GIUSTIZIA INSIEME

Valutazioni di professionalità e standard medi di rendimento: La misurazione del lavoro dei magistrati e della organizzazione degli uffici

di Patrizia Morabito

Sommario: 1. Premessa; - 2. Come si è svolto il lavoro; - 3. La sperimentazione; - 4. E poi...il silenzio; - 5. Le prospettive. 

1. Premessa

La riforma dell’ordinamento giudiziario del 2006-2007 prevedeva  che la valutazione di professionalità dei magistrati si fondasse anche sul parametro della laboriosità, e che questo fosse desunto da “standard medi di rendimento”, rimettendo al Consiglio Superiore della Magistratura la loro fissazione.

Con Risoluzione del 23 settembre 2008 , il Consiglio Superiore ha costituito presso la IV Commissione un gruppo di lavoro “tecnico”, composto da magistrati e funzionari statistici, incaricato di determinare gli “standard” in vari settori della giurisdizione di primo grado.

Il gruppo ha completato e consegnato vari elaborati  dopo un’approfondita indagine su di migliaia di dati, ed ha realizzato schede informatiche che raccoglievano ed organizzavano informazioni molto dettagliate sul lavoro dei magistrati e della sezione di appartenenza, e che consentivano soprattutto, finalmente, di aver una conoscenza reale e complessiva del lavoro, e non solo dei pochi aspetti tradizionalmente considerati nelle “statistiche comparate dell’ufficio”. 

 La delibera conclusiva del CSM del 23.7.2014 ha ritenuto che il metodo potesse trovare concreta applicazione nei procedimenti di valutazione della professionalità, per i  giudici addetti alla cognizione ordinaria civile, per i giudici del lavoro, per i  magistrati requirenti di primo grado ed i magistrati di sorveglianza. 

2. Come si è svolto il lavoro

In estrema sintesi, nei settori civile/lavoro – del quale ultimo mi sono occupata in via esclusiva- si è proceduto ad una analisi accurata degli uffici individuati nella delibera CSM istitutiva del gruppo di lavoro, con l’intento di verificare la comparabilità del contenzioso  di sedi diverse, in modo da individuare una base di confronto più ampia del singolo ufficio. Sono stati raggruppati  in clusters quelli con caratteristiche simili, e la platea degli uffici che li componevano è stata  estesa nelle fasi successive del lavoro.

Minor numero di dati erano stati all’epoca raccolti , perché non disponibili, per i settori penali e per le Procure, quasi assenti per i Tribunali dei Minorenni, poi tralasciati perché troppo poco informatizzati; proprio attraverso il lavoro del gruppo  si è però iniziata una accurata ricognizione di attività poco conosciute e quasi non “classificate” fino a quel momento (persino i dati relativi alla presenza dei magistrati in ufficio, e agli esoneri, erano praticamente inesistenti).

Nei settori nei quali i dati informatici erano disponibili in numero adeguato, il lavoro ha dato invece esiti molto interessanti.

La ricerca è stata finalizzata a comprendere innanzitutto come operassero i magistrati di sedi diverse ma simili per qualità del contenzioso trattato, quali potessero essere gli indicatori numerici di un “buon operare”, quali fossero  le quantità delle definizioni e sopravvenienze: il metodo ha utilizzato i dati di uffici che apparivano “omogenei”, quindi confrontabili.

Gli elementi acquisiti  hanno offerto elementi  indicativi di qualità e  quantità di lavoro nel loro complesso ben più affidabili rispetto a quelli ricavabili dalle tradizionali “statistiche comparate dell’ufficio”, che sono notoriamente insufficienti ed incomplete, di fatto inutilizzabili perché confrontano pochi dati  nell’ambito del medesimo ufficio, e ricomprendono  funzioni totalmente diverse ed elementi disomogenei.

La comparazione frutto della ricerca del gruppo è risultata  invece molto più significativa, perché operata nell’ambito dei singoli  clusters , ciascuno dei quali  raccoglieva più uffici  con contenzioso omogeneo,  non una singola sede.  I dati raccolti erano poi “granulari”, dettagliavano le vicende del singoli processo, fornivano una molteplicità di informazioni: è  stato possibile quindi valorizzare il lavoro del giudice nella sua complessità, in modo più rispondente al concetto di  standard, non limitandosi ad alcuni tradizionali indicatori (come il numero delle definizioni con sentenza e poco altro).

 Sono stati enucleati sintomatici indicatori del “buon operato”, tradizionalmente noti ma mai adeguatamente considerati e misurati, come le definizioni diverse dalle sentenze, le conciliazioni, la durata dei processi, la durata dei procedimenti definiti, le pendenze ultratriennali,  l’efficacia nella conduzione dell’istruttoria. Soprattutto è stato possibile mettere sotto i riflettori la effettività della riduzione dell’arretrato, vero punctum dolens del contenzioso civile italiano.

L’esperienza ha dimostrato come il lavoro del magistrato fosse misurabile e dovesse essere misurato, e per questo fosse essenziale dotarsi di un sistema di registrazione informatica e di raccolta dei dati del lavoro giudiziario,  scegliendo accuratamente e con esperienza quelli  utili ed indicativi.

Le  ricerche hanno fatto emergere  anche anomale situazioni di contenzioso in talune sedi o settori, che sono state indagate  dal gruppo di lavoro. Queste hanno rivelato che situazioni oggettivamente critiche potevano  essere affrontate con metodi di lavoro  efficaci, frutto dell’attenzione alle peculiarità delle circostanze.  Si annovera fra questi il caso, raccontato nella relazione finale, del giudice del lavoro di un ufficio meridionale, che redigendo un numero  di sentenze , decisamente  inferiore a quello dei colleghi dell’ufficio, ma con un lavoro accurato e riunendo molti processi frammentati, aveva drasticamente ridotto un contenzioso ipertrofico, presente su tutti i ruoli di quella sezione, e fino a quel momento mai efficacemente studiato e contrastato.

Il caso ha vividamente palesato l’inadeguatezza dei dati statistici tradizionali per valutare il lavoro del giudice, e, per contro, l’efficacia del nuovo metodo degli standard per fare emergere il buon operato, e la capacità del magistrato  di affrontare le specificità del ruolo, risolvendone le criticità.

3. La sperimentazione

Ai fini di concentrare e giustapporre i dati ritenuti significativi sono state predisposte le schede informatiche, che estraevano dalla banca dati custodita presso il CSM (che sarebbe stata istituita e costantemente implementata ed aggiornata , con cadenza periodica come disposto dalla delibera del 2014) i numeri individuati come indicativi dell’operato del giudice, consentendo comparazioni effettive con gli altri giudici dello stesso ufficio e con il più ampio gruppo dello stesso cluster .

La scheda predisposta per la valutazione dei magistrati operanti  nelle sezioni lavoro, di immediata lettura, consentiva  non solo di operare tale raffronto, ma simultaneamente di comprendere l’operare dell’intero ufficio, l’andamento di esso, e la gestione complessiva della sezione.

Le schede dei diversi settori, per la verità , non  hanno la medesima immediatezza e leggibilità; ma la possibilità di completare l’esperienza, di migliorare il lavoro e approfondirlo avrebbe consentito l’indispensabile evoluzione ed affinamento del sistema, le modifiche ed i miglioramenti necessari, e si sarebbe arricchito di uno strumento oggettivo di trasparente conoscenza del lavoro dei magistrati, sotto molteplici punti di vista, prima ancora che di meritocratica valutazione.

Ottenute le schede informatiche, il lavoro è stato sottoposto  ad una verifica, effettuando valutazioni sperimentali che sono state comparate con quelle tradizionali. In alcuni settori (particolarmente quelli civili e del lavoro) nei quali si erano potuti raccogliere molti dati, le schede si sono dimostrate un efficacissimo ausilio per conoscere dettagliatamente non solo il lavoro del valutando, ma il contesto della sezione nella quale operava.  Sono emersi indici molto significativi della distribuzione del lavoro, dell’operato degli altri magistrati, della gestione dell’ufficio, e non solo del ruolo in esame.

Questa aveva riguardato alcuni colleghi, presi a “campione”, le cui  valutazioni di professionalità in quel momento predisposte con metodo tradizionale, e con l’ausilio delle ordinarie “statistiche comparate dell’ufficio” erano state confrontate con quelle “sperimentali” effettuate con l’ausilio delle  nuove schede  elaborate dal gruppo di lavoro, dai magistrati e  dai funzionari  statistici che lo componevano. Le schede si sono rivelate utili ed efficacissime per rappresentare  con oggettività ed immediatezza gli elementi essenziali per le valutazioni, che stentavano ad emergere con il metodo tradizionale.  

Gli esiti di quella sperimentazione sono stati ampiamente soddisfacenti, soprattutto per il settore civile/lavoro, ovvero quello nel quale l’informatizzazione era avanzata, e molti erano i dati “granulari”, disponibili, relativi ad ogni elemento del contenzioso trattato. 

Fu così che con Delibera adottata dall’Assemblea plenaria CSM nella seduta del 23 luglio 2014 si diede corso alla applicazione del nuovo metodo di valutazione in primo grado nei settori che avevano prodotto un lavoro collaudato, dando avvio alla utilizzazione degli standard di rendimento,  modificando anche  la circolare sulle valutazioni di professionalità e prevedendo l’utilizzo delle nuove schede informatiche.

La stessa delibera stabiliva di estendere ed applicare la metodologia ai magistrati addetti a settori specialistici non interessati alla prima ricognizione (esecuzioni, fallimenti) , e a quelli operanti in grado di appello, presso la  Corte suprema di cassazione, la Procura generale presso la Corte suprema di cassazione  la Direzione nazionale antimafia, previo compimento dell’attività istruttoria necessaria alla formazione di uno o più cluster per ciascun ambito di attività.

4. E poi...il silenzio

Nonostante il lavoro condotto dal gruppo tecnico si fosse snodato per mesi, e per anni, attraverso interlocuzioni con uffici, raccolta di dati, sperimentazioni con confronti ed incontri tra il gruppo di lavoro,  i magistrati ed i consigli giudiziari di esso è stato sempre difficile, a volte impossibile, poterne parlare. 

All’inizio perché è stato tenuto riservato temendo  che sarebbe stato osteggiato ed ostacolato, ed avrebbe creato polemiche ancor prima di potersi avviare. Poi perché è subentrato il timore che potesse essere utilizzato per campagne di raccolta di “consenso” fra i magistrati, a favore o contro, per le polemiche che si erano scatenate già fra i gruppi associati  sugli esiti del lavoro, sull’utilizzo dell’enorme massa di dati che il gruppo ha studiato ed utilizzato.

La cosiddetta “consegna del silenzio” imposta al gruppo tecnico operante,  ha riscontro in un documento  a firma di uno dei presidenti della IV Commissione CSM che si sono avvicendati che invitava “a non partecipare ad incontri e riunioni, in qualunque forma e  sede, per illustrare lo stato dei lavori”, prima che il consiglio assumesse determinazioni conclusive. Il documento era stato indirizzato nominativamente ai (soli) magistrati componenti del gruppo di lavoro, che erano stati invitati dalla formazione decentrata di un distretto pugliese per illustrare gli esiti della prima fase dei lavori, già approvati con una delibera CSM che disponeva il prosieguo e l’avvio della seconda fase.

Ma  neppure  al termine dei lavori si è visto alcun intento di promuovere  informazione e discussione de risultati quantomeno dei settori civile, lavoro e sorveglianza, nonostante:

a) i dati raccolti rispondessero alla esigenza di una conoscenza effettiva e approfondita dell’attività di alcuni settori della giurisdizione promettessero efficaci esiti di ampliamento;

b) il buon esito dato già alle prime sperimentazioni  del sistema ( anche se certamente perfettibile);  

c) i costi  che tutta l’attività aveva comportato; 

d) il CSM con le delibere del 2013 e del 2014 avesse ormai definitivamente approvato  la modalità di valutazione degli standard di laboriosità, disponendone la attuazione.

Anzi, è stata ancor più evidente la rinuncia, da parte dello stesso organo consiliare, a  promuovere la conoscenza che avrebbe richiesto una capillare opera di informazione che superasse il tecnicismo e rendesse fruibili e comprensibili a tutti i metodi ed i risultati; avviando un necessario confronto fra i magistrati, ai quali non avrebbe potuto essere imposto un metodo di valutazione di cui non fossero stati  consapevoli e partecipi, al quale invece avrebbero dovuto poter contribuire.  

Le ragioni di ciò mi sono rimaste sconosciute, ma se devo azzardare qualche ipotesi, oltre alla complessità dei lavori, molto tecnici, e la difficoltà di  approfondire la materia, hanno giocato un ruolo importante il timore della impopolarità,  originato dal sistema di conoscenza approfondita del lavoro dei singoli.

Ha parimenti avuto peso il timore  per un sistema  di raccolta dei dati che forniva  elementi importantissimi ed oggettivi  per la conoscenza della gestione degli uffici, quindi della efficacia ed efficienza (o della inadeguatezza) reale dell’attività dei  direttivi e semidirettivi che ne avevano la responsabilità.

Non a caso si è subito detto che i lavori del “gruppo per la determinazione degli standard”, costituito presso la IV Commissione CSM non sarebbe stato soltanto “conformativo” per i magistrati; e non sarebbe servito solo per le valutazioni di professionalità, ma sarebbe stato utile alla V ed alla VII Commissione CSM, per le attribuzioni e competenze di queste ultime.

Le statistiche comparate dell’ufficio, dettagliatissime ed attendibili, che corredavano le nuove  schede informatizzate, si sono rilevate un utilissimo indicatore non solo del lavoro del giudice in ma anche dell’organizzazione della sezione di appartenenza del valutando. Ne emergeva con evidenza  quali fossero stati i criteri di distribuzione del lavoro, se fosse stato curato un efficiente andamento dell’ufficio, se fosse stata prestata attenzione al riequilibrio dei carichi, alla definizione dell’arretrato, alla soluzione delle criticità; o se l’attenzione e la cura a questi aspetti  fossero state carenti. Dati senz’altro suscettibili di spiegazioni diverse e contestualizzabili, ma di solida  oggettività.      

Quindi attraverso la valutazione del singolo si poneva all’attenzione la gestione dell’ufficio e la capacità organizzativa  di chi aveva la responsabilità. Ove fosse emersa una conduzione non adeguata, foriera di criticità,  se ne sarebbe dovuto tenere conto nell’analizzare le difficoltà operative del singolo.

L’indagine aveva altrettanto oggettivamente documentato anche una disomogeneità ed inspiegabile sperequazione nella distribuzione delle risorse sul territorio, e conseguenti ingiustificabili disuguaglianze di carichi per  magistrati addetti ad uffici diversi, con inevitabile richiesta agli stessi di  ben diverso impegno; pertanto l’esito avrebbe potuto e dovuto orientare anche  le scelte di riequilibrio di tali situazioni.  

Certo, il lavoro avrebbe dovuto essere ulteriormente testato, sperimentato, collaudato, e soprattutto avrebbe dovuto essere discusso e  diventare oggetto di conoscenza e confronto con i magistrati, perché potesse essere migliorato ed affinato,  ancor più perché svolto in larga parte piuttosto  riservatamente; e che solo nelle fasi conclusive era stato testato con una sperimentazione che aveva coinvolto i  Consigli giudiziari.

Ma il conflitto ed il dibattito “esterno” , pur non sostenuto da una  corretta informazione  sull’origine del lavoro, sulle fonti e metodo di raccolta dei dati, diffusione mai perseguita né attuata,  ha trovato maggiore sfogo in sede “politico-associativa” concentrandosi su aspetti che disattendevano le premesse, sottovalutavano l’aspetto conoscitivo  e si agganciavano a posizione ideologiche di principio, trasferendo la discussione  su un terreno che si prestava a sollecitare i timori dei magistrati, da un lato per metodi di verifica del loro operato che apparivano oscuri ed insondabili (perché mai loro spiegati e mai condivisi con i destinatari del sistema) e dall’altra  solleticavano le spinte “difensive” più corporative di ampia parte dei destinatari, lumeggiando il rischio che fosse pretesa una produttività sempre incrementata nel tempo; sovrapponendo e a volte confondendo lo standard di rendimento con il carico esigibile.

Sta di fatto che  mentre il 23 luglio 2014  la delibera del Plenum del CSM , preso atto dell’esito positivo delle ultime sperimentazioni  svolte dal gruppo di lavoro presso la IV Commissione aveva deciso di "…dare mandato alla Quarta Commissione di provvedere attraverso l’Ufficio Statistico all’attività di aggiornamento annuale dei cluster e di predisporre le schede di valutazione da trasmettere al magistrato in valutazione, al capo dell’ufficio ed al consiglio giudiziario...", appena pochi mesi dopo un’altra delibera plenaria del 11 marzo 2015, adducendo in poche righe non meglio chiarite “difficoltà pratiche di compilazione delle schede  da parre di alcune tipologie di uffici” stabiliva di "…di sospendere, allo stato, la previsione contenuta nel Capo XIV comma 4 della Circolare consiliare relativa ai “Nuovi criteri per la valutazione di professionalità dei magistrati” (la n. 20691/2007)limitatamente al profilo della trasmissione al CSM delle nuove schede statistiche".

Si è rinunciato in un attimo e  sine die  ad avvalersi  del sistema che lo stesso CSM aveva realizzato ed approvato,costato molto lavoro, fatica e denaro,  imposto da una noma di legge - art. 11 del D.lgs n. 160 come riformulato dalla L. 111 del 2007 -  rimasta ancora inottemperata.

5. Le prospettive

La ricognizione di quanto già predisposto,  le potenzialità dello strumento messo in opera , ma guardato con sospetto, imposto senza spiegazioni e dibattiti, visto con malcelata ostilità e troppo presto inevitabilmente  abbandonato, impongono di esigere la piena attuazione della legge, elidendo gli  aspetti critici manifestati dal primo collaudo ovvero:

-  che il sistema sia completato, aggiornato ed affinato, avvalendosi dell’esperimento sul campo, del confronto con gli utenti qualificati del sistema di valutazione (i magistrati, i Consigli Giudiziari); diffondendo il più possibile la conoscenza delle schede di valutazione già utilizzate per il “collaudo”, del sistema che le produce, dei dati dai quali attingono;

- si  semplifichino le schede del settore civile, ricche di dati significativi ma eccessivamente farraginose,  rendendone agevole ed immediata la lettura come per le schede di valutazione del giudice del lavoro, che si sono rivelate di immediata comprensione per tutti i magistrati, laddove ne sia stata possibile una breve illustrazione ai destinatari;

- si proceda a riconsiderare il lavoro sui settori che sono stati completati (Procure), manifestando al collaudo sensibili,  criticità, rettificando la ricerca dei dati e reperendo dati più significativi del lavoro dell’inquirente;

- si completino ed  implementino i lavori di accertamento dei dati di base e degli standards nei settori che fino al 2014 non hanno dato risultati apprezzabili, avvalendosi anche della maggiore informatizzazione anche per questi ormai raggiunta (giudicanti penali, giudici minorili);

- si estenda l’indagine al lavoro dei magistrati della Corte di Appello e della Corte di Cassazione, ai settori in primo grado fino ad ora non oggetto di indagine (giudici fallimentari, etc.).

Tutto ciò a beneficio di una valutazione di professionalità dovuta per legge, che sia   ancorata a dati oggettivi, che offra  validi e fino ad oggi inediti elementi per accertare  il buon operare del magistrato ; e che  contestualizzi il suo operato , alzando lo sguardo dal limitato campo di azione di questo e lo collochi nel contesto operativo di appartenenza, consentendo di valutare anche le  capacità di coloro cui è affidata  la gestione delle sezioni, dei gruppi di lavoro, degli uffici.

Emergenza coronavirus: le tutele nel settore del trasporto aereo.
di Alessandro Palmigiano

Sommario:1. Premessa. 2.La disciplina in materia di voucher prevista dal c.d. decreto “Cura Italia”. I contrasti con la normativa comunitaria. 3. Il rimedio interno per la risoluzione del conflitto.    

1.Premessa

Dopo la dichiarazione del 11 marzo 2020, con cui l'Organizzazione mondiale della sanità ha definito il  Covid-19 una pandemia, diverse sono state le conseguenze sugli spostamenti nazionali ed internazionali. 

La pandemia di Covid-19, infatti, e le conseguenti restrizioni governative dovute alla crisi sanitaria in corso, ha determinato un ampio numero di cancellazioni delle prenotazioni nel settore dei trasporti, con gravissime ripercussioni sui  vettori e sui tour operator.  Alla stesso tempo gravi conseguenze si sono registrate a livello sociale, con  un inevitabile calo della produzione interna e dei redditi medi delle popolazioni degli Stati. 

E’ necessario, pertanto, affrontare la tematica mediante un bilanciamento necessario tra la tutela del diritto dei consumatori e la tutela degli interessi economici delle società operatrici nel settore.

Con l’approvazione dell’art. 88-bis del cosiddetto decreto Cura Italia (legge 17 marzo 2020 n.18 convertito con modifiche dalla legge n.27/2020), sono state adottate dal governo italiano specifiche disposizioni relative all’erogazione dei rimborsi e dei voucher in caso di cancellazione.

 

2.La disciplina in materia di voucher prevista dal c.d. decreto “Cura Italia”. I contrasti con la normativa comunitaria.

In primo luogo, occorre prendere le mosse dalla normativa d’emergenza di cui all’art 88-bis del cosiddetto decreto Cura Italia (legge 17 marzo 2020 n.18, convertito con modifiche dalla legge n.27/2020).

In merito, infatti, il punto 12 della predetta disposizione prevede che l’emissione unilaterale di un voucher da parte della Compagnia sia, in tutte le ipotesi di cancellazione previste dalla norma, integralmente sostitutivo del diritto di rimborso del passeggero: “ […] 12. L'emissione dei voucher previsti dal presente articolo assolve i correlativi obblighi di rimborso e non richiede alcuna forma di accettazione da parte del destinatario.” La norma, quindi, ha di fatto rimesso il rimborso del prezzo del biglietto acquistato da parte del passeggero, o l’alternativa emissione di un voucher, ad una scelta unilaterale e meramente discrezionale delle Compagnie, senza alcuna forma di accettazione da parte del consumatore. Successivamente all’emanazione del predetto provvedimento le Compagnie hanno – nella quasi totalità di casi – emesso esclusivamente voucher a seguito delle cancellazioni, rigettando qualsiasi richiesta di rimborso del prezzo inoltrata dai consumatori.

La disposizione normativa di cui all’art 88-bis del decreto Cura Italia sopra evidenziata presenta diversi profili di criticità, soprattutto in considerazione delle evidenti antinomie con le disposizioni comunitarie di settore.

L’art. 88-bis, infatti, si pone in manifesto contrasto con la vigente normativa europea di cui all’art. 8 del regolamento (CE) n. 261/2004, richiamato dall’art. 5 dello stesso, che, nel caso di cancellazione per circostanze inevitabili e straordinarie, prevede il diritto del consumatore ad ottenere un rimborso: “Quando è fatto riferimento al presente articolo, al passeggero è offerta la scelta tra:a) - il rimborso entro sette giorni, secondo quanto previsto nell'articolo 7, paragrafo 3, del prezzo pieno del biglietto, allo stesso prezzo al quale è stato acquistato, per la o le parti di viaggio non effettuate e per la o le parti di viaggio già effettuate se il volo in questione è divenuto inutile rispetto al programma di viaggio iniziale del passeggero, nonché, se del caso:- un volo di ritorno verso il punto di partenza iniziale, non appena possibile; o c) l'imbarco su un volo alternativo verso la destinazione finale, in condizioni di trasporto comparabili, ad una data successiva di suo gradimento, a seconda delle disponibilità di posti. […]”. Le disposizioni di cui al Regolamento (CE) n. 261/2004, quindi, prevedono una significativa forma di tutela in favore del consumatore, rimettendo a quest’ultimo (e non ai vettori) la scelta tra il rimborso del prezzo pieno del biglietto o, in alternativa, l’imbarco futuro su un volo alternativo garantito dalla Compagnia (quindi l’emissione di un voucher). Si tratta di un favor nei confronti del contraente debole del tutto contrastante con il citato art. 88-bis in cui, invece, il vettore può, in via del tutto discrezionale, negare unilateralmente il diritto di rimborso al passeggero, imponendo a quest’ultimo un voucher sostitutivo. La norma, occorre altresì precisare, si ritiene applicabile in forza dell’art. 3 del Regolamento sia nei voli intra UE sia in quelli extra UE, con partenza dal territorio di uno stato membro: “1. Il presente regolamento si applica: a) ai passeggeri in partenza da un aeroporto situato nel territorio di uno Stato membro soggetto alle disposizioni del trattato; […]”.

La disposizione europea è chiara e non sembra in alcun modo derogabile a causa della pandemia, come risulta confermato, peraltro, da due ulteriori significativi atti della Commissione Europea, emanati in questa direzione e  che è necessario analizzare al fine di una comprensione complessiva della problematica, ovvero la Comunicazione della Commissione Europea relativi agli “Orientamenti interpretativi relativi ai regolamenti UE sui diritti dei passeggeri nel contesto dell'evolversi della situazione connessa al Covid-19” del 18 marzo 2020 e la Raccomandazione del 13 maggio 2020.

La Comunicazione della Commissione Europea del 18 marzo 2020 C(2020) veniva emanata poco dopo l’inizio della crisi sanitaria, al fine di: “[…]  chiarire le modalità di applicazione di alcune disposizioni della legislazione UE sui diritti dei passeggeri nel contesto dell'epidemia di Covid-19, in particolare per quanto riguarda le cancellazioni e i ritardi.”.

Con la predetta Comunicazione, la Commissione chiariva sin da subito l’insindacabile facoltà di scelta in capo al consumatore tra rimborso e voucher, indipendentemente dalla causa, affermando che: “In caso di cancellazione di un volo da parte delle compagnie aeree (indipendentemente dalla causa), l'articolo 5 impone al vettore aereo operativo di offrire al passeggero la scelta tra: a) il rimborso, 4 b) l'imbarco su un volo alternativo non appena possibile, o c) l'imbarco su un volo alternativo ad una data successiva di suo gradimento.”.

Successivamente, con la Raccomandazione del 13 maggio 2020 C(2020) relativa ai “buoni offerti a passeggeri e viaggiatori come alternativa al rimborso per pacchetti turistici e servizi di trasporto annullati nel contesto della pandemia di Covid-19”, la Commissione non solo ribadiva la facoltà di scelta, ma ipotizzava anche una forma di aiuto statale al fine di garantire pienamente il diritto di rimborso dei passeggeri in caso di fallimento del vettore: “Infine, gli Stati membri possono decidere, a seguito del fallimento di un vettore o di un organizzatore, di soddisfare le richieste di rimborso presentate dai passeggeri o dai viaggiatori. La copertura delle richieste di rimborso andrebbe a esclusivo vantaggio dei passeggeri e dei viaggiatori e non delle imprese. Pertanto non costituirebbe un aiuto di Stato e può quindi essere attuata dagli Stati membri senza previa approvazione della Commissione.”.

Sulla scia della sopra citata Raccomandazione della Commissione, infine, si è altresì espressa l’Autorità Garante della Concorrenza e del Mercato la quale, con segnalazione del 28 maggio 2020, ha evidenziato che l’art. 88-bis si pone in contrasto con la vigente normativa europea, che nel caso di cancellazione per circostanze inevitabili e straordinarie, prevede il diritto del consumatore ad ottenere un rimborso, specificando a fronte del permanere del descritto conflitto tra normativa nazionale ed europea, interverrà per assicurare la corretta applicazione delle disposizioni di fonte comunitaria disapplicando la normativa nazionale con esse contrastanti.

3. Il rimedio interno per la risoluzione del conflitto.

In ordine al rapporto tra le fonti, il conflitto tra la norma interna di cui all’art 88-bis del cosiddetto decreto Cura Italia e le disposizioni comunitarie del regolamento (CE) n. 261/2004 può risolversi mediante la non applicazione della norma interna in favore di quella comunitaria.

Il diritto euro-unitario prevede - tra le sue fonti di produzione - il regolamento, di cui all’art. 288 Tfue; regolamento che - a dispetto del nomen iuris - presenta un rango super-primario, che risente dell’affermarsi del principio di primazia del diritto dell’Ue  e che permette al regolamento di prevalere rispetto alle singole norme delle Costituzioni nazionali, salvi i contro-limiti. L’art. 288 TFUE stabilisce, infatti, che “Il regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri”.

Le disposizioni regolamentari, infatti, hanno portata generale e sono immediatamente efficaci nell’ambito di ciascuno degli stati membri senza che sia necessaria un’attività integrativa del singolo Stato.

Pertanto, il giudice nazionale è tenuto a disapplicare la norma di diritto interno confliggente con il regolamento. comunitario.

Del resto, già  l’art. 4 n. 3 TUE sanciva a livello comunitario il c.d. principio di leale collaborazione tra gli stati, disponendo che: «gli Stati membri adottano ogni misura di carattere generale o particolare atta ad assicurare l'esecuzione degli obblighi derivanti dai trattati o conseguenti agli atti delle istituzioni dell'Unione». Tale principio, quindi, si sostanzia nel dovere di ciascuno stato membro di fare quanto in suo potere per dare effettiva attuazione al diritto dell’Unione. In tal senso, un ruolo fondamentale per assicurare l’effettiva applicazione del diritto dell'Unione all'interno dei singoli ordinamenti è affidato al giudice nazionale, chiamato a vigilare  sull'osservanza del diritto dell’Unione nell'ordinamento giuridico nazionale (cfr. Corte giust. ordinanza 6 dicembre 1990, causa C-2/88, Imm., J.J. Zwartveld e altri).

La cessione di sovranità di ciascuno stato membro dell’Unione, determina in primo luogo la primazia del diritto comunitario sul diritto interno, sancito dalla stessa Corte di Giustizia nella nota pronuncia Costa contro Enel, nella quale si è chiaramente affermato che: « Il trasferimento, effettuato dagli stati a favore dell'ordinamento giuridico comunitario, dei diritti e degli obblighi corrispondenti alle disposizioni del trattato implica quindi una limitazione definitiva dei loro diritti sovrani, di fronte alla quale un atto unilaterale ulteriore, incompatibile col sistema della comunità, sarebbe del tutto privo di efficacia. l'art. 177 va quindi applicato, nonostante qualsiasi legge nazionale, tutte le volte che sorga una questione d'interpretazione del trattato» (cfr. Corte giust. 15 luglio 1964, causa 6/64, Costa c. E.N.E.L.).

La risoluzione di un’eventuale antinomia tra norma interna e norma comunitaria, quindi, viene risolta dalla stessa giurisprudenza con l’immediata applicazione della norma dell'Unione, nel caso in cui quest’ultima risulti chiara e precisa e incondizionata. Il giudice nazionale, pertanto, è tenuto in tali ipotesi ad applicare il diritto dell’Unione al fine di garantire il rispetto dei diritti che quest’ultimo attribuisce ai singoli cittadini degli stati membri (cfr.  Corte giust. 9 marzo 1978, causa 106/77, Amministrazione delle finanze dello Stato c. SpA Simmenthal).

Non vi è dubbio, quindi, che la norma regolamentare sopra citata prevalga sulla norma interna incompatibile.

Fatte queste doverose premesse sui rapporti tra norma interna e norma comunitaria, occorre entrare nel merito della problematica relativa alla tutela dei consumatori nel settore dei trasporti aerei.

L’intervento normativo di cui all’art. 88-bis della legge di conversione del decreto “Cura Italia”, pur nel comprensibile tentativo di tutelare anche gli operatori del settore dei trasporti dalla crisi economica,  si sostanzia in una disciplina evidentemente sbilanciata in favore di questi ultimi, lesiva degli interessi dei consumatori. L’emissione discrezionale di un voucher sostitutivo del diritto di rimborso, senza alcuna preventiva accettazione da parte del consumatore, determina inevitabilmente una restrizione dei diritti allo stesso garantiti da una chiara normativa sovranazionale, il regolamento (CE) n. 261/2004  che, invece, rimette a loro la facoltà di scelte tra voucher o rimborso del prezzo del biglietto. La ratio del legislatore comunitario, quindi, è chiaramente quella di tutelare il passeggero, parte debole del rapporto contrattuale. Si ritiene, pertanto, che il giudice nazionale, in forza dei granitici principi che sanciscono la primazia del diritto comunitario sul diritto interno in caso di contrasto sopra richiamati, ove chiamato a decidere su controversie relative alla tutela dei consumatori nel settore dei trasporti, possa procedere con l’applicazione delle norme di cui al regolamento (CE) n. 261/2004, garantendo il rispetto dei diritti da quest’ultimo riconosciuti nel settore dei trasporti.

Si tratta, in ogni caso, di un’analisi da condurre caso per caso, anche in relazione alle diverse modalità di conclusione del contratto, che potrebbero comportare deroghe alle regole generali.

         

Resilienza della regolazione per principi e rapida obsolescenza della normativa ipertrofica: brevi considerazioni sul caso Apple di Marco Cappai

Con due decisioni gemelle del 25 settembre 2018, l’Antitrust ha accertato due pratiche commerciali scorrette poste in essere da Apple e Samsung volte, nel loro complesso, a determinare un fenomeno di “obsolescenza programmata” (Provv. nn. 27365 e 27363, nei procedimenti PS11039 – APPLE-AGGIORNAMENTO SOFTWARE e PS11009 - SAMSUNG-AGGIORNAMENTO SOFTWARE). Le imprese hi-tech avrebbero in particolare reso i propri device (iPhone 6/6Plus/6s/6sPlus e Galaxy Note 4) meno performanti – e in alcuni casi finanche inutilizzabili – ad esito della forzosa installazione, a ridosso della scadenza del termine biennale di garanzia legale, di un aggiornamento del firmware (iOS 10 e 10.1.2 e Android Lollipop e Marshmallow), nel caso di Apple non successivamente disinstallabile (c.d. downgrade). Tanto, senza peraltro aver fornito agli utenti informazioni idonee a metterlo in guardia sui possibili effetti dell’installazione. Le condotte in questione si salderebbero con un’inadeguata gestione delle richieste di assistenza post-vendita avanzate dai medesimi clienti (specie se “fuori garanzia”), i quali, di fronte alla prospettazione di costi di riparazione significativi e alle difficoltà tecniche incontrate, sarebbero stati indotti ad acquistare nuovi device.

Per tali comportamenti, qualificati come pratiche commerciali sia aggressive che ingannevoli (artt. 20, 21, 22 e 24 del Codice del consumo - CdC), l’Autorità ha irrogato una sanzione pecuniaria pari al massimo edittale, per un importo di 5 milioni di euro per ciascuna compagnia.

Nel caso di Apple, l’Autorità ha altresì accertato un’ulteriore pratica, consistente nella mancata e insufficiente informazione circa alcune caratteristiche essenziali delle batterie a litio, qualificandola come fattispecie di omissioni ingannevoli ex art. 22 del CdC e sanzionandola con un’ammenda di pari importo.

Entrambe le compagnie sono state condannate alla sanzione accessoria della pubblicazione di una dichiarazione rettificativa ai sensi dell’art. 27, comma 8 CdC.

In attesa di definizione del giudizio incardinato da Samsung (R.g. n. 15363/2018), lo scorso 29 maggio il TAR Lazio ha definito il giudizio introdotto da Apple, pienamente confermando il provvedimento dell’Antitrust (Sez. I, sent. n. 5736).

La decisione offre l’occasione per riprendere un dibattito avviato con il coraggioso intervento dell’Autorità del 2018, calarlo nel corrente contesto ordinamentale e svolgere alcune considerazioni, sparse, di sistema.

Prima, un breve passo indietro sui fatti.

Come accennato, l’AGCM ha riscontrato che con l’installazione del sistema operativo iOS.10 e 10.1.2 i dispositivi hardware (iPhone 6/6Plus/6s/6sPlus) – pur tecnicamente compatibili con il nuovo sistema operativo – in svariati casi non si sono dimostrati in grado di supportare adeguatamente il nuovo firmware, non solo riguardo all’esecuzione delle nuove funzionalità, ma anche con riferimento all’esecuzione delle funzioni già svolte dal preesistente sistema operativo. In particolare, il primo aggiornamento ha cagionato molteplici spegnimenti improvvisi (unexpected power off – UPOs), dovuti all’incapacità della batteria di fornire il picco di potenza richiesto senza provocare una riduzione al di sotto dei livelli minimi della tensione necessaria per il funzionamento di alcuni componenti elettronici (§ 141, lett. a). Il secondo ha risolto il problema degli UPOs, ma comunque a svantaggio dell’utente, in quanto la via per conseguire tale risultato è stata una tendenziale riduzione delle caratteristiche di velocità e potenza di calcolo dei dispositivi (§ 142, lett. b).

Dette problematiche si sono verificate su un campione significativo di smartphone non nuovi, ma comunque regolarmente funzionanti e in buono stato di conservazione.

La normale usura, propria del fluire del tempo, di componenti elettroniche quali il processore e la batteria non sarebbe stata in altri termini tale, in mancanza dell’aggiornamento firmware, da pregiudicare il funzionamento del dispositivo (§ 123).

La strategia complessiva – osserva l’Antitrust – si connota di elementi di aggressività e di ingannevolezza.

Quanto al primo profilo, il consumatore subisce un indebito condizionamento dal fatto che, in occasione del lancio di un nuovo upgrade, il ventaglio di scelte è limitato alla possibilità di installare subito l’aggiornamento o di rimandare tale azione. Il processo deliberativo del consumatore è in qualche modo accompagnato da un sistema di avvisi e di notifiche di reminder insistente e reiterato (§ 152). Ciò non lascerebbe una reale scelta a coloro che valutassero non opportuno passare alla nuova versione del firmware, di fatto costretti a ripetere a oltranza un’azione di procrastinamento (§ 154). Al contempo, l’installazione, una volta completata, non era neanche reversibile, stante l’impossibilità per il consumatore di effettuare il downgrade (§ 146), circostanza confermata dalla stessa Apple (§ 101).

Quanto al secondo profilo, la condotta si salda a una serie di omissioni informative in merito ai possibili effetti nocivi dell’upgrade in danno degli utenti (§§ 133 ss.). Si tratta di mancanze aggravate dall’innegabile asimmetria informativa sussistente nel rapporto di consumo in questione (§§ 10, 130, 135, 151, 156, 161).

Nonostante sulla carta il nuovo sistema operativo, rilasciato gratuitamente, fosse oggettivamente più avanzato (anche per ragioni di sicurezza e per la prevenzione di bug), l’Autorità ha ritenuto non giustificabile l’unilaterale scelta del professionista tra miglioramento delle prestazioni di sistema e obsolescenza tecnologica del dispositivo fisico (§ 139).

Collante del disegno complessivo dell’azienda sarebbe anche il marcato livello di fidelizzazione della clientela (§ 176), indotta ad acquistare prodotti di Cupertino in virtù della più accentuata interoperabilità dei vari dispositivi e devices a marchio Apple e della natura “chiusa” del sistema operativo proprietario iOS, su cui gli stessi poggiano.

In tale contesto, l’AGCM ha osservato una coincidenza temporale tra il rilascio degli aggiornamenti contestati e il picco delle richieste di assistenza da parte dei possessori dei modelli interessati, non giustificabile – per la sua entità numerica e temporale – con l’usura degli apparecchi (§§ 128-129). A fronte di simili problematiche, riscontrate in prossimità o poco oltre il decorso del termine biennale di garanzia del prodotto, l’Autorità sottolinea come Apple abbia negato l’assistenza gratuita e subordinato la riparazione dei dispositivi a costi eccessivamente elevati rispetto al valore residuo del bene (§§ 144-145).

Conseguentemente, si è incentivato un processo di sostituzione con diversi modelli del medesimo produttore (§ 150).

La decisione del TAR Lazio affronta la complessità della tematica tecnologica sottostante con un approccio concettuale piuttosto snello.

Nel fare ampi richiami, specie in punto di fatto, al provvedimento dell’Antitrust, la pronuncia sembra poggiare su un unico, assorbente, argomento logico.

Essa, in particolare, definisce l’impugnativa di Apple come un ampio e articolato saggio di conoscenze e competenze tecniche, che però non coglie nel segno.

Sono infatti irrilevanti le variegate problematiche tecnologiche che sarebbero alla base dei disservizi e della supposta impossibilità di consentire il downgrade dell’aggiornamento. Ciò che rileva è la circostanza che tali fatti si siano verificati e che, in dipendenza degli stessi, siano pervenute richieste di assistenza e segnalazioni dei consumatori, non adeguatamente gestite da Apple.

Né le omissioni informative sono sanate dall’invito – inserito nell’avviso di aggiornamento del firmware – a visitare la pagina web per maggiori informazioni. In ossequio alla giurisprudenza sul c.d. “primo contatto”, il TAR ribadisce infatti che la completezza e la veridicità di un messaggio promozionale vanno verificate nell’ambito dello stesso contesto di comunicazione commerciale e non già sulla base di ulteriori informazioni che l’operatore commerciale rende disponibili solo in un secondo momento, a effetto promozionale (c.d. aggancio) già avvenuto.

In definitiva – conclude il TAR – “Apple ha costruito un sofisticato sistema, tecnologico e di marketing, che, attraverso informazioni omissive e pratiche aggressive […], condiziona fortemente il consumatore nelle proprie scelte, sotto diversi profili”, quali la “fidelizzazione forzata” degli utenti, “la periodica, frequente e insistente proposizione di aggiornamenti software che, di fatto, una volta scaricati, rallentano e riducono le funzionalità dei modelli di iPhone meno recenti, senza che il possessore ne sia informato o pienamente consapevole”, e “la sostituzione della componentistica […] soltanto presso un centro autorizzato Apple”.

In attesa del giudizio di appello (difficile immaginare che Apple intenda rinunciarvi), alcune brevi considerazioni possono esser svolte sulla vicenda, con l’agilità di chi non ambisce a offrire trattazioni esaustive.

Quello dell’obsolescenza programmata è in effetti un problema tangibile del nostro tempo e presenta molteplici spigolature.

I suoi effetti trascendono il rapporto di consumo e incidono su beni primari come la sostenibilità ambientale, dal momento che l’artificiosa accelerazione del fisiologico ciclo di vita dell’apparato moltiplica il numero di componenti, altamente inquinanti (in primis, le batterie), da smaltire, così menomando l’obiettivo strategico dell’“economia circolare” (Comunicazione della Commissione “Il Green Deal europeo” (COM(2019) 640 final), 11 dicembre 2019, p. 8).

L’angolo visuale, in questo caso, è quello del consumatore.

Da questa prospettiva, i procedimenti avviati contro Apple e Samsung stimolano una serie di riflessioni.

In primo luogo, lo scollamento temporale dei rispettivi giudizi (il secondo, come detto, in attesa di definizione) può deporre a favore di una trattazione maggiormente individuale degli stessi, fatto di per sé non negativo, atteso che la posizione di Samsung potrebbe non essere del tutto apparentabile a quella di Apple, anzitutto per ragioni di fatto.

Apple costituisce una piattaforma integrata di hardware, software e servizi. Trattasi di un soggetto verticalmente integrato, presente a tutti i livelli della filiera, dalla produzione del dispositivo hardware (e dei device interconnessi, come ad esempio i tablet, l’Apple watch e gli air pod), allo sviluppo del sistema operativo (iOS), alla gestione dell’app store, fino allo sviluppo di alcuni software e app (come iTunes e Apple Music). La situazione di Samsung è invece parzialmente diversa, perché nel mercato dei licensable operating systems (L-OSs) il sistema Android, implementato da Google, detiene una posizione dominante e costituisce, anche per un produttore forte come Samsung, un must have. Samsung, pertanto, pur essendo presente in tutti i restanti segmenti della filiera, lo è in modo meno incisivo (si pensi alla differenza di posizionamento competitivo tra l’Apple Store e il Galaxy Store) e, soprattutto, non opera al livello, cruciale, del sistema operativo.

Come evidenzia lo stesso provvedimento reso nei confronti di Samsung, gran parte degli aggiornamenti firmware che, nel caso in esame, hanno reso obsoleto il dispositivo Galaxy Note 4 “originavano da Google” (§ 93). L’argomento – riferito ad Apple – secondo cui “grava sul professionista non soltanto l’onere di individuare dei modelli astrattamente compatibili con un determinato aggiornamento firmware ma, soprattutto, valutare e ponderare l’impatto degli aggiornamenti rilasciati per i dispositivi già in uso, tenendo conto del possibile stato dell’hardware sul quale il medesimo potrà essere installato” (§ 130), non può dunque essere traslato tel quel su Samsung.

In qualche misura, l’Autorità sembra aver ricondotto la responsabilità di questo secondo operatore alla circostanza che esso, nell’ambito dei controlli preventivi che è solito svolgere, unitamente a Google, prima del lancio di un aggiornamento (§ 95), avrebbe potuto e dovuto compiere le “prove di resistenza” dell’hardware al nuovo sistema operativo.

In tale contesto, Samsung potrebbe pur sempre tentare di valorizzare il fatto che – come evidenziato dall’autorità antitrust olandese nell’indagine di mercato sugli App store – i produttori di smartphone soffrono un forte squilibrio contrattuale con Google, detentore del sistema operativo Android, che viene offerto a condizioni contrattuali “prendere o lasciare”, stanti anche le limitazioni tecniche incontrate dai produttori che intendano sviluppare una versione alternativa di Android (c.d. fork) (ACM, Market study into mobile app stores, Case no. ACM/18/032693, 11 aprile 2019, p. 70).

Per altro profilo, il produttore di dispositivi potrebbe venire a trovarsi tra l’incudine e il martello, perché rifiutare l’aggiornamento del firmware potrebbe, per un verso, salvaguardare la meccanica dell’hardware dei propri clienti, ma, per altro verso, renderne obsolete le funzionalità, nella misura in cui la vecchia versione del sistema operativo diventi incompatibile con le nuove generazioni di app, peraltro distribuite in via prevalente attraverso il Play Store di Google, i cui team di supporto tecnico ne indirizzano in qualche modo i parametri.

Va poi considerato che, a differenza di Apple, Samsung ha negato – o, comunque, ha provato a circostanziare – l’impossibilità per l’utente di effettuare il downgrading (§ 97) e, oltretutto, non può contare su una strategia di fidelizzazione della clientela altrettanto forte.

Si tratta di aspetti di fatto che sono già stati attentamente valutati dall’Antitrust e che saranno scrutinati nel contenzioso amministrativo.

Da un punto di vista giuridico, va precisato che ai fatti di causa non si applica, ratione temporis, la disciplina europea recentemente introdotta con il pacchetto “Digital Contracts” (direttive nn. 770 e 771/2020/UE).

Con il nuovo pacchetto, la garanzia legale di conformità – già prevista in Italia e che ora, superando l’approccio di armonizzazione minima della direttiva 1999/44/CE, dovrà essere obbligatoriamente recepita con determinate caratteristiche in tutti gli Stati membri (artt. 4-5 direttiva n. 2019/770/UE) – è stata estesa anche alle componenti digitali dei beni, quando la loro mancanza determinerebbe l’impossibilità di fruire del bene stesso o quando il venditore del bene si impegni contrattualmente a offrire anche un elemento digitale, come di regola avviene per i sistemi operativi degli smartphone (considerando nn. 21 e 22 direttiva n. 2019/770/UE e art. 3, § 3 direttiva n. 2019/771/UE). Quando, invece, il contenuto o servizio digitale è venduto autonomamente, si applica la direttiva sui contenuti e servizi digitali (n. 770/2020/UE), che pure prevede l’obbligo di garantire la conformità del bene o servizio al contratto. In entrambi i casi, rientra nel contenuto naturale della garanzia di conformità fornire gli aggiornamenti che sono stati convenuti nel contratto o che si rendono comunque necessari per la regolare fruizione del contenuto o servizio digitale prestato (considerando n. 44 direttiva n. 2019/770/UE). Apparentemente, l’elemento di maggiore innovatività della recente disciplina risiede nel fatto che aziende come Samsung, che vendono un dispositivo unitamente a un sistema operativo fornito da terzi, saranno chiamate a rispondere, in solido o in via esclusiva, per le azioni compiute da questi ultimi a danno dei consumatori, salvo l’eventuale regresso. Tuttavia, si tratta solo di un’applicazione dei principi generali della materia al mondo digitale, finora sprovvisto di tutele adeguate in vari ordinamenti. L’operazione è più semplice di quanto si pensi: a beneficio della certezza del diritto, si sancisce espressamente che i diritti contrattuali dei consumatori, salvi gli aggiustamenti del caso, valgono anche quando questi acquistano contenuti o servizi digitali.

In ogni caso, la disciplina in via di recepimento avrebbe toccato solo in via tangente i fatti controversi, che sono interamente riferibili a prodotti divenuti obsoleti dopo il periodo di copertura della garanzia legale (pari, in Italia, a due anni) o a ridosso della relativa scadenza.

Condivisibilmente, l’Autorità ha ritenuto che l’art. 132 CdC non può essere interpretato nel senso che, una volta decorso il periodo di copertura, il professionista può, con le proprie azioni, cagionare il deterioramento forzoso di un device ancora regolarmente funzionante.

Non a caso, la base legale dell’accertamento non è la frapposizione di ostacoli non contrattuali all’esercizio di un diritto del consumatore (art. 25, comma 1, lett. d CdC) – visto che, appunto, il diritto alla garanzia legale non viene qui in gioco – bensì la violazione delle regole, più generali, contro la scorrettezza, l’ingannevolezza e l’aggressività (artt. 20, 21, 22 e 24 CdC).

Da qui una prima conclusione.

A prescindere dalle specifiche questioni di fatto poste dal caso concreto (decisive in questa materia, ma solo superficialmente conosciute da chi scrive), all’Autorità va l’indubbio merito di aver affrontato il problema a norme invariate, valendosi delle fattispecie, elastiche, che il Codice del consumo le consegna.

Il dibattito internazionale sull’obsolescenza programmata tradisce un eccesso di specificità e in Francia ha portato, sin dal 2015, all’introduzione di una fattispecie di illecito autonoma, peraltro di natura penale (art. L. 441-2 del Code de la consommation).

Sulla scia di tale esperienza, a luglio 2018 alcuni parlamentari hanno presentato il DDL n. 615, recante “Modifiche al codice di cui al decreto legislativo 6 settembre 2005, n. 206, e altre disposizioni per il contrasto dell’obsolescenza programmata dei beni di consumo”, su cui il Presidente dell’Antitrust è stato audito il 30 luglio 2019. Il DDL si occupa specificamente del tema dell’obsolescenza programmata, proponendo di introdurre una fattispecie tipica di reato, con un doppio binario sanzionatorio (art. 9).

Accanto all’introduzione del divieto per i produttori di “mettere in atto tecniche che possano portare all’obsolescenza programmata dei beni di consumo” (art. 3), il DDL prevede il rafforzamento degli obblighi informativi gravanti sugli stessi, che sono tenuti a indicare in modo chiaramente visibile e leggibile la “durata presumibile del prodotto” (art. 5 DDL) sui prodotti o sulle confezioni dei prodotti destinati ai consumatori.

Se fosse l’interesse pubblico alla salvaguardia dell’ambiente ad assumere una portata preponderante, allora la fattispecie di reato dovrebbe, forse, avere confini più definiti, se non altro restringendone il perimetro oggettivo alle produzioni più inquinanti e con minori indici di riciclabilità.

Se l’obiettivo, in termini di interesse pubblico tutelato, fosse invece quello di proteggere in modo più incisivo i consumatori, specie in ambiente digitale, lo strumento sarebbe, a modesto avviso di chi scrive, inadeguato.

Il punto prescinde dalle possibili criticità penalistiche, colte dalla stessa Antitrust, sollevate dal DDL, quali in primo luogo l’incertezza sugli effettivi destinatari della norma penale (il dettato normativo si riferisce in termini alternativi al produttore “o” al distributore) e la necessità di tener conto del principio del ne bis in idem.

Ciò che preme evidenziare in questa sede è che la vicenda in esame dimostra la duttilità e la resilienza della disciplina, per principi, sulle pratiche commerciali scorrette, permeata dai criteri di imputazione soggettiva dell’illecito amministrativo e di commisurazione dell’ammenda di cui alla legge n. 689/1981.

La suggestione, forse semplicistica, prende le mosse da un problema reale.

Nel rapporto tra diritto e tecnica, quest’ultima si muove – soprattutto con l’avvento della quarta rivoluzione industriale – a un passo esponenzialmente più rapido.

Occorre resistere alla tentazione di inseguire la complessità tecnologica con norme monodimensionali, prive di ampio respiro e magari ricalcate, staticamente, su un episodio di cronaca. Più sono fluide e complesse le dinamiche del mercato, più la risposta ordinamentale dovrà venire dai principi generali.

Il legislatore deve rifuggire l’ipertrofia normativa, così come la scienza amministrativa deve prevenire le moltiplicazioni dei controlli, specie quando tra loro non coordinati e ultra vires.

In questo senso, con l’imminente lancio del 5G è lecito domandarsi quale possa essere la “durata presumibile del prodotto” a fronte di un’economia popolata da dispositivi interconnessi (Internet of Things), in cui il confine tra hardware e software tende a elidersi e la risposta del “prodotto” è il frutto di un complesso dialogo coinvolgente una pluralità di apparati e programmi.

Né appare ragionevole e proporzionato addossare, sempre e comunque, tutte le responsabilità per il malfunzionamento di un dispositivo in capo al venditore del dispositivo fisico, in ragione del più immediato rapporto di prossimità con il consumatore e della fisicità della compravendita, che ha per oggetto un bene tangibile.

Nel caso di specie, ad esito di un’articolata istruttoria, l’AGCM ha individuato Apple e Samsung quali soggetti responsabili della violazione consumeristica. Non è però detto che, in un diverso scenario fattuale, la responsabilità non possa ricadere sul fornitore del sistema operativo, se diverso dal produttore, o su altro soggetto ancora.

La regolazione per principi, in una con una coerente prassi applicativa, armonizzata e coordinata nell’ambito delle reti amministrative europee (CPC, ECN, BEREC, ecc.), resta dunque la strada migliore per il giurista.

Piuttosto che modificare la disciplina sostanziale di riferimento, introducendo norme rapidamente deperibili, poiché tarate su un determinato schema contrattuale e assetto tecnologico (e, dunque, destinate a perdere di utilità non appena quei fattori siano superati dal mercato), la regolazione dovrebbe più opportunamente preoccuparsi del momento applicativo delle norme.

Gli interventi regolatori sono a più voci giudicati intempestivi ed inefficaci, se comparati alla straordinaria rapidità e al significativo dinamismo mostrati dai mercati digitali.

La lex mercatoria si esprime in un linguaggio differente dalla legge sovrana, si frappongono a un compiuto dialogo variabili tecnologiche cui le categorie giuridiche tradizionali fanno talvolta fatica a aderire perfettamente.

Non si tratta, però, di un vuoto di disciplina. Spesso, il problema è nel vocabolario, nella sintassi. E nelle competenze di chi applica le regole, nel know how tecnologico degli enforcer, negli strumenti e nelle risorse di cui essi dispongono.

Prendiamo il contenzioso in rilievo.

Secondo Apple, gli accertamenti compiuti dall’Autorità non sarebbero in grado di corroborare la tesi dell’obsolescenza programmata e, quindi, la responsabilità a carico di Apple. L’intera accusa ruoterebbe intorno a una questione tecnologica di notevole complessità, ma l’AGCM l’avrebbe affrontata senza il supporto di prove di carattere tecnico-scientifico, rinunciando a disporre le perizie del caso.

Questa dinamica, almeno in parte, sembra riconducibile alla consapevolezza dei propri mezzi da parte di Apple e, specularmente, alla volontà dell’Amministrazione di non entrare in un terreno in cui, allo stato, non vi sarebbe partita.

Nel caso di specie – esattamente come avvenuto nel caso europeo Google Shopping (AT.39740) – l’Autorità amministrativa è riuscita a inferire la condotta illecita dalla correlazione tra un cambiamento avvenuto a livello tecnologico (lì, l’implementazione di un nuovo algoritmo di ricerca; qui, il rilascio di un nuovo aggiornamento di sistema) e un fattore esterno, a quella modifica strettamente connesso (lì, la massiva deviazione di traffico, a seguito del lancio del nuovo algoritmo, dai siti di price comparison concorrenti a quelli di Google; qui, le disfunzioni subite dai device dei consumatori immediatamente dopo l’installazione dell’update e l’accresciuto numero di richieste di assistenza e di segnalazioni presentate dai consumatori).

Non sempre, però, la fenomenologia del mondo esterno consente di cogliere l’illecito sottostante con sufficiente precisione. Altre volte, questa operazione potrebbe richiedere anni di sforzi istruttori per dare i propri frutti.

Logico, allora, partire dall’organizzazione e dal modus operandi delle p.A., esplorando attività di vigilanza e di regolazione poggianti, almeno in parte, sulle medesime tecnologie sfruttate dai Big Tech. In parallelo, una politica di reclutamento e di addestramento del personale maggiormente tarata sulle sfide tecnologiche del presente può aiutare a colmare la distanza (Indagine conoscitiva congiunta AGCM-AGCom-Garante privacy sui Big Data, febbraio 2020, raccomandazione n. 4).

Per tutto il resto, salvo sconvolgimenti tettonici, ci sono i principi generali della materia.

App Immuni: una storia stran(ier)a e incompiuta

di Lara Trucco  

Sommario: 1. Premessa. – 2. La fase I: la App tra Unione europea e Governo italiano. – 3. La fase II: tra i due litiganti…Google ed Apple godono. – 4. La fase III: …tornando dalla App personale di tracing. – 5. …per andare alla piattaforma multinazionale di tracking. – 6. …passando dal server nazionale di testing ed identification. – 7. Una “costituente tecnologica” eurounitaria (ed italiana)?    

1. Premessa  

La vicenda della cd. “App Immuni” (nel prosieguo: App) offre uno spaccato di un certo interesse delle dinamiche in atto sul fronte delle strategie di contrasto al Covid-19 e delle relative criticità: questioni su cui ci si propone di portare in questa sede l’attenzione.

All’indomani dell’ufficializzazione dello stato di pandemia, infatti, l’opportunità di ricorrere all’impiego di sistemi di tracciamento per interrompere la diffusione dei contagi secondari è entrato, com’è noto, a pieno titolo nel dibattito scientifico ed altresì mediatico, portando il nostro Stato, alla pari di altri, ad impegnarsi nella loro adozione.

Le strade seguite sono state varie, essendosi passati da soluzioni tecnologiche più blande e meno efficaci; ad altre, invece, maggiormente intrusive rispetto ai dati personali “sensibili” e “supersensibili”, i quali, anche per tale motivo, hanno suscitato maggiore attenzione, rischiando, tra l’altro, di mettere a repentaglio altri diritti fondamentali, o di esporre ad una stigmatizzazione individuale e sociale i soggetti che hanno subito il contagio. Di qui, il complesso tema del bilanciamento dei valori in campo, specie una volta constatatosi che ciò a cui ad oggi non hanno potuto altri fattori di crisi, è arrivato a poterlo la crisi pandemica (essendosi passati da una situazione in cui dallo smartphone si voleva sapere «what exactly your finger was clicking on», ad una in cui si vuole, inoltre, conoscere «the temperature of your finger and the blood-pressure under its skin»[1]).

Ma, più che in altre circostanze, ha generato sconcerto l’effetto sorpresa, che si auspica non debba più ripetersi nell’eventuale ripresentarsi di fenomeni simili. Ed anche per questo l’imperativo è quello di uno sforzo teso all’aggiornamento, grazie all’ausilio dello stesso progresso tecnologico, di strumenti di lavoro originatisi in altre epoche, in una prospettiva constitutional oriented, fermo restando l’acquis giuridico-culturale già maturato[2]. 

   

2. La fase I: la App tra Unione europea e Governo italiano  

La delicatezza di una tale situazione è stata immediatamente colta in ambito eurounitario, da parte, in particolare, dell’European Data Protection Board (nel prosieguo: EDPB), che, nel quadro della sua attività di promozione della cooperazione tra le autorità di protezione dei dati dell’Unione, ha prontamente evidenziato la necessità di mettere in campo «tecniche moderne» per la lotta contro il Covid-19, «nell’interesse dell’umanità»[3]; ammonendo, nel contempo, sul necessario rispetto, anche in contesti emergenziali, di tutti i diritti della persona, non ultimi quelli legati alla sfera di riservatezza individuale, protetti, com’è noto, espressamente dalla stessa Carta dei diritti fondamentali dell’Unione (artt. 7, 8 e 52).

È stato, del resto, su tale base, nonché tenendosi presenti le altre specifiche ed attuative discipline europee sulla protezione dei dati personali (spec. GDPR[4] e direttiva e-privacy[5]), che sono stati dapprima enucleati e, dipoi, meglio specificati i principi fondamentali a cui gli Stati membri si sarebbero dovuti attenere: volontarietà, interoperabilità, copertura normativa, esplicitazione delle finalità, minimizzazione, trasparenza, protezione, pseudonimizzazione, sicurezza, temporaneità[6] (v. la tabella che segue).

 

I principi eurounitari in materia di applicazioni mobili per il contrasto al Covid-19
European Data Protection Board (19 marzo)	Commiss. UE Raccomandazione (8 aprile)	Commiss. UE Orientamenti e Toolbox Stati (16 aprile)	EDPB Lettera e Linee-guida (14 e 21 aprile)
1. Volontarietà	Volontarietà	Volontarietà Facoltatività No conseguenze negve	Volontarietà Facoltatività No conseguenze negve
2. Interoperabilità	Interoperabilità	Interoperabilità Coord. con autorità sanitarie Tittà autorità sanitarie nazli	Interoperabilità Coord. con autorità sanitarie Tittà autorità sanitarie nazli
3. Copertura normativa	“Legge”	“Legge” Necessarietà Proporzionalità Opportunità (efficacia)	“Legge” Necessarietà Proporzionalità Opportunità
4. Finalità	Finalità	Finalità	Finalità
5. Minimizzazione	Minimizzazione	Minimizzazione	Minimizzazione Necessità Proporzionalità
6. Trasparenza	Trasparenza Informazione	Trasparenza Informazione Accessibilità	Trasparenza Informazione Accessibilità Codice sorgente
7. Protezione	Protezione Controllo dell’interessato Riservatezza Tutela dei dati Accesso, rettifica, cancellazne No stigmatizzazione socle	Protezione Controllo dell’interessato Riservatezza Tutela dei dati Accesso, rettifica, cancellazne No stigmatizzazione socle	Protezione Controllo dell’interessato Riservatezza Tutela dei dati Accesso, rettifica, cancellazne No stigmatizzazione socle
8. Pseudonimizzazione	Pseudonimizzazione Aggregazione Anonimizzazione	Pseudonimizzazione Aggregazione Anonimizzazione Gestione separata dei dati	Pseudonimizzazione Aggregazione Anonimizzazione Gestione separata dei dati
9. Sicurezza	Sicurezza Autenticità Integrità	Sicurezza Autenticità Integrità	Sicurezza Autenticità Integrità Analisi d’impatto Privacy by design e by default
10. Temporaneità	Temporaneità Conservazione in loco Cancellazione Riesame periodico effvo	Temporaneità Conservazione in loco Cancellazione Riesame periodico effvo	Temporaneità Conservazione in loco Cancellazione Riesame periodico effvo Valutazione scientifica

 

Pertanto, quando, all’indomani della dichiarazione dello stato di emergenza[7], il nostro Paese si è inserito nel novero di quelli che andavano facendo ricorso ad una siffatta soluzione tecnologica, la “cornice normativa” era già stata ampiamente tracciata a livello sovranazionale, nella direzione della valorizzazione della tecnica di tracciamento. Di qui, pertanto, l’accantonamento, ad es., della tecnologia GPS, ultronea in quanto proiettata verso l’identificazione e geolocalizzazione degli utenti (tracking) a favore del bluetooth Low Energy con la sola rilevazione (tracing) dei contatti ravvicinati tra i dispositivi (v. infra, il §4).

Si deve, in particolare, all’allora Capo del Dipartimento della Protezione Civile il debutto, già con una delle proprie prime ordinanze, della progettazione dell’App, attribuendo, contestualmente, nel quadro della sua attività di coordinamento degli interventi nazionali per fronteggiare l’emergenza, la facoltà ai soggetti operanti nel Servizio nazionale di protezione civile “ed in via del tutto eccezionale” anche ad altri, di svolgere trattamenti di dati personali “particolari” concernenti lo stato di salute (art. 5 dell’ord. n. 3 del 2020)[8]. È stato poi il “Commissario Covid” nel frattempo nominato[9] ad affidare l’effettiva predisposizione dello strumento ad una società̀ operante nel settore, con la previsione della stipula di un “contratto di concessione gratuita della licenza d’uso sul software e di appalto di servizio gratuito” (art. 6, c. 5 dell’ord. n. 10 del 2020)[10].

   

3. La fase II: tra i due litiganti…Google ed Apple godono  

All’inizio della cd. “fase II”, il nostro Paese ha potuto dunque essere ricompreso tra quelli che hanno optato per una applicazione mobile intesa al contrasto alla pandemia a basso tasso di intrusività[11]; sebbene, per vero, ancora poco di ufficiale si sapesse su come sarebbe funzionato il “Sistema Immuni” più ampiamente considerato (la stessa stipula del contratto di progettazione rimaneva in standby, in attesa di “indicazioni” più chiare[12]). Volendo azzardare un paragone, si potrebbe dire che, in quel momento, dell’autovettura era noto l’impianto elettrico e la scocca, ma non ancora la carrozzeria ed il motore, né tanto meno il sistema di sicurezza. Sicché il parere espresso dal Garante dei dati personali[13] sulla proposta normativa predisposta all’uopo (contenute all’art. 6 del d.l n. 28 del 2020[14]) non ha potuto che in via interlocutoria essere positivo, consistendo i relativi rilievi in una serie di “raccomandazioni” sul “da farsi” circa, proprio, le specifiche tecniche che si fosse inteso adottare.

La situazione si è sbloccata all’indomani della decisione, da parte del nostro e di altri governi dell’UE, di abbandonare l’idea della predisposizione di una App (pan)europea “governata” dai singoli Stati (ed in prospettiva dall’UE) e, quindi, di tipo “centralizzato” (di tipo PEPP-PT), a favore dell’infrastruttura tecnologica di marca americana nel frattempo sviluppata e resa disponibile di concerto da Apple e Google (piattaforma A/G)[15], che vedeva e vede, invece, repository e data retention gestiti dagli stessi smartphone, secondo una soluzione considerata “decentralizzata” (DP-3T e soluzione A/G). Per cui la nuova architettura informatica ha determinato una differente modalità di trasmissione e conservazione dei dati degli utenti, dato che mentre con la soluzione centralizzata essi sarebbero stati gestiti, appunto, dal server centrale (nazionale), invece nella nuova struttura decentralizzata i medesimi vengono amministrati in via normale (ma cfr. infra, i §§ che seguono) in locale sullo smartphone (v. lo schema che segue).

L’impianto del Sistema Immuni conta, pertanto, ad oggi tre componenti fondamentali: la App installata sugli smartphone, il server nazionale ubicato presso il Ministero e la piattaforma situata, invece, oltre Atlantico, le quali, come vedremo, intervengono nel corso delle due delicate fasi in cui si svolge la procedura: quella “ante alert” (v. il §4) e quella “post alert” (v. il §6) di rischio contagio.

La novità non è stata scevra di problematicità sul piano normativo, perché sebbene dal legislatore fosse stata prospettata la possibilità di conservare i dati relativi ai contatti stretti “anche” nei dispositivi mobili degli utenti (art. 6, lett. e), d.l. n. 28 del 2020, cit.), la stessa normativa sembrerebbe presupporre un impianto centralizzato, là dove prevede che la piattaforma informatica per la gestione del sistema di allerta debba essere “unica” e “nazionale” (art. 6, c. 1, d.l. n. 28 del 2020, cit.), nonché realizzata dal Commissario “esclusivamente con infrastrutture localizzate sul territorio nazionale” (art. 6, c. 5, d.l. n. 28 del 2020, cit.). Senza dire poi che la stessa società chiamata a sviluppare la App è stata selezionata proprio in ragione della appurata idoneità a garantire la predisposizione di uno strumento conforme “al modello europeo delineato dal Consorzio PEPP-PT”[16].

Che, poi, la questione abbia una portata che oltrepassa i confini nazionali, è dato di vedere nella pervicace volontà di alcuni Stati europei (spec. Francia[17]) di continuare a puntare sul “modello centralizzato” al fine di preservare la propria “sovranità tecnologica”[18], finendosi, peraltro, con ciò, non senza un qualche paradosso, per intralciare l’interoperabilità dei sistemi operativi nella stessa aerea europea[19]. Per altro verso, mentre i due colossi americani vanno affermando la propria tecnologia in Europa, il versante asiatico sembra procedere per proprio conto sostanzialmente incurante dell’interesse comune allo sradicamento dell’epidemia[20].

   

4. La fase III: …tornando dalla App personale di tracing  

È opportuno ora soffermarsi su una delle principali ragioni che avrebbero motivato la scelta di deviare rispetto allo schema di governance iniziale: e cioè la ritenuta migliore idoneità di una siffatta soluzione proprio a «tutelare con maggiore forza la privacy»[21]. Sebbene, una tale considerazione sia stata motivata dall’impossibilità che vi sarebbe stata di allestire “in house” una struttura tecnologica altrettanto affidabile in tempi così ravvicinati[22], nondimeno, della stessa meritano in ogni caso di essere esaminati gli esiti, nella non abbandonata ipotesi dell’adozione, nel prossimo futuro, di una soluzione a tutti gli effetti “europea”.

Ora, del tasso di intrusività della tecnologia bluetooth e, di conseguenza, della App isolatamente considerata si è detto (v. supra, il §2), restando, invece, da indagarne l’impiego nel quadro del Sistema Immuni ampiamente riguardato, alla luce, in particolare, delle specifiche tecniche (spec. dell’Application Programming Interface-API) intervenute strada facendo[23].

Nella cd. “fase II” si è appreso, dunque, che la riservatezza individuale dovrebbe essere garantita, in primis, “by design” oltre che dall’impossibilità di accedere ai dati personali contenuti nello smartphone dalla previsione dell’invio di un pacchetto di informazioni personali collegato ad un doppio scambio di codici parimenti pseudonimizzati. Ciò con l’obbiettivo di impedire la ricombinazione degli identificativi pseudonimizzati con le chiavi di co-decodifica necessari al tracing[24] e, più in generale, con tutte quelle “informazioni aggiuntive” (spec. di tipo biometrico, oltre che anagrafiche[25]), meglio idonee al tracking, in quanto in grado di risalire all’identità degli utenti[26].

Quanto, dunque, alla prima parte del processo tecnologico di contact tracing (v., infra, al § 6, la seconda parte), il contatto con gli altri smartphone, col relativo scambio dei dati e metadati[27] cifrati (che vengono poi memorizzati dagli stessi smartphone) avvengono attraverso identificativi casuali, pseudonimizzati ed altamente dinamici (i Rolling Proximity Identifier-RPI) avvicendantisi di frequente[28]; i RPI, a loro volta, vengono prodotti a partire da chiavi “secondarie” parimenti pseudonimizzate e casuali (i Rolling Proximity Identifier Key-RPIK), prodotte contestualmente da chiavi “primarie”(le Temporary Exposure Key-TEK) che sono di più lunga durata rispetto ai RPI[29]…il tutto da parte di algoritmi crittografici elaborati dal backend del sistema.

In questo quadro, a mettere particolarmente a rischio il suddetto “disaccoppiamento” dei dati di tracing da quelli concernenti l’identità degli utenti è la cd. “reidentificazione inferenziale” (spec. dei soggetti risultati positivi) da parte di quegli “App users” (o, più in generale, di quei soggetti) che, essendo in possesso di “informazioni aggiuntive” di vario tipo, possono ricostruire a ritroso la propria “catena” di contatti sino ad arrivare ad individuare la persona all’origine del contagio. Di qui il monito del Garante «di evitare le occasioni» in cui i suddetti identificativi di prossimità e pseudonimi di breve periodo inviati in broadcast, «possano essere rilevati da terzi[30]», ed associati ad altre informazioni identificative dell’utenza, a maggior ragione se risultate positive al test[31]. Se quanto appena considerato (a tacere di più generiche forme di hackeraggio) fa ritenere «improbabili, ma non impossibili»[32] attacchi di de-anonimizzazione che, per l’appunto, consentono di identificare l’utente associato a un insieme di pseudonimi, ad aggravare ulteriormente la situazione potrebbe essere l’elevato grado di vulnerabilità della stessa tecnologia bluetooth che, pur costituendo la base del sistema (v., supra, il §2) non costituirebbe «un protocollo particolarmente robusto[33]». Anche se poi, a ben vedere, l’insidia di maggior momento dell’architettura decentralizzata, potrebbe essere data dall’alto tasso di esposizione al rischio di furto e smarrimento dei device[34], data la moltiplicazione delle occasioni di leakage indotta delle stesse informazioni personali.

Per contro, è doveroso osservare come di analoghe fragilità non vadano esenti nemmeno i sistemi centralizzati, dovendo mettersi, sul piatto della bilancia, altresì, la constatazione della miniera di dati che in “un sol colpo” potrebbero esservi carpiti a seguito di un data breach ben mirato nell’ambito di un’architettura “unificata”[35]. Di qui la convenienza, sul piano metodologico, di limitare le verifiche al caso concreto in rapporto al tipo di dato ed all’infrastruttura tecnologica su cui si deve fare affidamento.

 

 

5. …per andare alla piattaforma multinazionale di tracking  

Va considerata ora la grande quantità di informazioni personali di cui entrano in possesso i gestori del Sistema Immuni, concernenti la vita reale come la second life digitale dei propri utenti, data la possibilità, loro riconosciuta in via legislativa, di raccogliere dati ulteriori (spec. i cd. analytics), per il tramite degli stessi device, per fini di sanità pubblica e di miglioramento del sistema di allerta (art. 6, c. 1, d.l. n. 28 del 2020, cit.); per non dire della disponibilità di altre informazioni altamente identificative degli utenti (mac address del bluetooth, gli IP address ed i codici IMEI degli smartphone, solo per citarne alcuni)[36].

Il quesito allora s’impone se sia adeguato e sufficiente un atto di fiducia[37] nei confronti di soluzioni, per di più, estranee alla giurisdizione europea, per escludere che attraverso l’impiego di appositi algoritmi combinatamente ad altre tecniche (come il machine learning), sugli stessi analytics[38] e più ampiamente ancora sui big data[39] attinti, in primis, dagli stessi smartphone, si renda possibile non solo risalire all’identità degli utenti, ma financo dei medesimi profilare la persona e personalità, condizionandone, altresì, il comportamento[40].

Alla domanda, infatti, non potrebbe non rispondersi riproponendo il problema della “controllabilità dei controllori”, data la difficoltà di vigilare sul fatto che in particolare i gestori extraeuropei non utilizzino indebitamente le informazioni a propria disposizione, specie le chiavi di decriptazione dei dati personali pseudonimizzati che transitano e vengono stivati nell’ambito del sistema Immuni (v. supra, i §§3 e 4).

Si comprende, tra l’altro, lo scrupolo del Garante nel prevenire ogni forma di riassociazione degli stessi analytics «a interessati identificabili», assicurando, nel contempo, «l’adozione di adeguate misure di sicurezza e tecniche di anonimizzazione», nel rispetto dei principi di privacy by design e by default (di cui all’art. 25 del GDPR)[41]. Ma, soprattutto, non andrebbero in questa stessa prospettiva trascurati gli input provenienti (anche) dalla stessa Unione europea, circa l’importanza (tramontata definitivamente l’idea di poter “be alone” ed ancora in attesa dei necessari anticorpi tecnologici) di “be informed”, dotandocisi di un adeguato apparato competenziale e culturale, onde scongiurare il diffondersi di un altrimenti possibile analfabetismo tecnologico “di ritorno”. Per cui è, per l’appunto, nell’ottica della trasparenza e conoscibilità (oltre che nella prospettiva di uno sviluppo tecnologico condiviso), che, a chi domina il sistema, si chiede di rendere disponibili in forma gratuita e con licenze open source i codici sorgente dei programmi informatici, nonché il rilascio di precise informative dei meccanismi di funzionamento delle medesime tecnologie e dei diritti dei soggetti interessati dai relativi trattamenti di dati (secondo, del resto, la filosofia propria delle norme europee in materia)[42].

È, del resto, su simili premesse che, tornando a quanto si diceva riguardo al sistema Immuni, ad Apple e Google si è reclamato di meglio chiarire, in particolare, le caratteristiche degli algoritmi di calcolo utilizzati (spec. per la valutazione del rischio di esposizione al contagio), la portata dei bug di sistema presenti (spec. quanto alla generazione di “falsi positivi” e “falsi negativi”), nonché le autorizzazioni di accesso al sistema (spec. quanto ai possibili interventi degli amministratori dei sistemi operativi, sulla rete e sulle stesse basi dati)….precisandosi, altresì, i rispettivi ruoli, «in ossequio ai principi di trasparenza e responsabilizzazione»[43].

   

6. …passando dal server nazionale di testing ed identification  

Tornando al versante infrastrutturale, va portata attenzione all’ulteriore crocevia di informazioni che, specie in prospettiva, potrebbe essere il “server” (rectius: la “piattaforma”, nelle intenzioni del legislatore) del Ministero della Salute, in capo al quale è stata posta la titolarità del trattamento dei dati nel quadro del Sistema Immuni (art. 6, c. 1, d.l. n. 28 del 2020, cit.).

È, infatti, lo stesso dato normativo a prevedere la “complementarietà” delle “modalità operative del sistema di allerta tramite la piattaforma informatica” alle ordinarie modalità in uso nell’ambito del Servizio sanitario nazionale (art. 6, c. 1, d.l. n. 28 del 2020, cit.); acconsentendo, altresì, a che i dati raccolti attraverso l’applicazione possano essere utilizzati “in forma aggregata o comunque anonima”, per fini di “sanità pubblica, profilassi, statistici o di ricerca scientifica” (art. 6, c. 3, d.l. n. 28 del 2020, cit.). A ciò vanno sommate, poi, le informazioni “aggiuntive” che potranno rendersi disponibili dall’innesto di patch, interconnesse, peraltro, con la sopra esaminata piattaforma straniera A/G (così da avere messo in agenda l’implementazione dei “diari clinici” degli utenti, mentre già si parla dell’implementazioni di “passaporti sanitari digitali” e delle “cartelle cliniche” dei pazienti)[44].

Tanto più che a conferire al Ministero un ruolo sul piano puramente giuridico, al momento comparabile a quello che il binomio A/G ha su quello tecnologico, è il fatto che, già oggi, si tratta del (solo) soggetto a cui è legittimamente consentito di conoscere l’identità delle persone risultate positive al Covid-19.

Gli operatori sanitari del SSN sono, infatti, ad oggi, i soli ai quali, a quanto ci consta, risulta possibile rivolgersi ed a cui, in questi casi[45], è necessario fornire le proprie anagrafiche, appartenendo ad essi il delicato compito di “attestazione”, a partire da quel momento, della correttezza della procedura[46]. Dal che, sebbene viga l’obbligo di segretezza, la evidenziata «potenziale collusione» tra l’entità che rileva la positività del paziente e il sistema di gestione dei server che gestiscono il proximity tracing[47].

Venendo dunque alla seconda parte del processo tecnologico (v., supra, al §4 la prima), il Sistema Immuni è programmato in modo tale da aversi una connessione periodica in automatico degli smartphone ad un Diagnosis Server gestito dallo stesso Ministero della Salute (v. infra) con lo scambio tra gli smartphone degli identificativi giornalieri TEK di cui si è detto, associati ai casi risultati positivi e la verifica della loro eventuale “corrispondenza” con la lista dei RPI memorizzati dagli stessi smartphone nel periodo di riferimento (v. supra, il §4). A questo punto, in caso di esito positivo, è il software A/G a fare, per così dire “da collante” tra le varie componenti del sistema consentendo il percorrimento “a ritroso” delle tappe compiute nella prima parte del processo (derivazione dalle TEK delle RPIK e da esse, quindi, gli identificativi temporanei RPI), al fine di risalire al device di riferimento a cui inviare l’alert di contagio. A questo punto le persone destinatarie dei relativi alert possono a loro volta decidere di sottoporsi ai controlli sanitari al fine di verificare il proprio stato di salute, rivolgendosi quindi, in caso di esito positivo, agli operatori sanitari, secondo un processo circolare che per noi, a questo punto, si chiude[48].

Come si vede, il meccanismo ed il flusso di informazioni che vengono messe in moto dal sistema necessitano di un’infrastruttura tecnologica solida ed di un’organizzazione amministrativa strutturata, trattandosi delle condizioni basilari per il conseguimento degli obbiettivi di efficacia e GDPR compliance. Sembra però lecito nutrire qualche dubbio al riguardo, data la disorganicità che, al momento, affligge l’impianto chiamato a tenere la regìa delle cose in ambito interno. In particolare, al momento non risultano del tutto perspicue le specifiche sulla base delle quali il Ministero dell’economia e delle finanze, insieme ad un’azienda operante nel settore dell’ICT (in house), in qualità di responsabili del trattamento, procedono, a supporto dello stesso Ministero della Salute[49], all’erogazione del servizio di interazione con gli operatori sanitari[50]. Inoltre, al momento, non paiono nemmeno chiare le specifiche tecniche e giuridiche in cui agiscono gli ulteriori fornitori di servizi sul territorio che (una volta accantonata l’idea di far convergere direttamente il flusso di dati sul server “centrale”) in qualità di “subresponsabili” dei trattamenti di dati, sono chiamati a mettere a disposizione la propria rete di distribuzione dei contenuti in varie parti del territorio nazionale (il Content Delivery Network)[51] quali “nodi di prossimità” tra il centro (il Ministero della Salute) e la periferia (gli smartphone)[52].

   

7. Una “costituente tecnologica” eurounitaria (ed italiana)?  

Difficile tentare ora conclusioni anche sommarie data la fluidità della situazione, ma dalla vicenda Immuni sembra comunque confermata la stretta interrelazione tra governance politica ed infrastruttura tecnologica, non senza ricadute sulla tutela di diritti fondamentali (legati, in partic., alla sfera della privacy).

Il ritardo, inoltre, dell’Unione europea e degli Stati membri rischia di farsi irrimediabile se non si procede celermente alla messa a punto anche di un’“Unione digitale”[53] e all’approntamento di una piattaforma comune (“paneuropea”), solida e capillarmente diffusa tra i vari Stati membri, su cui addensare le informazioni di carattere personale[54]. Una tale cessione di “sovranità digitale” da parte degli Stati membri, mentre, dunque, nell’immediato, potrebbe verosimilmente contribuire a colmare lo scarto tra la debolezza infrastrutturale ed invece la “forza” del dato normativo eurounitario in materia, nel più lungo periodo, potrebbe fare da contrappeso al solidificarsi di monopoli tecnologici su scala globale[55].

Dinnanzi alla situazione attuale, che vede sostanzialmente la vigenza di due modelli di governance tecnologica (anche) dei dati personali – uno “a gestione autoritaria”, in mano a poteri pubblici non democratici nel senso invalso nella tradizione costituzionalistica occidentale (v. Cina) ed un altro, invece, “a gestione indipendente”, rilasciata completamente nella disponibilità di soggetti privati (Stati Uniti) – l’auspicio sarebbe che un’Unione tecnologica europea coltivi la sua connaturata via di una “gestione democratica” dell’infrastruttura e dei trattamenti.

In questo scenario, guardandosi all’Italia, risulta, a maggior ragione, valida la speranza che proprio verso una “sana” gestione dell’infrastruttura tecnologica vengano subito indirizzate energie e risorse. Di fronte al contagio, infatti, il nostro Paese si è trovato nelle condizioni di doversi affidare a soluzioni “miste” non del tutto compiute, scommettendo su un sistema di allerta, dalla (inter)faccia apparentemente “soft”, nell’ambito di una base giuridica (non repressiva ma) puramente volontaria e solidaristica. Così tuttavia, non è senza un qualche paradosso che ci si trova esposti al rischio di vedere pregiudicati i principali valori in campo: privacy e salute individuale e collettiva[56], con una compromissione complessiva del livello delle tutele di diritti fondamentali[57].

   
       

[1] Così Y.N. Harari, The world after coronavirus, in www.ft.com del 20 marzo 2020.

[2] Con più specifico riguardo “alla rotta”, indicata dal Presidente della Corte costituzionale, nel pieno dell’emergenza, si rinvia all’intervista di L. Milella, Cartabia: “La Costituzione una bussola nell’emergenza. Non c’è diritto speciale per tempi eccezionali”, in www.repubblica.it del 28 aprile 2020.

[3] EDPB, Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19, del 19 marzo 2020, 1.

[4] Ci si riferisce, in partic., al Reg. UE del 27 aprile 2016, n. 679 (GDPR), “on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC” (spec. i consid. n. 35, n. 41, n. 46, n. 51, n. 53 e n. 54, nonché gli artt. 4, 6 e 9).

[5] Ci si riferisce, in partic., alla dir. 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, “relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche” (spec. gli artt. 6, 9 e 15).

[6] Commiss. EU, Racc. (UE) 2020/518 dell’8 aprile 2020 “relativa a un pacchetto di strumenti comuni dell’Unione per l’uso della tecnologia e dei dati al fine di contrastare la crisi Covid-19 e uscirne, in particolare per quanto riguarda le applicazioni mobili e l’uso di dati anonimizzati sulla mobilità” (C/2020/3300); EDPB, Lettera alla Commissione recante il “Progetto di Linee-Guida per app di contrasto alla pandemia COVID-19”, del 14 aprile; Commiss. EU, Comunic. “Orientamenti sulle app a sostegno della lotta alla pandemia di covid-19 relativamente alla protezione dei dati”, del 17 aprile 2020); e, quindi, nuovamente, EDPB, Linee guida “sull’utilizzo della geolocalizzazione e di altri strumenti di tracciamento nel contesto dell’emergenza legata al Covid-19”, del 21 aprile 2020.

[7] V. la Delibera del Consiglio dei ministri del 31 gennaio 2020, di “Dichiarazione dello stato di emergenza in conseguenza del rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili” CORSIVO?.

[8] V. l’ocdpc del 3 febbraio 2020, n. 630 recante i “Primi interventi urgenti di protezione civile in relazione all’emergenza relativa al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili” CORSIVO?, a cui, il giorno prima, il Garante per la protezione dei dati personali aveva dato “via libera” (v. il Parere n. 15 del 2 febbraio 2020).

[9] V. il dPCM del 18 marzo 2020 di “Nomina del dott. Domenico Arcuri a Commissario straordinario per l’attuazione e il coordinamento delle misure occorrenti per il contenimento e contrasto dell’emergenza epidemiologica COVID-19”.

[10] V. l’ord. del 16 aprile 2020, n. 10, del Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica covid-19, con cui si è disposto “di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a.”.

[11] Come puntualmente notato, all’epoca, da T. Frosini, Anonimato, privacy, niente obbligo: le salvaguardie ora ci sono, Il Dubbio del 5 maggio 2020.

[12] V.lo alla nota 16.

[13] V. Garante per la protezione dei dati personali, Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19 del 29 aprile 2020.

[14] Trattasi, per la precisione, dell’art. 6 recante “Misure per l’introduzione del sistema allerta Covid-19”, del d.l. del 30 aprile 2020, n. 28, recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19”. Si precisa che il testo della relativa legge di conversione è stato approvato al Senato (il 17 giugno 2020) epperò, al momento in cui si scrive, è ancora in corso di esame in commissione alla Camera dei deputati.

[15] Il Ministero dell’Innovazione avrebbe proceduto alla pubblicazione del codice backend della App relativo all’elaborazione ed alla trasmissione dei dati personali sulla piattaforma Github il 25 maggio 2020.

[16] Così da rendere in corso d’opera necessario “calibrare” le clausole del contratto che sarebbe stato stipulato il 16 maggio 2020 dal Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica Covid-19 con la Bending Spoons S.p.A. (v. spec. l’Allegato 2: “Attività di miglioria e personalizzazione dell’App”: “Modifica al sistema di caricamento dei dati dell’utente, sfruttando sistemi di sblocco diversi da quello attualmente previsto dal modello PEPP-PT”).

[17] Sul “modello misto” e “proprietario” che si sta predisponendo in Francia, cfr., ad es., V. Iovino, Contact tracing, la Francia si disallinea: ecco la sua “terza via”, del 1°giugno 2020; per un panorama più ampio della situazione cfr., invece, “agli esordi” ad es. R. Angius e L. Zorloni, Coronavirus e contact tracing, cosa fanno gli altri stati in Europa, del 18 aprile 2020; e M. Notarianni, Sette nazioni EU scelgono l’approccio Apple e Google per il tracciamento Covid-19, del 7 maggio 2020.

[18] Cfr., sia pur da un angolo visuale più specifico, G. Pitruzzella, O. Pollicino, Disinformation and hate speech. A European Constitutional Perspective, Milano, 2020.

[19] Cfr., sul punto, B. Calderini, App coronavirus, funzioneranno all’estero? Il dilemma interoperabilità, del 21 maggio 2020.

[20] Un tale scenario motiva, dunque, comprensibilmente, l’attenzione riservata alla vicenda dal Comitato parlamentare per la sicurezza della Repubblica (Copasir), segnatamente il rilievo che vi fossero rischi geopolitici non trascurabili, che avrebbero necessitato di vedere monitorato il fatto che nessuno potesse e possa accedere ai dati (cfr., ex multis, G. Postiglione, Se neanche lo Stato si fida di sé stesso, del 12 giugno 2020.

[21] V., in tal senso, già C. Rossi, App Immuni, consorzio Pepp-Pt e Bending Spoons: fatti, obiettivi, analisi e polemiche del 19 aprile 2020; ed in seguito, A. Longo, L’app Immuni cambia. Seguirà il modello decentralizzato di Apple e Google Una scelta ormai definitiva. E anche obbligata. per tutelare con maggiore forza la privacy e la sicurezza dei dati del 22 aprile 2020; e A. Cazzullo, Coronavirus, Colao: «Un’apertura a ondate per testare il sistema. L’app entro maggio oppure servirà a poco», del 29 aprile 2020.

[22] Così lo stesso Garante per la protezione dei dati personali, Provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 - App Immuni del 1° giugno 2020.

[23] Per la precisione, le API sono state rese disponibili nella seconda metà di maggio (cfr., al riguardo, ad es., L. Garofalo, Disponibili le API di Apple e Google Conte, del 21 maggio 2020). V., inoltre, supra, la nota 15.

[24] Segnatamente, di ricalcolare le chiavi RPIK a partire dalle RPI e/o le chiavi TEK a partire dalle RPIK.

[25] Sulla necessaria disponibilità, però, di almeno un dato biometrico relativo alla persona, per potersi procedere alla sua identificazione, sia consentito rinviare, al riguardo, a L. Trucco, Introduzione allo studio dell’identità individuale nell’ordinamento costituzionale italiano, Torino, 2004, 4 e ss.

[26] Ha fatto discutere, da questo punto di vista, l’assunta “combinabilità” dell’impiego della App con la funzione di geolocalizzazione dello smartphone ed i beacon che, a loro volta, sfruttano la tecnologia bluetooth per rilevare la presenza di device mobili a cui trasmettere informazioni e dati di varia natura (cfr., al riguardo, L. Garofalo, Immuni, sugli smartphone Android funzionerà solo se hai la geolocalizzazione attiva. E Google ti localizza?, del 26 maggio 2020).

[27] Così ad esempio i dati parametrici utilizzati per calcolare il “rischio contagio”.

[28] Segnatamente, i RPI cambiano ogni quindici minuti.

[29] Le chiavi TEK e RPIK, infatti, vengono generate giornalmente: sono, però, solo le TEK a venire memorizzate negli smartphone per due settimane, secondo quanto meglio si vedrà infra, al §6.

[30] V. Garante per la protezione dei dati personali, Valutazione d’impatto, “sulla protezione dei dati personali presentata dal Ministero della Salute relativa ai trattamenti effettuati nell’ambito del sistema di allerta Covid-19 denominato ‘Immuni’” (nota sugli aspetti tecnologici) del 3 giugno 2020.

[31] Si pensa, ad es., ai i cd. “paparazzi attack”, mirati proprio ad individuare le persone attraverso, per l’appunto, svariati incroci e combinazioni tra dati personali ed informazioni aggiuntive (domicilio, luoghi di lavoro e/o di svago e/o ubicazione in un dato momento, abitudini, carta di credito, dati personali “di viaggio” e l’elenco potrebbe continuare a lungo…).

[32] Così A. Armando e al., Le vulnerabilità del contact tracing che dobbiamo studiare, dell’11 giugno 2020 (di presentazione del white paper “su privacy e security delle app di proximity tracing”).

[33] Cfr., sui problemi derivanti dalla connettività bluetooth, nonché sui potenziali attacchi e financo sul certo grado di approssimazione che, più in generale, caratterizzerebbe una siffatta tecnologia A. Armando e al., Le vulnerabilità del contact tracing che dobbiamo studiare, cit.

[34] Ci riferiamo qui in termini più generali, ai dispositivi elettronici che potrebbero incorporare una tale tecnologia, non esclusi, in prospettiva, i cd. “braccialetti elettronici” (su cui v., F. Bailo, Il Covid-19 e le nuove frontiere tecnologiche: l’app Immuni e (il ritorno dei) braccialetti elettronici?, in questo Fascicolo).

[35] Il pensiero corre, in particolare, al data breach della piattaforma dell’INPS, su cui è intervenuto lo stesso Garante per la protezione dei dati personali, con una Comunicazione a tutela dei soggetti interessati coinvolti (v. il Provvedimento del 14 maggio 2020).

[36] È stata, peraltro, la stessa Corte di giustizia a chiarire la natura di veri e propri «dati personali protetti» degli indirizzi IP (anche “dinamici”), data la loro capacità di consentire «di identificare in modo preciso» spec. in contesti in cui la loro raccolta ed identificazione vengano effettuate da un fornitore di contenuti oltre che dal fornitore di accesso alla rete (Corte giust., sent. 24 novembre 2011, in C‑70/10, Scarlet Extended SA; ma si vedano poi anche, amplius, tra “i pilastri giurisprudenziali” in materia Id., sent. 8 aprile 2014, in C‑293/12 e C‑594/12, Digital Rights Ireland Ltd.; Id., sent. 13 maggio 2014, in C‑131/12, Google Spain SL; Id., sent. 6 ottobre 2015, in C‑362/14, Maximillian Schrems); Id., sent. 19 ottobre 2016, in C-582/14, Patrick Breyer c. Bundesrepublik Deutschland.

[37] Sia consentito rinviare, al riguardo, a L. Trucco, Identificazione e anonimato in rete, in El derecho a la intimidad, a cura di A.E. Perales, Valencia, Tirant Lo Blanch, 2018, 297 e ss.

[38] Il sistema prevede, infatti, la raccolta di ulteriori dati dai dispositivi degli utenti a fini di sanità pubblica ma anche, genericamente, di sviluppo del funzionamento del sistema di allerta Covid-19. Trattasi, nello specifico, di alcuni analytics (device token, epidemiological information, operational info) vettori di informazioni quali, ad es., la provincia di domicilio, la data in cui è avvenuto l’ultimo contatto a rischio, il grado di rischio di contagio, la ricezione di un messaggio di allerta, lo stato di attivazione del bluetooth, le varie autorizzazioni alla App nonché, più in generale, i dati personali connessi al sistema operativo (non escluso il clock) dello smartphone.

[39] Cfr., tra i primi a porre la questione, B. Calderini, Covid-19, tra diritto alla salute e tutela della privacy: la scelta che l’Italia deve fare, https://www.agendadigitale.eu/sicurezza/privacy/covid-19-il-difficile-equilibrio-tra-diritto-alla-salute-e-tutela-della-privacy/, del 24 marzo 2020.

[40] È quindi in questa prospettiva che va calato il monito del Garante, circa la necessità di rappresentare agli utenti «che tali informazioni non possono essere considerate dati anonimi», consentendo, in diversi contesti «concrete possibilità di reidentificazione degli interessati, soprattutto se associate ad altre informazioni ovvero in caso di morbilità non elevata o di ambiti territoriali con bassa densità di popolazione» (Garante per la protezione dei dati personali, Provvedimento del 1° giugno 2020, cit.).

[41] V. Garante per la protezione dei dati personali, Provvedimento del 1° giugno 2020, cit.

[42] Essendo, peraltro, tutto questo funzionale ad alimentare la linfa vitale di ogni sistema democratico rappresentato dalla pubblica opinione, e del relativo fondamentale ruolo di “watchdog” del potere, non dovendo sottovalutarsi il condizionamento che agli stessi colossi tecnologici può arrivare dalla opportunità, foss’anche per le mere ragioni di convenienza economica, dal mantenimento di un alto livello “reputazionale”, il quale si vedrebbe verosimilmente compromesso da comportamenti devianti dai binari del rispetto dei diritti delle persone.

[43] Ibidem.

[44] Cfr., amplius, l’audizione informale del Presidente del Garante per la protezione dei dati personali “sull’uso delle nuove tecnologie e della rete per contrastare l’emergenza epidemiologica da Coronavirus” dell’8 aprile 2020.

[45] Sul tema della responsabilità penale con riguardo al più generale impiego della App si rinvia a F. Bailo, Il Covid-19 e le nuove frontiere tecnologiche: l’app Immuni e (il ritorno dei) braccialetti elettronici?, cit.

[46] Ci si limita ad osservare qui che si stanno predisponendo dei meccanismi di device attestation al fine di appurare l’autenticità dei dispositivi da cui provengono i dati e nel contempo la veridicità dell’identità degli stessi operatori sanitari (per cui, in prospettiva, potrebbero circolarvi dei dati personali tanto “sensibili” quanto “strategici”).

[47] Cfr. al proposito, A. Armando e al., Le vulnerabilità del contact tracing che dobbiamo studiare, cit.

[48] Nello specifico, per dar corso alla procedura è necessario utilizzare la funzione di generazione del codice OTP (One Time Password) della App comunicandolo all’operatore sanitario ed attendendo che lo stesso autorizzi l’upload delle TEK da parte dell’utente. Sempre l’operatore sanitario, poi, tramite una funzione resa disponibile dal Sistema di Tessera Sanitaria (v., infra, la nota 48), inserisce nel Sistema Immuni il codice OTP e la data di inizio dei sintomi forniti dal paziente. A questo punto, l’utente è chiamato a completare (in pochi minuti) la procedura di caricamento delle TEK generate sul proprio dispositivo nelle ultime due settimane, così trasmettendole al Sistema, il quale a sua volta, previa verifica del suddetto OTP, le elabora, dando corso alla procedura.

[49] Cfr., con riguardo ad una tale collaborazione istituzionale, il Parere del Garante per la protezione dei dati personali “su uno schema di decreto relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria (Sistema TS) nell’ambito del Sistema di allerta Covid-19”, del 1° giugno 2020.

[50] A quanto è dato sapere, ad essi si sarebbe domandato di mettere a diposizione, rispettivamente, la tecnologia di cui si avvale oggi il Sistema Tessera Sanitaria (v. Sogei) ed il pagamento elettronico dei sevizi pubblici verso la Pubblica Amministrazione (v. PagoPa).

[51] A grandi linee può dirsi che la CDN è chiamata a predisporre una sorta di cache delle informazioni (tra cui le varie chiavi ed i codici identificativi) in modo, tra l’altro, da velocizzarne la distribuzione attraverso nodi più prossimi agli utenti. Fornitrice del servizio dovrebbe essere una di quelle aziende americane che sole, ad oggi, risultano in grado di offrire infrastrutture interoperabili con la piattaforma A/G.

[52] Senza poi dire dell’ulteriore frammentazione causata dalla proliferazione di App di tracciamento da parte di iniziative estemporanee (anche) da parte di varie Regioni…col risultato, tutto questo, tra l’altro, di una moltiplicazione dei rischi per i dati personali circolanti nel nostro Paese. Si pensa, in particolare, alla App predisposte a livello locale da parte di alcuni ordini dei medici, alla App COVID News-Italia di rilievo, almeno nelle intenzioni, nazionale, nonché, a livello territoriale, alle app TreCovid19 (Provincia autonoma di Trento), STOPcovid19 (Regione Umbria), SM_Covid19 (Regione Campania), nonché AllerLOM e App tracing (Regione Lombardia).

[53] Specie per chi condivida l’idea che, ormai, nell’epoca dei big data, l’identificazione delle persone ha teso a farsi regola, per cui il rischio è quello, allo stato, della perdita ineluttabile ed irrimediabile di masse di informazioni concernenti le persone

[54] Una piattaforma che potrebbe essere “dedicata” nel quadro dell’agenda di standardizzazione delle cartelle cliniche elettroniche o, invece, innestarsi, in un quadro più ampio, come potrebbe essere il potenziamento, all’uopo, del Sistema di informazione Schengen, risultato “nicchiante” nell’occasione.

[55] Sul «controverso» rapporto tra regole e rete «andandosi dall’idea di una vera e propria anomia ontologica per il ciberspazio alla ritenuta non idoneità delle regole ordinarie per questo stesso fenomeno» cfr., P. Costanzo, in Nodi virtuali, legami informali: Internet alla ricerca di regole, a cura di D. Poletti e P. Passaglia, Pisa, 2017, 18 e ss.

[56] Cfr., in partic., sul punto, l’intervista al Presidente del Garante per la protezione dei dati personali, su Radio Capital, del 13 maggio 2020; e, da ultimo, il più ampio quadro delle «libertà costituzionali» su cui (anche) la App ha inciso, descritto da A. Celotto in Necessitas non habet legem?, Modena, 2020, 37 e ss.

Al momento in cui si scrive (ancora in una fase di sperimentazione) si contano circa tre milioni di download della App Immuni e, cioè, indicativamente il 3%, a fronte del livello ritenuto ottimale, in termini di efficacia dello strumento, di almeno il 56% della popolazione, benché, va precisato, in un tale ammontare rilevino, soprattutto, le zone più a rischio ed a maggiore densità di popolazione, che dunque meriterebbero una specifica considerazione (cfr. agendadigitale.eu, del 19 giugno 2020).

[57] L’opzione, infatti, per l’impiego di uno strumento apparentemente non invasivo, mentre non sembra, come si è visto, scongiurare la possibilità di incroci identitari né tanto meno la cessione indebita di dati vettori di informazioni sensibili e supersensibili, potrebbe verosimilmente privare gli operatori sanitari ed in fondo tutti di una potenziale efficace (s’intende pur sempre, se ben governato) nel contrasto al virus (specie nel quadro della cd. metodica delle cd. “3t”: “test and treat and trace” e combinatamente al “distanziamento sociale”).

 L’affidamento in house dei servizi pubblici locali  (nota a Corte costituzionale 27 maggio 2020, n. 100)

Michele Trimarchi

 1. Da oltre dieci anni il legislatore italiano adotta disposizioni volte a contrastare l’abuso dell’affidamento diretto dei servizi pubblici a mezzo di società in house da parte delle amministrazioni nazionali e soprattutto locali.

Con questo obiettivo, l’art. 23-bis del decreto-legge 25 giugno 2008, n. 112, aveva espressamente configurato l’affidamento in house dei servizi pubblici locali come una modalità straordinaria di organizzazione e gestione degli stessi, ammissibile solo in presenza di “situazioni eccezionali che, a causa di peculiari caratteristiche economiche, sociali, ambientali e geomorfologiche del contesto territoriale di riferimento, non permettono un efficace ed utile ricorso al mercato”.

Più di recente, il legislatore ha puntato sull’onere di motivazione dell’affidamento in house come strumento di controllo e remora all’utilizzo indiscriminato dell’istituto (art. 34, comma 20, del decreto-legge 18 ottobre 2012, n. 179; l’art. 5, comma 1, del decreto legislativo 19 agosto 2016, n. 175).

 2. In questo solco si inscrive la disposizione censurata dal Tar Liguria davanti alla Corte costituzionale nella controversia decisa dal giudice delle leggi con la sentenza n. 100 del 2020: l’art. 192, comma 2, del decreto legislativo 18 aprile 2016, n. 50 (Codice dei contratti pubblici), in base al quale le stazioni appaltanti devono dar conto, nella motivazione del provvedimento di affidamento in house, delle ragioni del mancato ricorso al mercato.

Secondo il giudice rimettente (Tar Liguria), tale disposizione violerebbe l’art. 76 della Costituzione, in relazione ai criteri direttivi di cui all’art. 1, comma 1, lettere a) ed eee), della legge delega 28 gennaio 2016, n. 11.

L’art. 1, comma 1, lettera a), l. n. 11 del 2016, che pone il divieto di introduzione o di mantenimento di livelli di regolazione superiori a quelli minimi richiesti dalle direttive comunitarie (cosiddetto gold plating), sarebbe violato poiché l’onere di specifica motivazione delle ragioni del mancato ricorso al mercato non è previsto dalle direttive medesime.

Mentre l’art. 1, comma 1, lettera eee), della citata legge delega sarebbe violato poiché esso non comprende, tra gli oneri previsti per gli affidamenti diretti, accanto ad obblighi di pubblicità e trasparenza, quello di specifica motivazione delle ragioni del mancato ricorso al mercato.

 3. La questione di legittimità così riassunta è stata prospettata dal giudice rimettente sotto l’angolo visuale dell’eccesso di delega; ma, come la Corte costituzionale subito avverte, “ripropone […] il noto dibattito, particolarmente vivo nella giurisprudenza amministrativa, sulla natura generale o eccezionale dell’affidamento in house”.

Un dibattitto al quale la stessa Corte costituzionale non aveva mancato di fornire un contributo decisivo quando aveva riconosciuto che le condizioni poste dall’art. 23-bis del d.l. n. 112 del 2008 imprimevano una stretta nelle condizioni di ammissibilità dell’affidamento in house rispetto a quanto imposto dal diritto comunitario, ma aveva concluso che ciò non fosse illegittimo in quanto il diritto europeo assicura un livello minimo e inderogabile di promozione e tutela della concorrenza, che gli Stati ben possono implementare con misure di maggior favore per l’assetto concorrenziale del mercato (sentenza n. 325 del 2010; nello stesso senso, sentenza n. 46 del 2013).

La sentenza in commento, pertanto, è suscettibile di un doppio livello di lettura. Ad una prima considerazione, è una pronuncia relativa alla violazione del criterio di delega che prevede il divieto di gold plating. Ad un secondo, e più profondo, livello di lettura, costituisce una nuova presa di posizione da parte del giudice delle leggi sul rapporto tra l’affidamento diretto e quello indiretto e quindi sulle forme di organizzazione e gestione dei servizi pubblici locali.

 4.  Quanto alla presunta violazione del divieto di gold plating, la Corte costituzionale ricorda ch’esso concerne la “prassi delle autorità nazionali di regolamentare oltre i requisiti imposti dalla legislazione UE, in sede di recepimento o di attuazione in uno Stato membro” (Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni, dell’8 ottobre 2010).

La sua ratio è quella di “impedire l’introduzione, in via legislativa, di oneri amministrativi e tecnici, ulteriori rispetto a quelli previsti dalla normativa comunitaria, che riducano la concorrenza in danno delle imprese e dei cittadini”. Ciò considerato, giammai la violazione del divieto di gold plating può essere invocata in relazione a una disposizione, come quella censurata, che “si rivolge all’amministrazione e segue una direttrice proconcorrenziale, in quanto è volta ad allargare il ricorso al mercato”.

Già il Consiglio di Stato in sede consultiva, del resto, aveva perspicuamente osservato che il divieto di gold plating “va rettamente interpretato in una prospettiva di riduzione degli «oneri non necessari», e non anche in una prospettiva di abbassamento del livello di quelle garanzie che salvaguardano altri valori costituzionali, in relazione ai quali le esigenze di massima semplificazione e efficienza non possono che risultare recessive” (Adunanza della commissione speciale del Consiglio di Stato, parere n. 855 del 1° aprile 2016).

 5. Quanto alla presunta violazione dell’art. 1, comma 1, lettera eee), la Corte osserva che, in realtà, proprio il criterio di delega contenuto in questa disposizione, in quanto prevede oneri aggiuntivi per l’affidamento diretto (oneri in termini soprattutto di trasparenza),  è “segno di una specifica attenzione a questo istituto già da parte del legislatore delegante”; al contrario di quanto ritenuto dal rimettente, esso pertanto finisce per legittimare la scelta del legislatore delegato di imporre, per tali casi, un onere di motivazione del mancato ricorso al mercato.

D’altra parte, osserva la Corte, quando, come nel caso di specie, la delega “riguardi interi settori di disciplina o comunque organici complessi normativi”, occorre riconoscere al legislatore delegato un più ampio margine di discrezionalità, che gli consenta di tener conto del quadro normativo di riferimento. Relativamente all’affidamento in house, l’orientamento consolidato del legislatore italiano è, come si è già ricordato, nel senso di prevedere una serie di disincentivi all’utilizzo dell’istituto.

Anche per questa ragione, dunque, “la specificazione introdotta dal legislatore delegato è riconducibile all’esercizio dei normali margini di discrezionalità ad esso spettanti nell’attuazione del criterio di delega, ne rispetta la ratio ed è coerente con il quadro normativo di riferimento (tra le tante, sentenze n. 10 del 2018, n. 59 del 2016, n. 146 e n. 98 del 2015, e n. 119 del 2013)”.

 6.  La dottrina italiana era stata molto critica nei riguardi della giurisprudenza costituzionale (sentenze n. 325 del 2010; e n. 46 del 2013) che aveva respinto le questioni di legittimità sollevate contro la scelta del legislatore nazionale di subordinare l’in house providing a presupposti più stringenti di quelli previsti dal diritto europeo. È presumibile che analogo sfavore accoglierà la sentenza in commento.

La libertà di organizzazione e gestione del servizio, oggi consacrata dalla direttiva 2014/24/UE, è il vessillo agitato da molti contro ogni forma di sfavore manifestata dal legislatore nei riguardi dell’affidamento dei servizi pubblici alle società in house, fosse anche di carattere solo procedimentale.

La Corte di Giustizia in una recentissima ordinanza ha però chiarito che dal principio di libera autorganizzazione discende innanzitutto la “libertà degli Stati membri di scegliere il modo di prestazione di servizi mediante il quale le amministrazioni aggiudicatrici provvederanno alle proprie esigenze” e, conseguentemente, di “subordinare la conclusione di un’operazione interna all’impossibilità di indire una gara d’appalto e, in ogni caso, alla dimostrazione, da parte dell’amministrazione aggiudicatrice, dei vantaggi per la collettività specificamente connessi al ricorso all’operazione interna” (Corte di giustizia, nona sezione, ordinanza 6 febbraio 2020, in cause da C-89/19 a C-91/19, Rieco spa, resa su rinvio pregiudiziale del Consiglio di Stato, sezione quinta, con ordinanze 7 gennaio 2019, n. 138 e 14 gennaio 2019, n. 293 e n. 296; nello stesso senso, Corte di giustizia, quarta sezione, sentenza 3 ottobre 2019, in causa C-285/18, Irgita).

La sentenza della Corte costituzionale n. 100/2020 suscita apprezzamento anche per aver richiamato l’attenzione su questo precedente del diritto europeo.

Michele Trimarchi