Dati sensibili e Covid: quale futuro dopo la pandemia ?

Che la pandemia di questi ultimi due anni abbia radicalmente modificato le nostre vite è una considerazione diventata perfino banale, un “discorso da autobus” come avrebbe chiosato Nanni Moretti un’era geologica fa.

Sono e stanno cambiando i modelli comportamentali e quindi le interazioni sociali. Le dinamiche lavorative conseguentemente si stanno trasformando e l’intero paradigma dello svolgimento della prestazione lavorativa sta cambiando in tutto il mondo, oriente e occidente.

La trasformazione nel concepire la tutela dei dati personali si va modificando di pari passo. La data privacy oggi più che mai, o almeno con ancora più evidenza rispetto al passato anche recente, costituisce sempre più l’epigono del cambiamento che l’infrastruttura giuridica e la sua espressione normativa è tenuta a compiere per rimanere al passo dei tempi.

Sappiamo che la norma disciplina, nella maggior parte dei casi, una situazione di fatto, incardinandola in un perimetro di diritti e doveri. Nel caso della tutela dei dati personali all’epoca della pandemia, le disposizioni di legge in materia sono dovute intervenire non solo per definire e regolamentare comportamenti spesso fuori controllo, ma soprattutto per prevenire e indirizzare futuri comportamenti. Alle volte inseguendo teorici bisogni di tutela che nella realtà non si sono manifestati.

Per limitarci all’esperienza comunitaria, quella per intenderci che convive sotto l’ombrello del GDPR, il susseguirsi di raccomandazioni e linee guida dell’EDPB ne è una dimostrazione. Nel giardino di casa poi, non si contano gli interventi dell’Autorità Garante, sia legiferante che nelle vesti di organo consultivo, che ha addirittura – e con lungimiranza – aperto sul proprio sito una sezione dedicata al tema, in continuo aggiornamento.

Ebbene è stato proprio questo accavallarsi e succedersi di prescrizioni che ha dimostrato, a mio avviso, lo scricchiolio di uno degli assiomi sui quali si fonda la protezione dei dati personali: il significato, la nozione e infine la disciplina del dato sensibile.

Il tanto caro “dato sensibile”, sterilizzato a norma di GDPR in dato appartenente a una “categoria particolare” ,è da sempre il dato personale che riguarda la condizione di salute del singolo. Il concetto si amplia al dato biometrico e genetico, da un punto di vista sanitario, e si completa con le note categorie dell’ “orientamento sessuale” e del credo religioso e dell’ “opinione politica”. Concetti, questi ultimi, che avevano un valore nel vecchio continente ai tempi dei ghetti e dei totalitarismi, ma che oggi hanno assunto un significato diverso, dai contorni più sfumati rispetto al passato. Il “baricentro” del significato si è spostato, a seguito del progressivo sdoganamento delle abitudini e dei costumi sessuali e della deriva che ha subito la partecipazione alla vita politica, che sembra aver abbandonato gli ormai sorpassati schemi ideologici per frammentarsi e concentrarsi nelle beghe condominiali della contrapposizione manichea e semplicistica del si/no (Si-Vax e No-Vax e prima ancora Si-TV e No-TAV e prima ancora Europeisti vs. No-Euro solo per fare un esempio).

Il significato che ha assunto il dato sensibile dal punto di vista sanitario, poi, è sotto gli occhi di tutti. Inevitabilmente una serie di ostacoli e di prescrizioni si sono dimostrate superate e non rispettabili alla stregua della numerazione dei sedili in una curva di stadio. Pensiamo al barista che tutte le mattine prima di servirci il caffè deve (dovrebbe) controllarci il green pass, che non solo rileva se siamo o meno positivi al Covid (rivelando un primo dato relativo alla salute) ma addirittura verifica se siamo vaccinati o meno (e quindi rileva un ulteriore dato sanitario e altresì – latu sensu – un nostro orientamento politico) o se abbiamo avuto la malattia e in qualche misura ne siamo usciti indenni (altro dato di salute). In altri termini: il nostro datore di lavoro fino a qualche mese fa non poteva sapere se eravamo stati assenti dall’ufficio per una seduta di chemioterapia o per un raffreddore (giustissimo), mentre da qualche mese il nostro barista sa come la pensiamo politicamente e conosce il nostro stato di salute (dimenticavo: se ci siamo fatti il vaccino significa che non siamo neanche in quelle categorie particolari di esentati per altri motivi di salute….).

Non affrontiamo in questa sede l’ovvio rimando alla base giuridica del trattamento che giustifica un simile trattamento indiscriminato. La base è chiaramente l’obbligo di legge e prima ancora il superiore diritto della salute pubblica, ecc. ecc..

Ma lo scricchiolio si sente ed è forte.

Per non parlare dei dubbi e delle perplessità che il green pass ha creato a livello lavorativo, mettendo in mano al datore di lavoro uno strumento formidabile di controllo del lavoratore (usato a fin di bene…)

Evolvendo il significato di dato sensibile (con un processo iniziato anche prima della pandemia), dovrebbe cambiare anche la nozione di dato sensibile, poiché essa, oggi, si è ampliata. E conseguentemente della sua disciplina

Non solo: nel rispetto della funzione predittiva della norma, è importante che la nozione – centrale nella nostra disciplina privacy – vada a intercettare le potenziali situazioni di criticità che la tutela dei dati personali potrà incontrare e che anzi sta vivendo.

Confesso che, per portare un esempio della rigidità della nozione di dato sensibile, ho più volte espreeso il seguente paradosso: il proprio credo politico viene spesso sbandierato da ciascuno di noi in diversi ambiti e contesti, senza la necessaria “consapevolezza” che stiamo diffondendo un nostro dato sensibile, al pari di una patologia sofferta…. Al tempo stesso, l’ammontare del nostro conto in banca, quanto guadagniamo per il nostro lavoro, il prezzo di acquisto di determinati beni o servii che ci appartengono, sono custoditi come il segreto di Fatima. Per dirla breve, ci sono informazioni che per motivi radicati nella nostra cultura e abitudini e quasi per convenzione sociale consideriamo sensibili, anche se giuridicamente non lo sono e non godono quindi di una particolare tutela, e altri che lo sono ma che non consideriamo tali, comportandoci di conseguenza. Con ciò non voglio scivolare nel distinguo tra tutela del dato personale e riservatezza, ma centrare l’analisi sull’ambito troppo ristretto e poco sentito socialmente della nozione di dato sensibile, al quale si accompagna una disciplina rigorosa ed esclusiva.

Vorrei poi soffermarmi in questa sede su un altro aspetto, relativo a una categoria di dati che si sta dimostrando sempre più sensibile per l’attenzione della quale è oggetto e del valore, anche commerciale, che essa assume: il dato di geolocalizzazione.

Sapere dove siamo in un determinato momento, dove siamo stati, che tragitto e che percorsi effettuiamo giornalmente, è un dato che sta assumendo una forte valenza commerciale. Oltre al fatto che ha una ancora più considerevole importanza da un punto di vista “intimistico”. Essere in un determinato luogo in un determinato momento o svelare il percorso giornaliero che abbiamo effettuato, i posti e i luoghi che abbiamo frequentato, consente a chi maneggia questo dato di essere altamente pervasivo, consentendo il nostro controllo passato, presente e, verosimilmente, futuro (avendo un elevato valore predittivo). E non stiamo parlando solo del classico caso del dipendente assente dal luogo di lavoro o dello studente che maina la scuola.

Una maggiore tutela al dato di geolocalizzazione dovrebbe sensibilizzare tutti noi, determinando anche determinare una maggiore attenzione nell’utilizzo e nella diffusione di quel dato, soprattutto sui social network. La necessità sociale di documentare la nostra presenza in un posto attraverso post su facebook o whatsapp o su intsgram e tik tok ci espone non solo al giudizio (oltre che alla inseguita ammirazione e apprezzata invidia) della nostra cerchia di contatti e di likers, ma anche di perfetti estranei, di haters e di chi può strumentalizzare a suo vantaggio una informazione così preziosa. Quante volte abbiamo letto di case di personaggi noti svaligiate mentre questi erano sulle spiagge maldiviane (ben postate sui social) ? Ognuno di noi ha sicuramente almeno un esempio da portare per commentare le reazioni che l’esposizione di un suo dato di geolocalizzazione (peraltro statico e storicizzato) ha determinato nella sua sfera personale (nel bene e soprattutto nel male).

Se non possiamo fermare o impedire l’endemica volontà di rappresentarsi e di rappresentare il proprio stato, che almeno si sensibilizzi il singolo a una maggiore attenzione a diffondere e comunicare i suoi dati di geolocalizzazione. L’attenzione va rivolta soprattutto agli adolescenti e ai giovani in generale, a coloro i quali infatti, millennials o nativi digitali di prima, seconda e terza generazione, utilizzano i social in maniera naturale e inevitabile. Senza chiedersi a cosa servano ma fidandosi e ricalcando i modelli comportamentali che vedono e vivono ogni giorno.

Ricordiamoci infine che il GDPR è sorto sulle ceneri della Direttiva 95/46 e che, a un certo punto, il suo varo è stato necessario perché il mondo in 20 aveva subito una trasformazione che non aveva avuto forse nell’ultimo secolo (che a sua volta aveva visto una esplosione tecnologica). La Direttiva era stata concepita quando internet non esisteva (nei termini in cui lo conosciamo), quando i cellulari servivano a pochi eletti (solo) per telefonare e non esistevano smartphone. Quando la digitalizzazione era l’utopica rappresentazione del futuro che ne dava Harrison Ford parlando a un videoregistratore in Blade Runner.

Ebbene, la nozione di dato sensibile nel GDPR ha conservato la matrice dettata dalla Direttiva, con degli “aggiornamenti” (estensione alla biometria e alla genetica) che non hanno consentito di perimetrare in maniera coerente con i tempi e con le reali esigenze di protezione il significato di ciò che in realtà è considerato “sensibile”.

E’ su questi temi che, a mio avviso, va aperto un dialogo di discussione e di confronto. E non solo a livello domestico ma comunitario.