorni i dati raccolti per le finalità del servizio.
Sempre a tutela della privacy è previsto l’obbligo per i gestori del servizio e della piattaforma di esplicitare la loro politica sulla privacy e sono indicate nel dettaglio le informazioni che obbligatoriamente devono essere fornite all’utente (tra cui l’indicazione di ciascuna categoria di dati raccolti, delle finalità di trattamento per le quali vengono raccolti tali dati, la descrizione delle politiche di conservazione dei dati e le modalità di tutela dei diritti individuali).
L’ENPA contiene poi, una serie di norme in materia di sicurezza dei dati, in base alle quali il titolare del servizio è tenuto ad attuare condotte volte a proteggere la riservatezza, l’integrità, la disponibilità e l’accessibilità dei dati coperti.
Per quanto riguarda infine, l’enforcement dell’ENPA, si segnala che il disegno di legge assegna le competenze in materia di attuazione e controllo alla Federal Trade Commission. Eventuali violazioni della normativa sono equiparate alle violazioni della disciplina in materia di pratiche sleali e ingannevoli e sanzionate dalla FTC alla quale è attribuita una nuova competenza in materia di tutela dei consumatori, relativa alla privacy.
La proposta di legge, denominata Exposure Notification Privacy Act della quale sono stati qui evidenziati alcune delle principali novità e messi in luce alcuni aspetti critici, va senza dubbio nella giusta direzione. Positiva appare, in particolare, la scelta di adottare un approccio unitario alla questione delle app di tracciamento dei contatti, (non solo da Covid-19), quanto mai necessario negli USA. La linea al momento seguita, tale per cui ogni Stato può consentire e disciplinare (come già avvenuto in alcuni Stati) la realizzazione e l’operatività di app di tracciamento ufficiali, infatti, sta rendendo la distribuzione e la fruizione di tali servizi decisamente complicata. L’ENPA al contrario, se approvata, avvicinerebbe gli Stati Uniti all’Unione europea dove ogni normativa nazionale si è dovuta muovere nel rispetto del comune GDPR in materia di trattamento dei dati e rispetto della privacy.
L’introduzione di una cornice normativa unitaria va, inoltre, accolta con favore in quanto introdurrebbe dei paletti federali al potere di alcuni operatori privati quali Apple e Google, di dettare proprie regole in materia di raccolta e utilizzo dei dati, tutela della privacy e app di tracciamento dei contatti.
D’altra parte, e qui si riviene, invece, un importante punto debole della proposta, il testo di legge appare eccessivamente influenzato dalle regole già adottate dai due colossi privati. Emerge dunque, il rischio, già rilevato rispetto alla legge federale statunitense sul riconoscimento facciale (su cui in questo Osservatorio, S. Del Gatto, Prove di regolazione del riconoscimento facciale e rischi di cattura del regolatore), di riconoscere un ruolo eccessivo ai grandi operatori privati della tecnologia nell’influenzare i contenuti delle norme volte a tutelare i diritti dei cittadini da un uso distorto delle nuove tecnologie.
L’influenza di giganti come Apple e Google, nella stesura di disegni di legge relative alle tecnologie digitali non va in sé respinta. Essa è, infatti, da una parte inevitabile e dall’altra, in alcuni casi, foriera di effetti positivi (la loro politica sulla privacy e sulla sicurezza dei dati è molto stringente ed è stata presa a modello. Si v. su questo Osservatorio, E. Schneider, P. Clarizia, Immuni e tutela della privacy: “un nodo irrisolto”; B. Carotti, Le scelte degli Stati sulla ‘τέχνη’: quattro indicazioni).
Va tuttavia, garantito che sull’individuazione del giusto equilibrio tra la tutela della privacy e la protezione della salute pubblica non pesino, anche, considerazioni di marketing. Si pensi ad esempio, alla scelta di alcune big tech di ridurre l’utilizzo della batteria delle app, rendendole così più appetibili per gli utenti. Tale scelta nel caso delle app di tracciamento, potrebbe riverberarsi in negativo sulla tutela della salute pubblica, diminuendo potenzialmente la possibilità di rilevare le persone nelle vicinanze.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.