GIUSTIZIA INSIEME
ISSN: 2974-9999
Registrazione: 5 maggio 2023 n. 68 presso il Tribunale di Roma
ISSN: 2974-9999
Registrazione: 5 maggio 2023 n. 68 presso il Tribunale di Roma
Emergenza coronavirus: le tutele nel settore del trasporto aereo.
di Alessandro Palmigiano
Sommario:1. Premessa. 2.La disciplina in materia di voucher prevista dal c.d. decreto “Cura Italia”. I contrasti con la normativa comunitaria. 3. Il rimedio interno per la risoluzione del conflitto.
1.Premessa
Dopo la dichiarazione del 11 marzo 2020, con cui l'Organizzazione mondiale della sanità ha definito il Covid-19 una pandemia, diverse sono state le conseguenze sugli spostamenti nazionali ed internazionali.
La pandemia di Covid-19, infatti, e le conseguenti restrizioni governative dovute alla crisi sanitaria in corso, ha determinato un ampio numero di cancellazioni delle prenotazioni nel settore dei trasporti, con gravissime ripercussioni sui vettori e sui tour operator. Alla stesso tempo gravi conseguenze si sono registrate a livello sociale, con un inevitabile calo della produzione interna e dei redditi medi delle popolazioni degli Stati.
E’ necessario, pertanto, affrontare la tematica mediante un bilanciamento necessario tra la tutela del diritto dei consumatori e la tutela degli interessi economici delle società operatrici nel settore.
Con l’approvazione dell’art. 88-bis del cosiddetto decreto Cura Italia (legge 17 marzo 2020 n.18 convertito con modifiche dalla legge n.27/2020), sono state adottate dal governo italiano specifiche disposizioni relative all’erogazione dei rimborsi e dei voucher in caso di cancellazione.
2.La disciplina in materia di voucher prevista dal c.d. decreto “Cura Italia”. I contrasti con la normativa comunitaria.
In primo luogo, occorre prendere le mosse dalla normativa d’emergenza di cui all’art 88-bis del cosiddetto decreto Cura Italia (legge 17 marzo 2020 n.18, convertito con modifiche dalla legge n.27/2020).
In merito, infatti, il punto 12 della predetta disposizione prevede che l’emissione unilaterale di un voucher da parte della Compagnia sia, in tutte le ipotesi di cancellazione previste dalla norma, integralmente sostitutivo del diritto di rimborso del passeggero: “ […] 12. L'emissione dei voucher previsti dal presente articolo assolve i correlativi obblighi di rimborso e non richiede alcuna forma di accettazione da parte del destinatario.” La norma, quindi, ha di fatto rimesso il rimborso del prezzo del biglietto acquistato da parte del passeggero, o l’alternativa emissione di un voucher, ad una scelta unilaterale e meramente discrezionale delle Compagnie, senza alcuna forma di accettazione da parte del consumatore. Successivamente all’emanazione del predetto provvedimento le Compagnie hanno – nella quasi totalità di casi – emesso esclusivamente voucher a seguito delle cancellazioni, rigettando qualsiasi richiesta di rimborso del prezzo inoltrata dai consumatori.
La disposizione normativa di cui all’art 88-bis del decreto Cura Italia sopra evidenziata presenta diversi profili di criticità, soprattutto in considerazione delle evidenti antinomie con le disposizioni comunitarie di settore.
L’art. 88-bis, infatti, si pone in manifesto contrasto con la vigente normativa europea di cui all’art. 8 del regolamento (CE) n. 261/2004, richiamato dall’art. 5 dello stesso, che, nel caso di cancellazione per circostanze inevitabili e straordinarie, prevede il diritto del consumatore ad ottenere un rimborso: “Quando è fatto riferimento al presente articolo, al passeggero è offerta la scelta tra:a) - il rimborso entro sette giorni, secondo quanto previsto nell'articolo 7, paragrafo 3, del prezzo pieno del biglietto, allo stesso prezzo al quale è stato acquistato, per la o le parti di viaggio non effettuate e per la o le parti di viaggio già effettuate se il volo in questione è divenuto inutile rispetto al programma di viaggio iniziale del passeggero, nonché, se del caso:- un volo di ritorno verso il punto di partenza iniziale, non appena possibile; o c) l'imbarco su un volo alternativo verso la destinazione finale, in condizioni di trasporto comparabili, ad una data successiva di suo gradimento, a seconda delle disponibilità di posti. […]”. Le disposizioni di cui al Regolamento (CE) n. 261/2004, quindi, prevedono una significativa forma di tutela in favore del consumatore, rimettendo a quest’ultimo (e non ai vettori) la scelta tra il rimborso del prezzo pieno del biglietto o, in alternativa, l’imbarco futuro su un volo alternativo garantito dalla Compagnia (quindi l’emissione di un voucher). Si tratta di un favor nei confronti del contraente debole del tutto contrastante con il citato art. 88-bis in cui, invece, il vettore può, in via del tutto discrezionale, negare unilateralmente il diritto di rimborso al passeggero, imponendo a quest’ultimo un voucher sostitutivo. La norma, occorre altresì precisare, si ritiene applicabile in forza dell’art. 3 del Regolamento sia nei voli intra UE sia in quelli extra UE, con partenza dal territorio di uno stato membro: “1. Il presente regolamento si applica: a) ai passeggeri in partenza da un aeroporto situato nel territorio di uno Stato membro soggetto alle disposizioni del trattato; […]”.
La disposizione europea è chiara e non sembra in alcun modo derogabile a causa della pandemia, come risulta confermato, peraltro, da due ulteriori significativi atti della Commissione Europea, emanati in questa direzione e che è necessario analizzare al fine di una comprensione complessiva della problematica, ovvero la Comunicazione della Commissione Europea relativi agli “Orientamenti interpretativi relativi ai regolamenti UE sui diritti dei passeggeri nel contesto dell'evolversi della situazione connessa al Covid-19” del 18 marzo 2020 e la Raccomandazione del 13 maggio 2020.
La Comunicazione della Commissione Europea del 18 marzo 2020 C(2020) veniva emanata poco dopo l’inizio della crisi sanitaria, al fine di: “[…] chiarire le modalità di applicazione di alcune disposizioni della legislazione UE sui diritti dei passeggeri nel contesto dell'epidemia di Covid-19, in particolare per quanto riguarda le cancellazioni e i ritardi.”.
Con la predetta Comunicazione, la Commissione chiariva sin da subito l’insindacabile facoltà di scelta in capo al consumatore tra rimborso e voucher, indipendentemente dalla causa, affermando che: “In caso di cancellazione di un volo da parte delle compagnie aeree (indipendentemente dalla causa), l'articolo 5 impone al vettore aereo operativo di offrire al passeggero la scelta tra: a) il rimborso, 4 b) l'imbarco su un volo alternativo non appena possibile, o c) l'imbarco su un volo alternativo ad una data successiva di suo gradimento.”.
Successivamente, con la Raccomandazione del 13 maggio 2020 C(2020) relativa ai “buoni offerti a passeggeri e viaggiatori come alternativa al rimborso per pacchetti turistici e servizi di trasporto annullati nel contesto della pandemia di Covid-19”, la Commissione non solo ribadiva la facoltà di scelta, ma ipotizzava anche una forma di aiuto statale al fine di garantire pienamente il diritto di rimborso dei passeggeri in caso di fallimento del vettore: “Infine, gli Stati membri possono decidere, a seguito del fallimento di un vettore o di un organizzatore, di soddisfare le richieste di rimborso presentate dai passeggeri o dai viaggiatori. La copertura delle richieste di rimborso andrebbe a esclusivo vantaggio dei passeggeri e dei viaggiatori e non delle imprese. Pertanto non costituirebbe un aiuto di Stato e può quindi essere attuata dagli Stati membri senza previa approvazione della Commissione.”.
Sulla scia della sopra citata Raccomandazione della Commissione, infine, si è altresì espressa l’Autorità Garante della Concorrenza e del Mercato la quale, con segnalazione del 28 maggio 2020, ha evidenziato che l’art. 88-bis si pone in contrasto con la vigente normativa europea, che nel caso di cancellazione per circostanze inevitabili e straordinarie, prevede il diritto del consumatore ad ottenere un rimborso, specificando a fronte del permanere del descritto conflitto tra normativa nazionale ed europea, interverrà per assicurare la corretta applicazione delle disposizioni di fonte comunitaria disapplicando la normativa nazionale con esse contrastanti.
3. Il rimedio interno per la risoluzione del conflitto.
In ordine al rapporto tra le fonti, il conflitto tra la norma interna di cui all’art 88-bis del cosiddetto decreto Cura Italia e le disposizioni comunitarie del regolamento (CE) n. 261/2004 può risolversi mediante la non applicazione della norma interna in favore di quella comunitaria.
Il diritto euro-unitario prevede - tra le sue fonti di produzione - il regolamento, di cui all’art. 288 Tfue; regolamento che - a dispetto del nomen iuris - presenta un rango super-primario, che risente dell’affermarsi del principio di primazia del diritto dell’Ue e che permette al regolamento di prevalere rispetto alle singole norme delle Costituzioni nazionali, salvi i contro-limiti. L’art. 288 TFUE stabilisce, infatti, che “Il regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri”.
Le disposizioni regolamentari, infatti, hanno portata generale e sono immediatamente efficaci nell’ambito di ciascuno degli stati membri senza che sia necessaria un’attività integrativa del singolo Stato.
Pertanto, il giudice nazionale è tenuto a disapplicare la norma di diritto interno confliggente con il regolamento. comunitario.
Del resto, già l’art. 4 n. 3 TUE sanciva a livello comunitario il c.d. principio di leale collaborazione tra gli stati, disponendo che: «gli Stati membri adottano ogni misura di carattere generale o particolare atta ad assicurare l'esecuzione degli obblighi derivanti dai trattati o conseguenti agli atti delle istituzioni dell'Unione». Tale principio, quindi, si sostanzia nel dovere di ciascuno stato membro di fare quanto in suo potere per dare effettiva attuazione al diritto dell’Unione. In tal senso, un ruolo fondamentale per assicurare l’effettiva applicazione del diritto dell'Unione all'interno dei singoli ordinamenti è affidato al giudice nazionale, chiamato a vigilare sull'osservanza del diritto dell’Unione nell'ordinamento giuridico nazionale (cfr. Corte giust. ordinanza 6 dicembre 1990, causa C-2/88, Imm., J.J. Zwartveld e altri).
La cessione di sovranità di ciascuno stato membro dell’Unione, determina in primo luogo la primazia del diritto comunitario sul diritto interno, sancito dalla stessa Corte di Giustizia nella nota pronuncia Costa contro Enel, nella quale si è chiaramente affermato che: « Il trasferimento, effettuato dagli stati a favore dell'ordinamento giuridico comunitario, dei diritti e degli obblighi corrispondenti alle disposizioni del trattato implica quindi una limitazione definitiva dei loro diritti sovrani, di fronte alla quale un atto unilaterale ulteriore, incompatibile col sistema della comunità, sarebbe del tutto privo di efficacia. l'art. 177 va quindi applicato, nonostante qualsiasi legge nazionale, tutte le volte che sorga una questione d'interpretazione del trattato» (cfr. Corte giust. 15 luglio 1964, causa 6/64, Costa c. E.N.E.L.).
La risoluzione di un’eventuale antinomia tra norma interna e norma comunitaria, quindi, viene risolta dalla stessa giurisprudenza con l’immediata applicazione della norma dell'Unione, nel caso in cui quest’ultima risulti chiara e precisa e incondizionata. Il giudice nazionale, pertanto, è tenuto in tali ipotesi ad applicare il diritto dell’Unione al fine di garantire il rispetto dei diritti che quest’ultimo attribuisce ai singoli cittadini degli stati membri (cfr. Corte giust. 9 marzo 1978, causa 106/77, Amministrazione delle finanze dello Stato c. SpA Simmenthal).
Non vi è dubbio, quindi, che la norma regolamentare sopra citata prevalga sulla norma interna incompatibile.
Fatte queste doverose premesse sui rapporti tra norma interna e norma comunitaria, occorre entrare nel merito della problematica relativa alla tutela dei consumatori nel settore dei trasporti aerei.
L’intervento normativo di cui all’art. 88-bis della legge di conversione del decreto “Cura Italia”, pur nel comprensibile tentativo di tutelare anche gli operatori del settore dei trasporti dalla crisi economica, si sostanzia in una disciplina evidentemente sbilanciata in favore di questi ultimi, lesiva degli interessi dei consumatori. L’emissione discrezionale di un voucher sostitutivo del diritto di rimborso, senza alcuna preventiva accettazione da parte del consumatore, determina inevitabilmente una restrizione dei diritti allo stesso garantiti da una chiara normativa sovranazionale, il regolamento (CE) n. 261/2004 che, invece, rimette a loro la facoltà di scelte tra voucher o rimborso del prezzo del biglietto. La ratio del legislatore comunitario, quindi, è chiaramente quella di tutelare il passeggero, parte debole del rapporto contrattuale. Si ritiene, pertanto, che il giudice nazionale, in forza dei granitici principi che sanciscono la primazia del diritto comunitario sul diritto interno in caso di contrasto sopra richiamati, ove chiamato a decidere su controversie relative alla tutela dei consumatori nel settore dei trasporti, possa procedere con l’applicazione delle norme di cui al regolamento (CE) n. 261/2004, garantendo il rispetto dei diritti da quest’ultimo riconosciuti nel settore dei trasporti.
Si tratta, in ogni caso, di un’analisi da condurre caso per caso, anche in relazione alle diverse modalità di conclusione del contratto, che potrebbero comportare deroghe alle regole generali.
Resilienza della regolazione per principi e rapida obsolescenza della normativa ipertrofica: brevi considerazioni sul caso Apple di Marco Cappai
Con due decisioni gemelle del 25 settembre 2018, l’Antitrust ha accertato due pratiche commerciali scorrette poste in essere da Apple e Samsung volte, nel loro complesso, a determinare un fenomeno di “obsolescenza programmata” (Provv. nn. 27365 e 27363, nei procedimenti PS11039 – APPLE-AGGIORNAMENTO SOFTWARE e PS11009 - SAMSUNG-AGGIORNAMENTO SOFTWARE). Le imprese hi-tech avrebbero in particolare reso i propri device (iPhone 6/6Plus/6s/6sPlus e Galaxy Note 4) meno performanti – e in alcuni casi finanche inutilizzabili – ad esito della forzosa installazione, a ridosso della scadenza del termine biennale di garanzia legale, di un aggiornamento del firmware (iOS 10 e 10.1.2 e Android Lollipop e Marshmallow), nel caso di Apple non successivamente disinstallabile (c.d. downgrade). Tanto, senza peraltro aver fornito agli utenti informazioni idonee a metterlo in guardia sui possibili effetti dell’installazione. Le condotte in questione si salderebbero con un’inadeguata gestione delle richieste di assistenza post-vendita avanzate dai medesimi clienti (specie se “fuori garanzia”), i quali, di fronte alla prospettazione di costi di riparazione significativi e alle difficoltà tecniche incontrate, sarebbero stati indotti ad acquistare nuovi device.
Per tali comportamenti, qualificati come pratiche commerciali sia aggressive che ingannevoli (artt. 20, 21, 22 e 24 del Codice del consumo - CdC), l’Autorità ha irrogato una sanzione pecuniaria pari al massimo edittale, per un importo di 5 milioni di euro per ciascuna compagnia.
Nel caso di Apple, l’Autorità ha altresì accertato un’ulteriore pratica, consistente nella mancata e insufficiente informazione circa alcune caratteristiche essenziali delle batterie a litio, qualificandola come fattispecie di omissioni ingannevoli ex art. 22 del CdC e sanzionandola con un’ammenda di pari importo.
Entrambe le compagnie sono state condannate alla sanzione accessoria della pubblicazione di una dichiarazione rettificativa ai sensi dell’art. 27, comma 8 CdC.
In attesa di definizione del giudizio incardinato da Samsung (R.g. n. 15363/2018), lo scorso 29 maggio il TAR Lazio ha definito il giudizio introdotto da Apple, pienamente confermando il provvedimento dell’Antitrust (Sez. I, sent. n. 5736).
La decisione offre l’occasione per riprendere un dibattito avviato con il coraggioso intervento dell’Autorità del 2018, calarlo nel corrente contesto ordinamentale e svolgere alcune considerazioni, sparse, di sistema.
Prima, un breve passo indietro sui fatti.
Come accennato, l’AGCM ha riscontrato che con l’installazione del sistema operativo iOS.10 e 10.1.2 i dispositivi hardware (iPhone 6/6Plus/6s/6sPlus) – pur tecnicamente compatibili con il nuovo sistema operativo – in svariati casi non si sono dimostrati in grado di supportare adeguatamente il nuovo firmware, non solo riguardo all’esecuzione delle nuove funzionalità, ma anche con riferimento all’esecuzione delle funzioni già svolte dal preesistente sistema operativo. In particolare, il primo aggiornamento ha cagionato molteplici spegnimenti improvvisi (unexpected power off – UPOs), dovuti all’incapacità della batteria di fornire il picco di potenza richiesto senza provocare una riduzione al di sotto dei livelli minimi della tensione necessaria per il funzionamento di alcuni componenti elettronici (§ 141, lett. a). Il secondo ha risolto il problema degli UPOs, ma comunque a svantaggio dell’utente, in quanto la via per conseguire tale risultato è stata una tendenziale riduzione delle caratteristiche di velocità e potenza di calcolo dei dispositivi (§ 142, lett. b).
Dette problematiche si sono verificate su un campione significativo di smartphone non nuovi, ma comunque regolarmente funzionanti e in buono stato di conservazione.
La normale usura, propria del fluire del tempo, di componenti elettroniche quali il processore e la batteria non sarebbe stata in altri termini tale, in mancanza dell’aggiornamento firmware, da pregiudicare il funzionamento del dispositivo (§ 123).
La strategia complessiva – osserva l’Antitrust – si connota di elementi di aggressività e di ingannevolezza.
Quanto al primo profilo, il consumatore subisce un indebito condizionamento dal fatto che, in occasione del lancio di un nuovo upgrade, il ventaglio di scelte è limitato alla possibilità di installare subito l’aggiornamento o di rimandare tale azione. Il processo deliberativo del consumatore è in qualche modo accompagnato da un sistema di avvisi e di notifiche di reminder insistente e reiterato (§ 152). Ciò non lascerebbe una reale scelta a coloro che valutassero non opportuno passare alla nuova versione del firmware, di fatto costretti a ripetere a oltranza un’azione di procrastinamento (§ 154). Al contempo, l’installazione, una volta completata, non era neanche reversibile, stante l’impossibilità per il consumatore di effettuare il downgrade (§ 146), circostanza confermata dalla stessa Apple (§ 101).
Quanto al secondo profilo, la condotta si salda a una serie di omissioni informative in merito ai possibili effetti nocivi dell’upgrade in danno degli utenti (§§ 133 ss.). Si tratta di mancanze aggravate dall’innegabile asimmetria informativa sussistente nel rapporto di consumo in questione (§§ 10, 130, 135, 151, 156, 161).
Nonostante sulla carta il nuovo sistema operativo, rilasciato gratuitamente, fosse oggettivamente più avanzato (anche per ragioni di sicurezza e per la prevenzione di bug), l’Autorità ha ritenuto non giustificabile l’unilaterale scelta del professionista tra miglioramento delle prestazioni di sistema e obsolescenza tecnologica del dispositivo fisico (§ 139).
Collante del disegno complessivo dell’azienda sarebbe anche il marcato livello di fidelizzazione della clientela (§ 176), indotta ad acquistare prodotti di Cupertino in virtù della più accentuata interoperabilità dei vari dispositivi e devices a marchio Apple e della natura “chiusa” del sistema operativo proprietario iOS, su cui gli stessi poggiano.
In tale contesto, l’AGCM ha osservato una coincidenza temporale tra il rilascio degli aggiornamenti contestati e il picco delle richieste di assistenza da parte dei possessori dei modelli interessati, non giustificabile – per la sua entità numerica e temporale – con l’usura degli apparecchi (§§ 128-129). A fronte di simili problematiche, riscontrate in prossimità o poco oltre il decorso del termine biennale di garanzia del prodotto, l’Autorità sottolinea come Apple abbia negato l’assistenza gratuita e subordinato la riparazione dei dispositivi a costi eccessivamente elevati rispetto al valore residuo del bene (§§ 144-145).
Conseguentemente, si è incentivato un processo di sostituzione con diversi modelli del medesimo produttore (§ 150).
La decisione del TAR Lazio affronta la complessità della tematica tecnologica sottostante con un approccio concettuale piuttosto snello.
Nel fare ampi richiami, specie in punto di fatto, al provvedimento dell’Antitrust, la pronuncia sembra poggiare su un unico, assorbente, argomento logico.
Essa, in particolare, definisce l’impugnativa di Apple come un ampio e articolato saggio di conoscenze e competenze tecniche, che però non coglie nel segno.
Sono infatti irrilevanti le variegate problematiche tecnologiche che sarebbero alla base dei disservizi e della supposta impossibilità di consentire il downgrade dell’aggiornamento. Ciò che rileva è la circostanza che tali fatti si siano verificati e che, in dipendenza degli stessi, siano pervenute richieste di assistenza e segnalazioni dei consumatori, non adeguatamente gestite da Apple.
Né le omissioni informative sono sanate dall’invito – inserito nell’avviso di aggiornamento del firmware – a visitare la pagina web per maggiori informazioni. In ossequio alla giurisprudenza sul c.d. “primo contatto”, il TAR ribadisce infatti che la completezza e la veridicità di un messaggio promozionale vanno verificate nell’ambito dello stesso contesto di comunicazione commerciale e non già sulla base di ulteriori informazioni che l’operatore commerciale rende disponibili solo in un secondo momento, a effetto promozionale (c.d. aggancio) già avvenuto.
In definitiva – conclude il TAR – “Apple ha costruito un sofisticato sistema, tecnologico e di marketing, che, attraverso informazioni omissive e pratiche aggressive […], condiziona fortemente il consumatore nelle proprie scelte, sotto diversi profili”, quali la “fidelizzazione forzata” degli utenti, “la periodica, frequente e insistente proposizione di aggiornamenti software che, di fatto, una volta scaricati, rallentano e riducono le funzionalità dei modelli di iPhone meno recenti, senza che il possessore ne sia informato o pienamente consapevole”, e “la sostituzione della componentistica […] soltanto presso un centro autorizzato Apple”.
In attesa del giudizio di appello (difficile immaginare che Apple intenda rinunciarvi), alcune brevi considerazioni possono esser svolte sulla vicenda, con l’agilità di chi non ambisce a offrire trattazioni esaustive.
Quello dell’obsolescenza programmata è in effetti un problema tangibile del nostro tempo e presenta molteplici spigolature.
I suoi effetti trascendono il rapporto di consumo e incidono su beni primari come la sostenibilità ambientale, dal momento che l’artificiosa accelerazione del fisiologico ciclo di vita dell’apparato moltiplica il numero di componenti, altamente inquinanti (in primis, le batterie), da smaltire, così menomando l’obiettivo strategico dell’“economia circolare” (Comunicazione della Commissione “Il Green Deal europeo” (COM(2019) 640 final), 11 dicembre 2019, p. 8).
L’angolo visuale, in questo caso, è quello del consumatore.
Da questa prospettiva, i procedimenti avviati contro Apple e Samsung stimolano una serie di riflessioni.
In primo luogo, lo scollamento temporale dei rispettivi giudizi (il secondo, come detto, in attesa di definizione) può deporre a favore di una trattazione maggiormente individuale degli stessi, fatto di per sé non negativo, atteso che la posizione di Samsung potrebbe non essere del tutto apparentabile a quella di Apple, anzitutto per ragioni di fatto.
Apple costituisce una piattaforma integrata di hardware, software e servizi. Trattasi di un soggetto verticalmente integrato, presente a tutti i livelli della filiera, dalla produzione del dispositivo hardware (e dei device interconnessi, come ad esempio i tablet, l’Apple watch e gli air pod), allo sviluppo del sistema operativo (iOS), alla gestione dell’app store, fino allo sviluppo di alcuni software e app (come iTunes e Apple Music). La situazione di Samsung è invece parzialmente diversa, perché nel mercato dei licensable operating systems (L-OSs) il sistema Android, implementato da Google, detiene una posizione dominante e costituisce, anche per un produttore forte come Samsung, un must have. Samsung, pertanto, pur essendo presente in tutti i restanti segmenti della filiera, lo è in modo meno incisivo (si pensi alla differenza di posizionamento competitivo tra l’Apple Store e il Galaxy Store) e, soprattutto, non opera al livello, cruciale, del sistema operativo.
Come evidenzia lo stesso provvedimento reso nei confronti di Samsung, gran parte degli aggiornamenti firmware che, nel caso in esame, hanno reso obsoleto il dispositivo Galaxy Note 4 “originavano da Google” (§ 93). L’argomento – riferito ad Apple – secondo cui “grava sul professionista non soltanto l’onere di individuare dei modelli astrattamente compatibili con un determinato aggiornamento firmware ma, soprattutto, valutare e ponderare l’impatto degli aggiornamenti rilasciati per i dispositivi già in uso, tenendo conto del possibile stato dell’hardware sul quale il medesimo potrà essere installato” (§ 130), non può dunque essere traslato tel quel su Samsung.
In qualche misura, l’Autorità sembra aver ricondotto la responsabilità di questo secondo operatore alla circostanza che esso, nell’ambito dei controlli preventivi che è solito svolgere, unitamente a Google, prima del lancio di un aggiornamento (§ 95), avrebbe potuto e dovuto compiere le “prove di resistenza” dell’hardware al nuovo sistema operativo.
In tale contesto, Samsung potrebbe pur sempre tentare di valorizzare il fatto che – come evidenziato dall’autorità antitrust olandese nell’indagine di mercato sugli App store – i produttori di smartphone soffrono un forte squilibrio contrattuale con Google, detentore del sistema operativo Android, che viene offerto a condizioni contrattuali “prendere o lasciare”, stanti anche le limitazioni tecniche incontrate dai produttori che intendano sviluppare una versione alternativa di Android (c.d. fork) (ACM, Market study into mobile app stores, Case no. ACM/18/032693, 11 aprile 2019, p. 70).
Per altro profilo, il produttore di dispositivi potrebbe venire a trovarsi tra l’incudine e il martello, perché rifiutare l’aggiornamento del firmware potrebbe, per un verso, salvaguardare la meccanica dell’hardware dei propri clienti, ma, per altro verso, renderne obsolete le funzionalità, nella misura in cui la vecchia versione del sistema operativo diventi incompatibile con le nuove generazioni di app, peraltro distribuite in via prevalente attraverso il Play Store di Google, i cui team di supporto tecnico ne indirizzano in qualche modo i parametri.
Va poi considerato che, a differenza di Apple, Samsung ha negato – o, comunque, ha provato a circostanziare – l’impossibilità per l’utente di effettuare il downgrading (§ 97) e, oltretutto, non può contare su una strategia di fidelizzazione della clientela altrettanto forte.
Si tratta di aspetti di fatto che sono già stati attentamente valutati dall’Antitrust e che saranno scrutinati nel contenzioso amministrativo.
Da un punto di vista giuridico, va precisato che ai fatti di causa non si applica, ratione temporis, la disciplina europea recentemente introdotta con il pacchetto “Digital Contracts” (direttive nn. 770 e 771/2020/UE).
Con il nuovo pacchetto, la garanzia legale di conformità – già prevista in Italia e che ora, superando l’approccio di armonizzazione minima della direttiva 1999/44/CE, dovrà essere obbligatoriamente recepita con determinate caratteristiche in tutti gli Stati membri (artt. 4-5 direttiva n. 2019/770/UE) – è stata estesa anche alle componenti digitali dei beni, quando la loro mancanza determinerebbe l’impossibilità di fruire del bene stesso o quando il venditore del bene si impegni contrattualmente a offrire anche un elemento digitale, come di regola avviene per i sistemi operativi degli smartphone (considerando nn. 21 e 22 direttiva n. 2019/770/UE e art. 3, § 3 direttiva n. 2019/771/UE). Quando, invece, il contenuto o servizio digitale è venduto autonomamente, si applica la direttiva sui contenuti e servizi digitali (n. 770/2020/UE), che pure prevede l’obbligo di garantire la conformità del bene o servizio al contratto. In entrambi i casi, rientra nel contenuto naturale della garanzia di conformità fornire gli aggiornamenti che sono stati convenuti nel contratto o che si rendono comunque necessari per la regolare fruizione del contenuto o servizio digitale prestato (considerando n. 44 direttiva n. 2019/770/UE). Apparentemente, l’elemento di maggiore innovatività della recente disciplina risiede nel fatto che aziende come Samsung, che vendono un dispositivo unitamente a un sistema operativo fornito da terzi, saranno chiamate a rispondere, in solido o in via esclusiva, per le azioni compiute da questi ultimi a danno dei consumatori, salvo l’eventuale regresso. Tuttavia, si tratta solo di un’applicazione dei principi generali della materia al mondo digitale, finora sprovvisto di tutele adeguate in vari ordinamenti. L’operazione è più semplice di quanto si pensi: a beneficio della certezza del diritto, si sancisce espressamente che i diritti contrattuali dei consumatori, salvi gli aggiustamenti del caso, valgono anche quando questi acquistano contenuti o servizi digitali.
In ogni caso, la disciplina in via di recepimento avrebbe toccato solo in via tangente i fatti controversi, che sono interamente riferibili a prodotti divenuti obsoleti dopo il periodo di copertura della garanzia legale (pari, in Italia, a due anni) o a ridosso della relativa scadenza.
Condivisibilmente, l’Autorità ha ritenuto che l’art. 132 CdC non può essere interpretato nel senso che, una volta decorso il periodo di copertura, il professionista può, con le proprie azioni, cagionare il deterioramento forzoso di un device ancora regolarmente funzionante.
Non a caso, la base legale dell’accertamento non è la frapposizione di ostacoli non contrattuali all’esercizio di un diritto del consumatore (art. 25, comma 1, lett. d CdC) – visto che, appunto, il diritto alla garanzia legale non viene qui in gioco – bensì la violazione delle regole, più generali, contro la scorrettezza, l’ingannevolezza e l’aggressività (artt. 20, 21, 22 e 24 CdC).
Da qui una prima conclusione.
A prescindere dalle specifiche questioni di fatto poste dal caso concreto (decisive in questa materia, ma solo superficialmente conosciute da chi scrive), all’Autorità va l’indubbio merito di aver affrontato il problema a norme invariate, valendosi delle fattispecie, elastiche, che il Codice del consumo le consegna.
Il dibattito internazionale sull’obsolescenza programmata tradisce un eccesso di specificità e in Francia ha portato, sin dal 2015, all’introduzione di una fattispecie di illecito autonoma, peraltro di natura penale (art. L. 441-2 del Code de la consommation).
Sulla scia di tale esperienza, a luglio 2018 alcuni parlamentari hanno presentato il DDL n. 615, recante “Modifiche al codice di cui al decreto legislativo 6 settembre 2005, n. 206, e altre disposizioni per il contrasto dell’obsolescenza programmata dei beni di consumo”, su cui il Presidente dell’Antitrust è stato audito il 30 luglio 2019. Il DDL si occupa specificamente del tema dell’obsolescenza programmata, proponendo di introdurre una fattispecie tipica di reato, con un doppio binario sanzionatorio (art. 9).
Accanto all’introduzione del divieto per i produttori di “mettere in atto tecniche che possano portare all’obsolescenza programmata dei beni di consumo” (art. 3), il DDL prevede il rafforzamento degli obblighi informativi gravanti sugli stessi, che sono tenuti a indicare in modo chiaramente visibile e leggibile la “durata presumibile del prodotto” (art. 5 DDL) sui prodotti o sulle confezioni dei prodotti destinati ai consumatori.
Se fosse l’interesse pubblico alla salvaguardia dell’ambiente ad assumere una portata preponderante, allora la fattispecie di reato dovrebbe, forse, avere confini più definiti, se non altro restringendone il perimetro oggettivo alle produzioni più inquinanti e con minori indici di riciclabilità.
Se l’obiettivo, in termini di interesse pubblico tutelato, fosse invece quello di proteggere in modo più incisivo i consumatori, specie in ambiente digitale, lo strumento sarebbe, a modesto avviso di chi scrive, inadeguato.
Il punto prescinde dalle possibili criticità penalistiche, colte dalla stessa Antitrust, sollevate dal DDL, quali in primo luogo l’incertezza sugli effettivi destinatari della norma penale (il dettato normativo si riferisce in termini alternativi al produttore “o” al distributore) e la necessità di tener conto del principio del ne bis in idem.
Ciò che preme evidenziare in questa sede è che la vicenda in esame dimostra la duttilità e la resilienza della disciplina, per principi, sulle pratiche commerciali scorrette, permeata dai criteri di imputazione soggettiva dell’illecito amministrativo e di commisurazione dell’ammenda di cui alla legge n. 689/1981.
La suggestione, forse semplicistica, prende le mosse da un problema reale.
Nel rapporto tra diritto e tecnica, quest’ultima si muove – soprattutto con l’avvento della quarta rivoluzione industriale – a un passo esponenzialmente più rapido.
Occorre resistere alla tentazione di inseguire la complessità tecnologica con norme monodimensionali, prive di ampio respiro e magari ricalcate, staticamente, su un episodio di cronaca. Più sono fluide e complesse le dinamiche del mercato, più la risposta ordinamentale dovrà venire dai principi generali.
Il legislatore deve rifuggire l’ipertrofia normativa, così come la scienza amministrativa deve prevenire le moltiplicazioni dei controlli, specie quando tra loro non coordinati e ultra vires.
In questo senso, con l’imminente lancio del 5G è lecito domandarsi quale possa essere la “durata presumibile del prodotto” a fronte di un’economia popolata da dispositivi interconnessi (Internet of Things), in cui il confine tra hardware e software tende a elidersi e la risposta del “prodotto” è il frutto di un complesso dialogo coinvolgente una pluralità di apparati e programmi.
Né appare ragionevole e proporzionato addossare, sempre e comunque, tutte le responsabilità per il malfunzionamento di un dispositivo in capo al venditore del dispositivo fisico, in ragione del più immediato rapporto di prossimità con il consumatore e della fisicità della compravendita, che ha per oggetto un bene tangibile.
Nel caso di specie, ad esito di un’articolata istruttoria, l’AGCM ha individuato Apple e Samsung quali soggetti responsabili della violazione consumeristica. Non è però detto che, in un diverso scenario fattuale, la responsabilità non possa ricadere sul fornitore del sistema operativo, se diverso dal produttore, o su altro soggetto ancora.
La regolazione per principi, in una con una coerente prassi applicativa, armonizzata e coordinata nell’ambito delle reti amministrative europee (CPC, ECN, BEREC, ecc.), resta dunque la strada migliore per il giurista.
Piuttosto che modificare la disciplina sostanziale di riferimento, introducendo norme rapidamente deperibili, poiché tarate su un determinato schema contrattuale e assetto tecnologico (e, dunque, destinate a perdere di utilità non appena quei fattori siano superati dal mercato), la regolazione dovrebbe più opportunamente preoccuparsi del momento applicativo delle norme.
Gli interventi regolatori sono a più voci giudicati intempestivi ed inefficaci, se comparati alla straordinaria rapidità e al significativo dinamismo mostrati dai mercati digitali.
La lex mercatoria si esprime in un linguaggio differente dalla legge sovrana, si frappongono a un compiuto dialogo variabili tecnologiche cui le categorie giuridiche tradizionali fanno talvolta fatica a aderire perfettamente.
Non si tratta, però, di un vuoto di disciplina. Spesso, il problema è nel vocabolario, nella sintassi. E nelle competenze di chi applica le regole, nel know how tecnologico degli enforcer, negli strumenti e nelle risorse di cui essi dispongono.
Prendiamo il contenzioso in rilievo.
Secondo Apple, gli accertamenti compiuti dall’Autorità non sarebbero in grado di corroborare la tesi dell’obsolescenza programmata e, quindi, la responsabilità a carico di Apple. L’intera accusa ruoterebbe intorno a una questione tecnologica di notevole complessità, ma l’AGCM l’avrebbe affrontata senza il supporto di prove di carattere tecnico-scientifico, rinunciando a disporre le perizie del caso.
Questa dinamica, almeno in parte, sembra riconducibile alla consapevolezza dei propri mezzi da parte di Apple e, specularmente, alla volontà dell’Amministrazione di non entrare in un terreno in cui, allo stato, non vi sarebbe partita.
Nel caso di specie – esattamente come avvenuto nel caso europeo Google Shopping (AT.39740) – l’Autorità amministrativa è riuscita a inferire la condotta illecita dalla correlazione tra un cambiamento avvenuto a livello tecnologico (lì, l’implementazione di un nuovo algoritmo di ricerca; qui, il rilascio di un nuovo aggiornamento di sistema) e un fattore esterno, a quella modifica strettamente connesso (lì, la massiva deviazione di traffico, a seguito del lancio del nuovo algoritmo, dai siti di price comparison concorrenti a quelli di Google; qui, le disfunzioni subite dai device dei consumatori immediatamente dopo l’installazione dell’update e l’accresciuto numero di richieste di assistenza e di segnalazioni presentate dai consumatori).
Non sempre, però, la fenomenologia del mondo esterno consente di cogliere l’illecito sottostante con sufficiente precisione. Altre volte, questa operazione potrebbe richiedere anni di sforzi istruttori per dare i propri frutti.
Logico, allora, partire dall’organizzazione e dal modus operandi delle p.A., esplorando attività di vigilanza e di regolazione poggianti, almeno in parte, sulle medesime tecnologie sfruttate dai Big Tech. In parallelo, una politica di reclutamento e di addestramento del personale maggiormente tarata sulle sfide tecnologiche del presente può aiutare a colmare la distanza (Indagine conoscitiva congiunta AGCM-AGCom-Garante privacy sui Big Data, febbraio 2020, raccomandazione n. 4).
Per tutto il resto, salvo sconvolgimenti tettonici, ci sono i principi generali della materia.
App Immuni: una storia stran(ier)a e incompiuta
di Lara Trucco
Sommario: 1. Premessa. – 2. La fase I: la App tra Unione europea e Governo italiano. – 3. La fase II: tra i due litiganti…Google ed Apple godono. – 4. La fase III: …tornando dalla App personale di tracing. – 5. …per andare alla piattaforma multinazionale di tracking. – 6. …passando dal server nazionale di testing ed identification. – 7. Una “costituente tecnologica” eurounitaria (ed italiana)?
1. Premessa
La vicenda della cd. “App Immuni” (nel prosieguo: App) offre uno spaccato di un certo interesse delle dinamiche in atto sul fronte delle strategie di contrasto al Covid-19 e delle relative criticità: questioni su cui ci si propone di portare in questa sede l’attenzione.
All’indomani dell’ufficializzazione dello stato di pandemia, infatti, l’opportunità di ricorrere all’impiego di sistemi di tracciamento per interrompere la diffusione dei contagi secondari è entrato, com’è noto, a pieno titolo nel dibattito scientifico ed altresì mediatico, portando il nostro Stato, alla pari di altri, ad impegnarsi nella loro adozione.
Le strade seguite sono state varie, essendosi passati da soluzioni tecnologiche più blande e meno efficaci; ad altre, invece, maggiormente intrusive rispetto ai dati personali “sensibili” e “supersensibili”, i quali, anche per tale motivo, hanno suscitato maggiore attenzione, rischiando, tra l’altro, di mettere a repentaglio altri diritti fondamentali, o di esporre ad una stigmatizzazione individuale e sociale i soggetti che hanno subito il contagio. Di qui, il complesso tema del bilanciamento dei valori in campo, specie una volta constatatosi che ciò a cui ad oggi non hanno potuto altri fattori di crisi, è arrivato a poterlo la crisi pandemica (essendosi passati da una situazione in cui dallo smartphone si voleva sapere «what exactly your finger was clicking on», ad una in cui si vuole, inoltre, conoscere «the temperature of your finger and the blood-pressure under its skin»[1]).
Ma, più che in altre circostanze, ha generato sconcerto l’effetto sorpresa, che si auspica non debba più ripetersi nell’eventuale ripresentarsi di fenomeni simili. Ed anche per questo l’imperativo è quello di uno sforzo teso all’aggiornamento, grazie all’ausilio dello stesso progresso tecnologico, di strumenti di lavoro originatisi in altre epoche, in una prospettiva constitutional oriented, fermo restando l’acquis giuridico-culturale già maturato[2].
2. La fase I: la App tra Unione europea e Governo italiano
La delicatezza di una tale situazione è stata immediatamente colta in ambito eurounitario, da parte, in particolare, dell’European Data Protection Board (nel prosieguo: EDPB), che, nel quadro della sua attività di promozione della cooperazione tra le autorità di protezione dei dati dell’Unione, ha prontamente evidenziato la necessità di mettere in campo «tecniche moderne» per la lotta contro il Covid-19, «nell’interesse dell’umanità»[3]; ammonendo, nel contempo, sul necessario rispetto, anche in contesti emergenziali, di tutti i diritti della persona, non ultimi quelli legati alla sfera di riservatezza individuale, protetti, com’è noto, espressamente dalla stessa Carta dei diritti fondamentali dell’Unione (artt. 7, 8 e 52).
È stato, del resto, su tale base, nonché tenendosi presenti le altre specifiche ed attuative discipline europee sulla protezione dei dati personali (spec. GDPR[4] e direttiva e-privacy[5]), che sono stati dapprima enucleati e, dipoi, meglio specificati i principi fondamentali a cui gli Stati membri si sarebbero dovuti attenere: volontarietà, interoperabilità, copertura normativa, esplicitazione delle finalità, minimizzazione, trasparenza, protezione, pseudonimizzazione, sicurezza, temporaneità[6] (v. la tabella che segue).
|
I principi eurounitari in materia di applicazioni mobili per il contrasto al Covid-19
| |||
| European Data Protection Board (19 marzo) | Commiss. UE Raccomandazione (8 aprile) | Commiss. UE Orientamenti e Toolbox Stati (16 aprile) | EDPB Lettera e Linee-guida (14 e 21 aprile)
|
|
|
|
|
|
| 1. Volontarietà
| Volontarietà | Volontarietà Facoltatività No conseguenze negve | Volontarietà Facoltatività No conseguenze negve |
| 2. Interoperabilità
| Interoperabilità | Interoperabilità Coord. con autorità sanitarie Tittà autorità sanitarie nazli | Interoperabilità Coord. con autorità sanitarie Tittà autorità sanitarie nazli |
| 3. Copertura normativa
| “Legge” | “Legge” Necessarietà Proporzionalità Opportunità (efficacia) | “Legge” Necessarietà Proporzionalità Opportunità |
| 4. Finalità
| Finalità | Finalità | Finalità |
| 5. Minimizzazione
| Minimizzazione
| Minimizzazione
| Minimizzazione Necessità Proporzionalità |
| 6. Trasparenza | Trasparenza Informazione
| Trasparenza Informazione Accessibilità | Trasparenza Informazione Accessibilità Codice sorgente |
| 7. Protezione | Protezione Controllo dell’interessato Riservatezza Tutela dei dati Accesso, rettifica, cancellazne No stigmatizzazione socle | Protezione Controllo dell’interessato Riservatezza Tutela dei dati Accesso, rettifica, cancellazne No stigmatizzazione socle | Protezione Controllo dell’interessato Riservatezza Tutela dei dati Accesso, rettifica, cancellazne No stigmatizzazione socle |
| 8. Pseudonimizzazione
| Pseudonimizzazione Aggregazione Anonimizzazione | Pseudonimizzazione Aggregazione Anonimizzazione Gestione separata dei dati | Pseudonimizzazione Aggregazione Anonimizzazione Gestione separata dei dati |
| 9. Sicurezza | Sicurezza Autenticità Integrità | Sicurezza Autenticità Integrità | Sicurezza Autenticità Integrità Analisi d’impatto Privacy by design e by default |
| 10. Temporaneità | Temporaneità Conservazione in loco Cancellazione Riesame periodico effvo | Temporaneità Conservazione in loco Cancellazione Riesame periodico effvo | Temporaneità Conservazione in loco Cancellazione Riesame periodico effvo Valutazione scientifica |
Pertanto, quando, all’indomani della dichiarazione dello stato di emergenza[7], il nostro Paese si è inserito nel novero di quelli che andavano facendo ricorso ad una siffatta soluzione tecnologica, la “cornice normativa” era già stata ampiamente tracciata a livello sovranazionale, nella direzione della valorizzazione della tecnica di tracciamento. Di qui, pertanto, l’accantonamento, ad es., della tecnologia GPS, ultronea in quanto proiettata verso l’identificazione e geolocalizzazione degli utenti (tracking) a favore del bluetooth Low Energy con la sola rilevazione (tracing) dei contatti ravvicinati tra i dispositivi (v. infra, il §4).
Si deve, in particolare, all’allora Capo del Dipartimento della Protezione Civile il debutto, già con una delle proprie prime ordinanze, della progettazione dell’App, attribuendo, contestualmente, nel quadro della sua attività di coordinamento degli interventi nazionali per fronteggiare l’emergenza, la facoltà ai soggetti operanti nel Servizio nazionale di protezione civile “ed in via del tutto eccezionale” anche ad altri, di svolgere trattamenti di dati personali “particolari” concernenti lo stato di salute (art. 5 dell’ord. n. 3 del 2020)[8]. È stato poi il “Commissario Covid” nel frattempo nominato[9] ad affidare l’effettiva predisposizione dello strumento ad una società̀ operante nel settore, con la previsione della stipula di un “contratto di concessione gratuita della licenza d’uso sul software e di appalto di servizio gratuito” (art. 6, c. 5 dell’ord. n. 10 del 2020)[10].
3. La fase II: tra i due litiganti…Google ed Apple godono
All’inizio della cd. “fase II”, il nostro Paese ha potuto dunque essere ricompreso tra quelli che hanno optato per una applicazione mobile intesa al contrasto alla pandemia a basso tasso di intrusività[11]; sebbene, per vero, ancora poco di ufficiale si sapesse su come sarebbe funzionato il “Sistema Immuni” più ampiamente considerato (la stessa stipula del contratto di progettazione rimaneva in standby, in attesa di “indicazioni” più chiare[12]). Volendo azzardare un paragone, si potrebbe dire che, in quel momento, dell’autovettura era noto l’impianto elettrico e la scocca, ma non ancora la carrozzeria ed il motore, né tanto meno il sistema di sicurezza. Sicché il parere espresso dal Garante dei dati personali[13] sulla proposta normativa predisposta all’uopo (contenute all’art. 6 del d.l n. 28 del 2020[14]) non ha potuto che in via interlocutoria essere positivo, consistendo i relativi rilievi in una serie di “raccomandazioni” sul “da farsi” circa, proprio, le specifiche tecniche che si fosse inteso adottare.
La situazione si è sbloccata all’indomani della decisione, da parte del nostro e di altri governi dell’UE, di abbandonare l’idea della predisposizione di una App (pan)europea “governata” dai singoli Stati (ed in prospettiva dall’UE) e, quindi, di tipo “centralizzato” (di tipo PEPP-PT), a favore dell’infrastruttura tecnologica di marca americana nel frattempo sviluppata e resa disponibile di concerto da Apple e Google (piattaforma A/G)[15], che vedeva e vede, invece, repository e data retention gestiti dagli stessi smartphone, secondo una soluzione considerata “decentralizzata” (DP-3T e soluzione A/G). Per cui la nuova architettura informatica ha determinato una differente modalità di trasmissione e conservazione dei dati degli utenti, dato che mentre con la soluzione centralizzata essi sarebbero stati gestiti, appunto, dal server centrale (nazionale), invece nella nuova struttura decentralizzata i medesimi vengono amministrati in via normale (ma cfr. infra, i §§ che seguono) in locale sullo smartphone (v. lo schema che segue).
L’impianto del Sistema Immuni conta, pertanto, ad oggi tre componenti fondamentali: la App installata sugli smartphone, il server nazionale ubicato presso il Ministero e la piattaforma situata, invece, oltre Atlantico, le quali, come vedremo, intervengono nel corso delle due delicate fasi in cui si svolge la procedura: quella “ante alert” (v. il §4) e quella “post alert” (v. il §6) di rischio contagio.
La novità non è stata scevra di problematicità sul piano normativo, perché sebbene dal legislatore fosse stata prospettata la possibilità di conservare i dati relativi ai contatti stretti “anche” nei dispositivi mobili degli utenti (art. 6, lett. e), d.l. n. 28 del 2020, cit.), la stessa normativa sembrerebbe presupporre un impianto centralizzato, là dove prevede che la piattaforma informatica per la gestione del sistema di allerta debba essere “unica” e “nazionale” (art. 6, c. 1, d.l. n. 28 del 2020, cit.), nonché realizzata dal Commissario “esclusivamente con infrastrutture localizzate sul territorio nazionale” (art. 6, c. 5, d.l. n. 28 del 2020, cit.). Senza dire poi che la stessa società chiamata a sviluppare la App è stata selezionata proprio in ragione della appurata idoneità a garantire la predisposizione di uno strumento conforme “al modello europeo delineato dal Consorzio PEPP-PT”[16].
Che, poi, la questione abbia una portata che oltrepassa i confini nazionali, è dato di vedere nella pervicace volontà di alcuni Stati europei (spec. Francia[17]) di continuare a puntare sul “modello centralizzato” al fine di preservare la propria “sovranità tecnologica”[18], finendosi, peraltro, con ciò, non senza un qualche paradosso, per intralciare l’interoperabilità dei sistemi operativi nella stessa aerea europea[19]. Per altro verso, mentre i due colossi americani vanno affermando la propria tecnologia in Europa, il versante asiatico sembra procedere per proprio conto sostanzialmente incurante dell’interesse comune allo sradicamento dell’epidemia[20].
4. La fase III: …tornando dalla App personale di tracing
È opportuno ora soffermarsi su una delle principali ragioni che avrebbero motivato la scelta di deviare rispetto allo schema di governance iniziale: e cioè la ritenuta migliore idoneità di una siffatta soluzione proprio a «tutelare con maggiore forza la privacy»[21]. Sebbene, una tale considerazione sia stata motivata dall’impossibilità che vi sarebbe stata di allestire “in house” una struttura tecnologica altrettanto affidabile in tempi così ravvicinati[22], nondimeno, della stessa meritano in ogni caso di essere esaminati gli esiti, nella non abbandonata ipotesi dell’adozione, nel prossimo futuro, di una soluzione a tutti gli effetti “europea”.
Ora, del tasso di intrusività della tecnologia bluetooth e, di conseguenza, della App isolatamente considerata si è detto (v. supra, il §2), restando, invece, da indagarne l’impiego nel quadro del Sistema Immuni ampiamente riguardato, alla luce, in particolare, delle specifiche tecniche (spec. dell’Application Programming Interface-API) intervenute strada facendo[23].
Nella cd. “fase II” si è appreso, dunque, che la riservatezza individuale dovrebbe essere garantita, in primis, “by design” oltre che dall’impossibilità di accedere ai dati personali contenuti nello smartphone dalla previsione dell’invio di un pacchetto di informazioni personali collegato ad un doppio scambio di codici parimenti pseudonimizzati. Ciò con l’obbiettivo di impedire la ricombinazione degli identificativi pseudonimizzati con le chiavi di co-decodifica necessari al tracing[24] e, più in generale, con tutte quelle “informazioni aggiuntive” (spec. di tipo biometrico, oltre che anagrafiche[25]), meglio idonee al tracking, in quanto in grado di risalire all’identità degli utenti[26].
Quanto, dunque, alla prima parte del processo tecnologico di contact tracing (v., infra, al § 6, la seconda parte), il contatto con gli altri smartphone, col relativo scambio dei dati e metadati[27] cifrati (che vengono poi memorizzati dagli stessi smartphone) avvengono attraverso identificativi casuali, pseudonimizzati ed altamente dinamici (i Rolling Proximity Identifier-RPI) avvicendantisi di frequente[28]; i RPI, a loro volta, vengono prodotti a partire da chiavi “secondarie” parimenti pseudonimizzate e casuali (i Rolling Proximity Identifier Key-RPIK), prodotte contestualmente da chiavi “primarie”(le Temporary Exposure Key-TEK) che sono di più lunga durata rispetto ai RPI[29]…il tutto da parte di algoritmi crittografici elaborati dal backend del sistema.
In questo quadro, a mettere particolarmente a rischio il suddetto “disaccoppiamento” dei dati di tracing da quelli concernenti l’identità degli utenti è la cd. “reidentificazione inferenziale” (spec. dei soggetti risultati positivi) da parte di quegli “App users” (o, più in generale, di quei soggetti) che, essendo in possesso di “informazioni aggiuntive” di vario tipo, possono ricostruire a ritroso la propria “catena” di contatti sino ad arrivare ad individuare la persona all’origine del contagio. Di qui il monito del Garante «di evitare le occasioni» in cui i suddetti identificativi di prossimità e pseudonimi di breve periodo inviati in broadcast, «possano essere rilevati da terzi[30]», ed associati ad altre informazioni identificative dell’utenza, a maggior ragione se risultate positive al test[31]. Se quanto appena considerato (a tacere di più generiche forme di hackeraggio) fa ritenere «improbabili, ma non impossibili»[32] attacchi di de-anonimizzazione che, per l’appunto, consentono di identificare l’utente associato a un insieme di pseudonimi, ad aggravare ulteriormente la situazione potrebbe essere l’elevato grado di vulnerabilità della stessa tecnologia bluetooth che, pur costituendo la base del sistema (v., supra, il §2) non costituirebbe «un protocollo particolarmente robusto[33]». Anche se poi, a ben vedere, l’insidia di maggior momento dell’architettura decentralizzata, potrebbe essere data dall’alto tasso di esposizione al rischio di furto e smarrimento dei device[34], data la moltiplicazione delle occasioni di leakage indotta delle stesse informazioni personali.
Per contro, è doveroso osservare come di analoghe fragilità non vadano esenti nemmeno i sistemi centralizzati, dovendo mettersi, sul piatto della bilancia, altresì, la constatazione della miniera di dati che in “un sol colpo” potrebbero esservi carpiti a seguito di un data breach ben mirato nell’ambito di un’architettura “unificata”[35]. Di qui la convenienza, sul piano metodologico, di limitare le verifiche al caso concreto in rapporto al tipo di dato ed all’infrastruttura tecnologica su cui si deve fare affidamento.
5. …per andare alla piattaforma multinazionale di tracking
Va considerata ora la grande quantità di informazioni personali di cui entrano in possesso i gestori del Sistema Immuni, concernenti la vita reale come la second life digitale dei propri utenti, data la possibilità, loro riconosciuta in via legislativa, di raccogliere dati ulteriori (spec. i cd. analytics), per il tramite degli stessi device, per fini di sanità pubblica e di miglioramento del sistema di allerta (art. 6, c. 1, d.l. n. 28 del 2020, cit.); per non dire della disponibilità di altre informazioni altamente identificative degli utenti (mac address del bluetooth, gli IP address ed i codici IMEI degli smartphone, solo per citarne alcuni)[36].
Il quesito allora s’impone se sia adeguato e sufficiente un atto di fiducia[37] nei confronti di soluzioni, per di più, estranee alla giurisdizione europea, per escludere che attraverso l’impiego di appositi algoritmi combinatamente ad altre tecniche (come il machine learning), sugli stessi analytics[38] e più ampiamente ancora sui big data[39] attinti, in primis, dagli stessi smartphone, si renda possibile non solo risalire all’identità degli utenti, ma financo dei medesimi profilare la persona e personalità, condizionandone, altresì, il comportamento[40].
Alla domanda, infatti, non potrebbe non rispondersi riproponendo il problema della “controllabilità dei controllori”, data la difficoltà di vigilare sul fatto che in particolare i gestori extraeuropei non utilizzino indebitamente le informazioni a propria disposizione, specie le chiavi di decriptazione dei dati personali pseudonimizzati che transitano e vengono stivati nell’ambito del sistema Immuni (v. supra, i §§3 e 4).
Si comprende, tra l’altro, lo scrupolo del Garante nel prevenire ogni forma di riassociazione degli stessi analytics «a interessati identificabili», assicurando, nel contempo, «l’adozione di adeguate misure di sicurezza e tecniche di anonimizzazione», nel rispetto dei principi di privacy by design e by default (di cui all’art. 25 del GDPR)[41]. Ma, soprattutto, non andrebbero in questa stessa prospettiva trascurati gli input provenienti (anche) dalla stessa Unione europea, circa l’importanza (tramontata definitivamente l’idea di poter “be alone” ed ancora in attesa dei necessari anticorpi tecnologici) di “be informed”, dotandocisi di un adeguato apparato competenziale e culturale, onde scongiurare il diffondersi di un altrimenti possibile analfabetismo tecnologico “di ritorno”. Per cui è, per l’appunto, nell’ottica della trasparenza e conoscibilità (oltre che nella prospettiva di uno sviluppo tecnologico condiviso), che, a chi domina il sistema, si chiede di rendere disponibili in forma gratuita e con licenze open source i codici sorgente dei programmi informatici, nonché il rilascio di precise informative dei meccanismi di funzionamento delle medesime tecnologie e dei diritti dei soggetti interessati dai relativi trattamenti di dati (secondo, del resto, la filosofia propria delle norme europee in materia)[42].
È, del resto, su simili premesse che, tornando a quanto si diceva riguardo al sistema Immuni, ad Apple e Google si è reclamato di meglio chiarire, in particolare, le caratteristiche degli algoritmi di calcolo utilizzati (spec. per la valutazione del rischio di esposizione al contagio), la portata dei bug di sistema presenti (spec. quanto alla generazione di “falsi positivi” e “falsi negativi”), nonché le autorizzazioni di accesso al sistema (spec. quanto ai possibili interventi degli amministratori dei sistemi operativi, sulla rete e sulle stesse basi dati)….precisandosi, altresì, i rispettivi ruoli, «in ossequio ai principi di trasparenza e responsabilizzazione»[43].
6. …passando dal server nazionale di testing ed identification
Tornando al versante infrastrutturale, va portata attenzione all’ulteriore crocevia di informazioni che, specie in prospettiva, potrebbe essere il “server” (rectius: la “piattaforma”, nelle intenzioni del legislatore) del Ministero della Salute, in capo al quale è stata posta la titolarità del trattamento dei dati nel quadro del Sistema Immuni (art. 6, c. 1, d.l. n. 28 del 2020, cit.).
È, infatti, lo stesso dato normativo a prevedere la “complementarietà” delle “modalità operative del sistema di allerta tramite la piattaforma informatica” alle ordinarie modalità in uso nell’ambito del Servizio sanitario nazionale (art. 6, c. 1, d.l. n. 28 del 2020, cit.); acconsentendo, altresì, a che i dati raccolti attraverso l’applicazione possano essere utilizzati “in forma aggregata o comunque anonima”, per fini di “sanità pubblica, profilassi, statistici o di ricerca scientifica” (art. 6, c. 3, d.l. n. 28 del 2020, cit.). A ciò vanno sommate, poi, le informazioni “aggiuntive” che potranno rendersi disponibili dall’innesto di patch, interconnesse, peraltro, con la sopra esaminata piattaforma straniera A/G (così da avere messo in agenda l’implementazione dei “diari clinici” degli utenti, mentre già si parla dell’implementazioni di “passaporti sanitari digitali” e delle “cartelle cliniche” dei pazienti)[44].
Tanto più che a conferire al Ministero un ruolo sul piano puramente giuridico, al momento comparabile a quello che il binomio A/G ha su quello tecnologico, è il fatto che, già oggi, si tratta del (solo) soggetto a cui è legittimamente consentito di conoscere l’identità delle persone risultate positive al Covid-19.
Gli operatori sanitari del SSN sono, infatti, ad oggi, i soli ai quali, a quanto ci consta, risulta possibile rivolgersi ed a cui, in questi casi[45], è necessario fornire le proprie anagrafiche, appartenendo ad essi il delicato compito di “attestazione”, a partire da quel momento, della correttezza della procedura[46]. Dal che, sebbene viga l’obbligo di segretezza, la evidenziata «potenziale collusione» tra l’entità che rileva la positività del paziente e il sistema di gestione dei server che gestiscono il proximity tracing[47].
Venendo dunque alla seconda parte del processo tecnologico (v., supra, al §4 la prima), il Sistema Immuni è programmato in modo tale da aversi una connessione periodica in automatico degli smartphone ad un Diagnosis Server gestito dallo stesso Ministero della Salute (v. infra) con lo scambio tra gli smartphone degli identificativi giornalieri TEK di cui si è detto, associati ai casi risultati positivi e la verifica della loro eventuale “corrispondenza” con la lista dei RPI memorizzati dagli stessi smartphone nel periodo di riferimento (v. supra, il §4). A questo punto, in caso di esito positivo, è il software A/G a fare, per così dire “da collante” tra le varie componenti del sistema consentendo il percorrimento “a ritroso” delle tappe compiute nella prima parte del processo (derivazione dalle TEK delle RPIK e da esse, quindi, gli identificativi temporanei RPI), al fine di risalire al device di riferimento a cui inviare l’alert di contagio. A questo punto le persone destinatarie dei relativi alert possono a loro volta decidere di sottoporsi ai controlli sanitari al fine di verificare il proprio stato di salute, rivolgendosi quindi, in caso di esito positivo, agli operatori sanitari, secondo un processo circolare che per noi, a questo punto, si chiude[48].
Come si vede, il meccanismo ed il flusso di informazioni che vengono messe in moto dal sistema necessitano di un’infrastruttura tecnologica solida ed di un’organizzazione amministrativa strutturata, trattandosi delle condizioni basilari per il conseguimento degli obbiettivi di efficacia e GDPR compliance. Sembra però lecito nutrire qualche dubbio al riguardo, data la disorganicità che, al momento, affligge l’impianto chiamato a tenere la regìa delle cose in ambito interno. In particolare, al momento non risultano del tutto perspicue le specifiche sulla base delle quali il Ministero dell’economia e delle finanze, insieme ad un’azienda operante nel settore dell’ICT (in house), in qualità di responsabili del trattamento, procedono, a supporto dello stesso Ministero della Salute[49], all’erogazione del servizio di interazione con gli operatori sanitari[50]. Inoltre, al momento, non paiono nemmeno chiare le specifiche tecniche e giuridiche in cui agiscono gli ulteriori fornitori di servizi sul territorio che (una volta accantonata l’idea di far convergere direttamente il flusso di dati sul server “centrale”) in qualità di “subresponsabili” dei trattamenti di dati, sono chiamati a mettere a disposizione la propria rete di distribuzione dei contenuti in varie parti del territorio nazionale (il Content Delivery Network)[51] quali “nodi di prossimità” tra il centro (il Ministero della Salute) e la periferia (gli smartphone)[52].
7. Una “costituente tecnologica” eurounitaria (ed italiana)?
Difficile tentare ora conclusioni anche sommarie data la fluidità della situazione, ma dalla vicenda Immuni sembra comunque confermata la stretta interrelazione tra governance politica ed infrastruttura tecnologica, non senza ricadute sulla tutela di diritti fondamentali (legati, in partic., alla sfera della privacy).
Il ritardo, inoltre, dell’Unione europea e degli Stati membri rischia di farsi irrimediabile se non si procede celermente alla messa a punto anche di un’“Unione digitale”[53] e all’approntamento di una piattaforma comune (“paneuropea”), solida e capillarmente diffusa tra i vari Stati membri, su cui addensare le informazioni di carattere personale[54]. Una tale cessione di “sovranità digitale” da parte degli Stati membri, mentre, dunque, nell’immediato, potrebbe verosimilmente contribuire a colmare lo scarto tra la debolezza infrastrutturale ed invece la “forza” del dato normativo eurounitario in materia, nel più lungo periodo, potrebbe fare da contrappeso al solidificarsi di monopoli tecnologici su scala globale[55].
Dinnanzi alla situazione attuale, che vede sostanzialmente la vigenza di due modelli di governance tecnologica (anche) dei dati personali – uno “a gestione autoritaria”, in mano a poteri pubblici non democratici nel senso invalso nella tradizione costituzionalistica occidentale (v. Cina) ed un altro, invece, “a gestione indipendente”, rilasciata completamente nella disponibilità di soggetti privati (Stati Uniti) – l’auspicio sarebbe che un’Unione tecnologica europea coltivi la sua connaturata via di una “gestione democratica” dell’infrastruttura e dei trattamenti.
In questo scenario, guardandosi all’Italia, risulta, a maggior ragione, valida la speranza che proprio verso una “sana” gestione dell’infrastruttura tecnologica vengano subito indirizzate energie e risorse. Di fronte al contagio, infatti, il nostro Paese si è trovato nelle condizioni di doversi affidare a soluzioni “miste” non del tutto compiute, scommettendo su un sistema di allerta, dalla (inter)faccia apparentemente “soft”, nell’ambito di una base giuridica (non repressiva ma) puramente volontaria e solidaristica. Così tuttavia, non è senza un qualche paradosso che ci si trova esposti al rischio di vedere pregiudicati i principali valori in campo: privacy e salute individuale e collettiva[56], con una compromissione complessiva del livello delle tutele di diritti fondamentali[57].
[1] Così Y.N. Harari, The world after coronavirus, in www.ft.com del 20 marzo 2020.
[2] Con più specifico riguardo “alla rotta”, indicata dal Presidente della Corte costituzionale, nel pieno dell’emergenza, si rinvia all’intervista di L. Milella, Cartabia: “La Costituzione una bussola nell’emergenza. Non c’è diritto speciale per tempi eccezionali”, in www.repubblica.it del 28 aprile 2020.
[3] EDPB, Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19, del 19 marzo 2020, 1.
[4] Ci si riferisce, in partic., al Reg. UE del 27 aprile 2016, n. 679 (GDPR), “on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC” (spec. i consid. n. 35, n. 41, n. 46, n. 51, n. 53 e n. 54, nonché gli artt. 4, 6 e 9).
[5] Ci si riferisce, in partic., alla dir. 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, “relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche” (spec. gli artt. 6, 9 e 15).
[6] Commiss. EU, Racc. (UE) 2020/518 dell’8 aprile 2020 “relativa a un pacchetto di strumenti comuni dell’Unione per l’uso della tecnologia e dei dati al fine di contrastare la crisi Covid-19 e uscirne, in particolare per quanto riguarda le applicazioni mobili e l’uso di dati anonimizzati sulla mobilità” (C/2020/3300); EDPB, Lettera alla Commissione recante il “Progetto di Linee-Guida per app di contrasto alla pandemia COVID-19”, del 14 aprile; Commiss. EU, Comunic. “Orientamenti sulle app a sostegno della lotta alla pandemia di covid-19 relativamente alla protezione dei dati”, del 17 aprile 2020); e, quindi, nuovamente, EDPB, Linee guida “sull’utilizzo della geolocalizzazione e di altri strumenti di tracciamento nel contesto dell’emergenza legata al Covid-19”, del 21 aprile 2020.
[7] V. la Delibera del Consiglio dei ministri del 31 gennaio 2020, di “Dichiarazione dello stato di emergenza in conseguenza del rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili” CORSIVO?.
[8] V. l’ocdpc del 3 febbraio 2020, n. 630 recante i “Primi interventi urgenti di protezione civile in relazione all’emergenza relativa al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili” CORSIVO?, a cui, il giorno prima, il Garante per la protezione dei dati personali aveva dato “via libera” (v. il Parere n. 15 del 2 febbraio 2020).
[9] V. il dPCM del 18 marzo 2020 di “Nomina del dott. Domenico Arcuri a Commissario straordinario per l’attuazione e il coordinamento delle misure occorrenti per il contenimento e contrasto dell’emergenza epidemiologica COVID-19”.
[10] V. l’ord. del 16 aprile 2020, n. 10, del Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica covid-19, con cui si è disposto “di procedere alla stipula del contratto di concessione gratuita della licenza d’uso sul software di contact tracing e di appalto di servizio gratuito con la società Bending Spoons S.p.a.”.
[11] Come puntualmente notato, all’epoca, da T. Frosini, Anonimato, privacy, niente obbligo: le salvaguardie ora ci sono, Il Dubbio del 5 maggio 2020.
[12] V.lo alla nota 16.
[13] V. Garante per la protezione dei dati personali, Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19 del 29 aprile 2020.
[14] Trattasi, per la precisione, dell’art. 6 recante “Misure per l’introduzione del sistema allerta Covid-19”, del d.l. del 30 aprile 2020, n. 28, recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19”. Si precisa che il testo della relativa legge di conversione è stato approvato al Senato (il 17 giugno 2020) epperò, al momento in cui si scrive, è ancora in corso di esame in commissione alla Camera dei deputati.
[15] Il Ministero dell’Innovazione avrebbe proceduto alla pubblicazione del codice backend della App relativo all’elaborazione ed alla trasmissione dei dati personali sulla piattaforma Github il 25 maggio 2020.
[16] Così da rendere in corso d’opera necessario “calibrare” le clausole del contratto che sarebbe stato stipulato il 16 maggio 2020 dal Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica Covid-19 con la Bending Spoons S.p.A. (v. spec. l’Allegato 2: “Attività di miglioria e personalizzazione dell’App”: “Modifica al sistema di caricamento dei dati dell’utente, sfruttando sistemi di sblocco diversi da quello attualmente previsto dal modello PEPP-PT”).
[17] Sul “modello misto” e “proprietario” che si sta predisponendo in Francia, cfr., ad es., V. Iovino, Contact tracing, la Francia si disallinea: ecco la sua “terza via”, del 1°giugno 2020; per un panorama più ampio della situazione cfr., invece, “agli esordi” ad es. R. Angius e L. Zorloni, Coronavirus e contact tracing, cosa fanno gli altri stati in Europa, del 18 aprile 2020; e M. Notarianni, Sette nazioni EU scelgono l’approccio Apple e Google per il tracciamento Covid-19, del 7 maggio 2020.
[18] Cfr., sia pur da un angolo visuale più specifico, G. Pitruzzella, O. Pollicino, Disinformation and hate speech. A European Constitutional Perspective, Milano, 2020.
[19] Cfr., sul punto, B. Calderini, App coronavirus, funzioneranno all’estero? Il dilemma interoperabilità, del 21 maggio 2020.
[20] Un tale scenario motiva, dunque, comprensibilmente, l’attenzione riservata alla vicenda dal Comitato parlamentare per la sicurezza della Repubblica (Copasir), segnatamente il rilievo che vi fossero rischi geopolitici non trascurabili, che avrebbero necessitato di vedere monitorato il fatto che nessuno potesse e possa accedere ai dati (cfr., ex multis, G. Postiglione, Se neanche lo Stato si fida di sé stesso, del 12 giugno 2020.
[21] V., in tal senso, già C. Rossi, App Immuni, consorzio Pepp-Pt e Bending Spoons: fatti, obiettivi, analisi e polemiche del 19 aprile 2020; ed in seguito, A. Longo, L’app Immuni cambia. Seguirà il modello decentralizzato di Apple e Google Una scelta ormai definitiva. E anche obbligata. per tutelare con maggiore forza la privacy e la sicurezza dei dati del 22 aprile 2020; e A. Cazzullo, Coronavirus, Colao: «Un’apertura a ondate per testare il sistema. L’app entro maggio oppure servirà a poco», del 29 aprile 2020.
[22] Così lo stesso Garante per la protezione dei dati personali, Provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 - App Immuni del 1° giugno 2020.
[23] Per la precisione, le API sono state rese disponibili nella seconda metà di maggio (cfr., al riguardo, ad es., L. Garofalo, Disponibili le API di Apple e Google Conte, del 21 maggio 2020). V., inoltre, supra, la nota 15.
[24] Segnatamente, di ricalcolare le chiavi RPIK a partire dalle RPI e/o le chiavi TEK a partire dalle RPIK.
[25] Sulla necessaria disponibilità, però, di almeno un dato biometrico relativo alla persona, per potersi procedere alla sua identificazione, sia consentito rinviare, al riguardo, a L. Trucco, Introduzione allo studio dell’identità individuale nell’ordinamento costituzionale italiano, Torino, 2004, 4 e ss.
[26] Ha fatto discutere, da questo punto di vista, l’assunta “combinabilità” dell’impiego della App con la funzione di geolocalizzazione dello smartphone ed i beacon che, a loro volta, sfruttano la tecnologia bluetooth per rilevare la presenza di device mobili a cui trasmettere informazioni e dati di varia natura (cfr., al riguardo, L. Garofalo, Immuni, sugli smartphone Android funzionerà solo se hai la geolocalizzazione attiva. E Google ti localizza?, del 26 maggio 2020).
[27] Così ad esempio i dati parametrici utilizzati per calcolare il “rischio contagio”.
[28] Segnatamente, i RPI cambiano ogni quindici minuti.
[29] Le chiavi TEK e RPIK, infatti, vengono generate giornalmente: sono, però, solo le TEK a venire memorizzate negli smartphone per due settimane, secondo quanto meglio si vedrà infra, al §6.
[30] V. Garante per la protezione dei dati personali, Valutazione d’impatto, “sulla protezione dei dati personali presentata dal Ministero della Salute relativa ai trattamenti effettuati nell’ambito del sistema di allerta Covid-19 denominato ‘Immuni’” (nota sugli aspetti tecnologici) del 3 giugno 2020.
[31] Si pensa, ad es., ai i cd. “paparazzi attack”, mirati proprio ad individuare le persone attraverso, per l’appunto, svariati incroci e combinazioni tra dati personali ed informazioni aggiuntive (domicilio, luoghi di lavoro e/o di svago e/o ubicazione in un dato momento, abitudini, carta di credito, dati personali “di viaggio” e l’elenco potrebbe continuare a lungo…).
[32] Così A. Armando e al., Le vulnerabilità del contact tracing che dobbiamo studiare, dell’11 giugno 2020 (di presentazione del white paper “su privacy e security delle app di proximity tracing”).
[33] Cfr., sui problemi derivanti dalla connettività bluetooth, nonché sui potenziali attacchi e financo sul certo grado di approssimazione che, più in generale, caratterizzerebbe una siffatta tecnologia A. Armando e al., Le vulnerabilità del contact tracing che dobbiamo studiare, cit.
[34] Ci riferiamo qui in termini più generali, ai dispositivi elettronici che potrebbero incorporare una tale tecnologia, non esclusi, in prospettiva, i cd. “braccialetti elettronici” (su cui v., F. Bailo, Il Covid-19 e le nuove frontiere tecnologiche: l’app Immuni e (il ritorno dei) braccialetti elettronici?, in questo Fascicolo).
[35] Il pensiero corre, in particolare, al data breach della piattaforma dell’INPS, su cui è intervenuto lo stesso Garante per la protezione dei dati personali, con una Comunicazione a tutela dei soggetti interessati coinvolti (v. il Provvedimento del 14 maggio 2020).
[36] È stata, peraltro, la stessa Corte di giustizia a chiarire la natura di veri e propri «dati personali protetti» degli indirizzi IP (anche “dinamici”), data la loro capacità di consentire «di identificare in modo preciso» spec. in contesti in cui la loro raccolta ed identificazione vengano effettuate da un fornitore di contenuti oltre che dal fornitore di accesso alla rete (Corte giust., sent. 24 novembre 2011, in C‑70/10, Scarlet Extended SA; ma si vedano poi anche, amplius, tra “i pilastri giurisprudenziali” in materia Id., sent. 8 aprile 2014, in C‑293/12 e C‑594/12, Digital Rights Ireland Ltd.; Id., sent. 13 maggio 2014, in C‑131/12, Google Spain SL; Id., sent. 6 ottobre 2015, in C‑362/14, Maximillian Schrems); Id., sent. 19 ottobre 2016, in C-582/14, Patrick Breyer c. Bundesrepublik Deutschland.
[37] Sia consentito rinviare, al riguardo, a L. Trucco, Identificazione e anonimato in rete, in El derecho a la intimidad, a cura di A.E. Perales, Valencia, Tirant Lo Blanch, 2018, 297 e ss.
[38] Il sistema prevede, infatti, la raccolta di ulteriori dati dai dispositivi degli utenti a fini di sanità pubblica ma anche, genericamente, di sviluppo del funzionamento del sistema di allerta Covid-19. Trattasi, nello specifico, di alcuni analytics (device token, epidemiological information, operational info) vettori di informazioni quali, ad es., la provincia di domicilio, la data in cui è avvenuto l’ultimo contatto a rischio, il grado di rischio di contagio, la ricezione di un messaggio di allerta, lo stato di attivazione del bluetooth, le varie autorizzazioni alla App nonché, più in generale, i dati personali connessi al sistema operativo (non escluso il clock) dello smartphone.
[39] Cfr., tra i primi a porre la questione, B. Calderini, Covid-19, tra diritto alla salute e tutela della privacy: la scelta che l’Italia deve fare, https://www.agendadigitale.eu/sicurezza/privacy/covid-19-il-difficile-equilibrio-tra-diritto-alla-salute-e-tutela-della-privacy/, del 24 marzo 2020.
[40] È quindi in questa prospettiva che va calato il monito del Garante, circa la necessità di rappresentare agli utenti «che tali informazioni non possono essere considerate dati anonimi», consentendo, in diversi contesti «concrete possibilità di reidentificazione degli interessati, soprattutto se associate ad altre informazioni ovvero in caso di morbilità non elevata o di ambiti territoriali con bassa densità di popolazione» (Garante per la protezione dei dati personali, Provvedimento del 1° giugno 2020, cit.).
[41] V. Garante per la protezione dei dati personali, Provvedimento del 1° giugno 2020, cit.
[42] Essendo, peraltro, tutto questo funzionale ad alimentare la linfa vitale di ogni sistema democratico rappresentato dalla pubblica opinione, e del relativo fondamentale ruolo di “watchdog” del potere, non dovendo sottovalutarsi il condizionamento che agli stessi colossi tecnologici può arrivare dalla opportunità, foss’anche per le mere ragioni di convenienza economica, dal mantenimento di un alto livello “reputazionale”, il quale si vedrebbe verosimilmente compromesso da comportamenti devianti dai binari del rispetto dei diritti delle persone.
[43] Ibidem.
[44] Cfr., amplius, l’audizione informale del Presidente del Garante per la protezione dei dati personali “sull’uso delle nuove tecnologie e della rete per contrastare l’emergenza epidemiologica da Coronavirus” dell’8 aprile 2020.
[45] Sul tema della responsabilità penale con riguardo al più generale impiego della App si rinvia a F. Bailo, Il Covid-19 e le nuove frontiere tecnologiche: l’app Immuni e (il ritorno dei) braccialetti elettronici?, cit.
[46] Ci si limita ad osservare qui che si stanno predisponendo dei meccanismi di device attestation al fine di appurare l’autenticità dei dispositivi da cui provengono i dati e nel contempo la veridicità dell’identità degli stessi operatori sanitari (per cui, in prospettiva, potrebbero circolarvi dei dati personali tanto “sensibili” quanto “strategici”).
[47] Cfr. al proposito, A. Armando e al., Le vulnerabilità del contact tracing che dobbiamo studiare, cit.
[48] Nello specifico, per dar corso alla procedura è necessario utilizzare la funzione di generazione del codice OTP (One Time Password) della App comunicandolo all’operatore sanitario ed attendendo che lo stesso autorizzi l’upload delle TEK da parte dell’utente. Sempre l’operatore sanitario, poi, tramite una funzione resa disponibile dal Sistema di Tessera Sanitaria (v., infra, la nota 48), inserisce nel Sistema Immuni il codice OTP e la data di inizio dei sintomi forniti dal paziente. A questo punto, l’utente è chiamato a completare (in pochi minuti) la procedura di caricamento delle TEK generate sul proprio dispositivo nelle ultime due settimane, così trasmettendole al Sistema, il quale a sua volta, previa verifica del suddetto OTP, le elabora, dando corso alla procedura.
[49] Cfr., con riguardo ad una tale collaborazione istituzionale, il Parere del Garante per la protezione dei dati personali “su uno schema di decreto relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria (Sistema TS) nell’ambito del Sistema di allerta Covid-19”, del 1° giugno 2020.
[50] A quanto è dato sapere, ad essi si sarebbe domandato di mettere a diposizione, rispettivamente, la tecnologia di cui si avvale oggi il Sistema Tessera Sanitaria (v. Sogei) ed il pagamento elettronico dei sevizi pubblici verso la Pubblica Amministrazione (v. PagoPa).
[51] A grandi linee può dirsi che la CDN è chiamata a predisporre una sorta di cache delle informazioni (tra cui le varie chiavi ed i codici identificativi) in modo, tra l’altro, da velocizzarne la distribuzione attraverso nodi più prossimi agli utenti. Fornitrice del servizio dovrebbe essere una di quelle aziende americane che sole, ad oggi, risultano in grado di offrire infrastrutture interoperabili con la piattaforma A/G.
[52] Senza poi dire dell’ulteriore frammentazione causata dalla proliferazione di App di tracciamento da parte di iniziative estemporanee (anche) da parte di varie Regioni…col risultato, tutto questo, tra l’altro, di una moltiplicazione dei rischi per i dati personali circolanti nel nostro Paese. Si pensa, in particolare, alla App predisposte a livello locale da parte di alcuni ordini dei medici, alla App COVID News-Italia di rilievo, almeno nelle intenzioni, nazionale, nonché, a livello territoriale, alle app TreCovid19 (Provincia autonoma di Trento), STOPcovid19 (Regione Umbria), SM_Covid19 (Regione Campania), nonché AllerLOM e App tracing (Regione Lombardia).
[53] Specie per chi condivida l’idea che, ormai, nell’epoca dei big data, l’identificazione delle persone ha teso a farsi regola, per cui il rischio è quello, allo stato, della perdita ineluttabile ed irrimediabile di masse di informazioni concernenti le persone
[54] Una piattaforma che potrebbe essere “dedicata” nel quadro dell’agenda di standardizzazione delle cartelle cliniche elettroniche o, invece, innestarsi, in un quadro più ampio, come potrebbe essere il potenziamento, all’uopo, del Sistema di informazione Schengen, risultato “nicchiante” nell’occasione.
[55] Sul «controverso» rapporto tra regole e rete «andandosi dall’idea di una vera e propria anomia ontologica per il ciberspazio alla ritenuta non idoneità delle regole ordinarie per questo stesso fenomeno» cfr., P. Costanzo, in Nodi virtuali, legami informali: Internet alla ricerca di regole, a cura di D. Poletti e P. Passaglia, Pisa, 2017, 18 e ss.
[56] Cfr., in partic., sul punto, l’intervista al Presidente del Garante per la protezione dei dati personali, su Radio Capital, del 13 maggio 2020; e, da ultimo, il più ampio quadro delle «libertà costituzionali» su cui (anche) la App ha inciso, descritto da A. Celotto in Necessitas non habet legem?, Modena, 2020, 37 e ss.
Al momento in cui si scrive (ancora in una fase di sperimentazione) si contano circa tre milioni di download della App Immuni e, cioè, indicativamente il 3%, a fronte del livello ritenuto ottimale, in termini di efficacia dello strumento, di almeno il 56% della popolazione, benché, va precisato, in un tale ammontare rilevino, soprattutto, le zone più a rischio ed a maggiore densità di popolazione, che dunque meriterebbero una specifica considerazione (cfr. agendadigitale.eu, del 19 giugno 2020).
[57] L’opzione, infatti, per l’impiego di uno strumento apparentemente non invasivo, mentre non sembra, come si è visto, scongiurare la possibilità di incroci identitari né tanto meno la cessione indebita di dati vettori di informazioni sensibili e supersensibili, potrebbe verosimilmente privare gli operatori sanitari ed in fondo tutti di una potenziale efficace (s’intende pur sempre, se ben governato) nel contrasto al virus (specie nel quadro della cd. metodica delle cd. “3t”: “test and treat and trace” e combinatamente al “distanziamento sociale”).
L’affidamento in house dei servizi pubblici locali (nota a Corte costituzionale 27 maggio 2020, n. 100)
Michele Trimarchi
1. Da oltre dieci anni il legislatore italiano adotta disposizioni volte a contrastare l’abuso dell’affidamento diretto dei servizi pubblici a mezzo di società in house da parte delle amministrazioni nazionali e soprattutto locali.
Con questo obiettivo, l’art. 23-bis del decreto-legge 25 giugno 2008, n. 112, aveva espressamente configurato l’affidamento in house dei servizi pubblici locali come una modalità straordinaria di organizzazione e gestione degli stessi, ammissibile solo in presenza di “situazioni eccezionali che, a causa di peculiari caratteristiche economiche, sociali, ambientali e geomorfologiche del contesto territoriale di riferimento, non permettono un efficace ed utile ricorso al mercato”.
Più di recente, il legislatore ha puntato sull’onere di motivazione dell’affidamento in house come strumento di controllo e remora all’utilizzo indiscriminato dell’istituto (art. 34, comma 20, del decreto-legge 18 ottobre 2012, n. 179; l’art. 5, comma 1, del decreto legislativo 19 agosto 2016, n. 175).
2. In questo solco si inscrive la disposizione censurata dal Tar Liguria davanti alla Corte costituzionale nella controversia decisa dal giudice delle leggi con la sentenza n. 100 del 2020: l’art. 192, comma 2, del decreto legislativo 18 aprile 2016, n. 50 (Codice dei contratti pubblici), in base al quale le stazioni appaltanti devono dar conto, nella motivazione del provvedimento di affidamento in house, delle ragioni del mancato ricorso al mercato.
Secondo il giudice rimettente (Tar Liguria), tale disposizione violerebbe l’art. 76 della Costituzione, in relazione ai criteri direttivi di cui all’art. 1, comma 1, lettere a) ed eee), della legge delega 28 gennaio 2016, n. 11.
L’art. 1, comma 1, lettera a), l. n. 11 del 2016, che pone il divieto di introduzione o di mantenimento di livelli di regolazione superiori a quelli minimi richiesti dalle direttive comunitarie (cosiddetto gold plating), sarebbe violato poiché l’onere di specifica motivazione delle ragioni del mancato ricorso al mercato non è previsto dalle direttive medesime.
Mentre l’art. 1, comma 1, lettera eee), della citata legge delega sarebbe violato poiché esso non comprende, tra gli oneri previsti per gli affidamenti diretti, accanto ad obblighi di pubblicità e trasparenza, quello di specifica motivazione delle ragioni del mancato ricorso al mercato.
3. La questione di legittimità così riassunta è stata prospettata dal giudice rimettente sotto l’angolo visuale dell’eccesso di delega; ma, come la Corte costituzionale subito avverte, “ripropone […] il noto dibattito, particolarmente vivo nella giurisprudenza amministrativa, sulla natura generale o eccezionale dell’affidamento in house”.
Un dibattitto al quale la stessa Corte costituzionale non aveva mancato di fornire un contributo decisivo quando aveva riconosciuto che le condizioni poste dall’art. 23-bis del d.l. n. 112 del 2008 imprimevano una stretta nelle condizioni di ammissibilità dell’affidamento in house rispetto a quanto imposto dal diritto comunitario, ma aveva concluso che ciò non fosse illegittimo in quanto il diritto europeo assicura un livello minimo e inderogabile di promozione e tutela della concorrenza, che gli Stati ben possono implementare con misure di maggior favore per l’assetto concorrenziale del mercato (sentenza n. 325 del 2010; nello stesso senso, sentenza n. 46 del 2013).
La sentenza in commento, pertanto, è suscettibile di un doppio livello di lettura. Ad una prima considerazione, è una pronuncia relativa alla violazione del criterio di delega che prevede il divieto di gold plating. Ad un secondo, e più profondo, livello di lettura, costituisce una nuova presa di posizione da parte del giudice delle leggi sul rapporto tra l’affidamento diretto e quello indiretto e quindi sulle forme di organizzazione e gestione dei servizi pubblici locali.
4. Quanto alla presunta violazione del divieto di gold plating, la Corte costituzionale ricorda ch’esso concerne la “prassi delle autorità nazionali di regolamentare oltre i requisiti imposti dalla legislazione UE, in sede di recepimento o di attuazione in uno Stato membro” (Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni, dell’8 ottobre 2010).
La sua ratio è quella di “impedire l’introduzione, in via legislativa, di oneri amministrativi e tecnici, ulteriori rispetto a quelli previsti dalla normativa comunitaria, che riducano la concorrenza in danno delle imprese e dei cittadini”. Ciò considerato, giammai la violazione del divieto di gold plating può essere invocata in relazione a una disposizione, come quella censurata, che “si rivolge all’amministrazione e segue una direttrice proconcorrenziale, in quanto è volta ad allargare il ricorso al mercato”.
Già il Consiglio di Stato in sede consultiva, del resto, aveva perspicuamente osservato che il divieto di gold plating “va rettamente interpretato in una prospettiva di riduzione degli «oneri non necessari», e non anche in una prospettiva di abbassamento del livello di quelle garanzie che salvaguardano altri valori costituzionali, in relazione ai quali le esigenze di massima semplificazione e efficienza non possono che risultare recessive” (Adunanza della commissione speciale del Consiglio di Stato, parere n. 855 del 1° aprile 2016).
5. Quanto alla presunta violazione dell’art. 1, comma 1, lettera eee), la Corte osserva che, in realtà, proprio il criterio di delega contenuto in questa disposizione, in quanto prevede oneri aggiuntivi per l’affidamento diretto (oneri in termini soprattutto di trasparenza), è “segno di una specifica attenzione a questo istituto già da parte del legislatore delegante”; al contrario di quanto ritenuto dal rimettente, esso pertanto finisce per legittimare la scelta del legislatore delegato di imporre, per tali casi, un onere di motivazione del mancato ricorso al mercato.
D’altra parte, osserva la Corte, quando, come nel caso di specie, la delega “riguardi interi settori di disciplina o comunque organici complessi normativi”, occorre riconoscere al legislatore delegato un più ampio margine di discrezionalità, che gli consenta di tener conto del quadro normativo di riferimento. Relativamente all’affidamento in house, l’orientamento consolidato del legislatore italiano è, come si è già ricordato, nel senso di prevedere una serie di disincentivi all’utilizzo dell’istituto.
Anche per questa ragione, dunque, “la specificazione introdotta dal legislatore delegato è riconducibile all’esercizio dei normali margini di discrezionalità ad esso spettanti nell’attuazione del criterio di delega, ne rispetta la ratio ed è coerente con il quadro normativo di riferimento (tra le tante, sentenze n. 10 del 2018, n. 59 del 2016, n. 146 e n. 98 del 2015, e n. 119 del 2013)”.
6. La dottrina italiana era stata molto critica nei riguardi della giurisprudenza costituzionale (sentenze n. 325 del 2010; e n. 46 del 2013) che aveva respinto le questioni di legittimità sollevate contro la scelta del legislatore nazionale di subordinare l’in house providing a presupposti più stringenti di quelli previsti dal diritto europeo. È presumibile che analogo sfavore accoglierà la sentenza in commento.
La libertà di organizzazione e gestione del servizio, oggi consacrata dalla direttiva 2014/24/UE, è il vessillo agitato da molti contro ogni forma di sfavore manifestata dal legislatore nei riguardi dell’affidamento dei servizi pubblici alle società in house, fosse anche di carattere solo procedimentale.
La Corte di Giustizia in una recentissima ordinanza ha però chiarito che dal principio di libera autorganizzazione discende innanzitutto la “libertà degli Stati membri di scegliere il modo di prestazione di servizi mediante il quale le amministrazioni aggiudicatrici provvederanno alle proprie esigenze” e, conseguentemente, di “subordinare la conclusione di un’operazione interna all’impossibilità di indire una gara d’appalto e, in ogni caso, alla dimostrazione, da parte dell’amministrazione aggiudicatrice, dei vantaggi per la collettività specificamente connessi al ricorso all’operazione interna” (Corte di giustizia, nona sezione, ordinanza 6 febbraio 2020, in cause da C-89/19 a C-91/19, Rieco spa, resa su rinvio pregiudiziale del Consiglio di Stato, sezione quinta, con ordinanze 7 gennaio 2019, n. 138 e 14 gennaio 2019, n. 293 e n. 296; nello stesso senso, Corte di giustizia, quarta sezione, sentenza 3 ottobre 2019, in causa C-285/18, Irgita).
La sentenza della Corte costituzionale n. 100/2020 suscita apprezzamento anche per aver richiamato l’attenzione su questo precedente del diritto europeo.
Michele Trimarchi
Consenso sociale, populismo e diritto penale
di Sergio Seminara
Sommario: 1. Introduzione. – 2. Populismo e diritto penale. – 2.1. Populismo, politica e diritto penale. – 2.2. Populismo e politica criminale: il reo come nemico. – 2.3. Populismo e politica criminale: le scelte di incriminazione. – 3. Diritto penale e consenso sociale. – 4. Consenso sociale e populismo rispetto al diritto penale. – 5. Conclusioni.
1. Introduzione.
L’idea alla base delle riflessioni qui esposte è molto semplice: consenso sociale e populismo, in passato intesi come entità contrapposte, attualmente si sono reciprocamente avvicinati senza però arrivare a coincidere, in quanto ancora rinviano a contenuti diversi ed evocano differenti scenari. Non è corretto dunque affermare che, nel nostro sistema democratico a base rappresentativa, il presupposto fondativo della legittimità e dell’efficacia del diritto penale, un tempo rinvenuto nel consenso sociale, oggi si sia convertito nel populismo.
Ovviamente, tutto sta però a intendersi sui significati racchiusi all’interno dei concetti di consenso sociale e di populismo.
2. Populismo e diritto penale.
Il termine «populismo» ha assunto vari significati nella storia. Nato a cavallo tra il XIX e il XX secolo in Russia, designò originariamente un movimento culturale e politico che, attraverso un’azione rivoluzionaria diretta e un’attività di proselitismo fra il popolo, mirava a un miglioramento delle classi più ai margini della società, nel perseguimento di una sorta di socialismo; da qui, per assimilazione, quel termine ha successivamente caratterizzato programmi politici volti a favore del popolo e genericamente ispirati da valori socialisti. Negli ultimi decenni, al concetto di populismo è stata invece associata una valenza retorica di tipo demagogico e sostanzialmente fraudolenta, tesa a vellicare e irretire il popolo piuttosto che a promuoverne effettivamente le condizioni e a tutelarne realmente gli interessi. Nell’attuale prospettiva politica (mi riferisco soprattutto all’esperienza italiana), il termine in questione è stato ripetutamente utilizzato per designare gli atteggiamenti di taluni leader ed esponenti di partito finalizzati a incrementare il numero degli elettori facendo leva su insicurezze e timori, così dando vita a ciò che è stato appunto definito come il governo della paura.
Questo populismo ha condotto direttamente al diritto penale perché, per alimentarsi e irrobustirsi, ha bisogno del diritto penale. Il diritto penale fornisce infatti l’arma migliore alle sue argomentazioni: nel sottolineare, esasperandole, ansie collettive contro i fenomeni dell’immigrazione e della criminalità, esso si offre come strumento apparentemente a costo zero e dotato della maggiore efficacia in termini di repressione e di sofferenza inflitta al «nemico».
Si tratta certamente di un frutto dei tempi che viviamo e che potremmo denominare come il populismo della democrazia e della libertà di divulgazione del pensiero. Nell’Italia fascista, ai giornali – che comunque erano letti da una porzione assai ridotta della società – veniva imposto di dedicare poco spazio a fatti di criminalità, a causa del timore delle istituzioni che tali notizie potessero alimentare un senso di insicurezza. Al contrario, il regime voleva convincere i consociati che essi vivevano nel migliore dei mondi possibili (da qui origina lo stupido detto che “ai tempi del fascismo si dormiva con le porte di casa aperte”), ove – in una sorta di rinnovato contratto sociale – la loro rinuncia a una parte di libertà era ampiamente compensata attraverso un miglioramento delle condizioni di vita.
Anche per quanto riguarda il populismo può dunque ripetersi il principio che la storia non si ripete: il populismo odierno ha poco in comune con quello del secolo passato. Del resto, forti differenze si rinvengono anche nel corpo sociale.
2.1. Populismo, politica e diritto penale.
«Se le dittature del Novecento proibivano la cronaca nera, le democrazie populiste sembrano averla riscoperta come sorgente di voti. (…) Il dolore crea interesse, l’interesse produce paura e la paura moltiplica i consensi». Così scriveva sul Corriere della Sera del 24 gennaio 2020 un noto e arguto opinionista, Massimo Gramellini, in relazione alla scelta di Matteo Salvini, leader della Lega, di chiudere una campagna elettorale portando sul palco, tra gli altri, la madre di un bambino sequestrato e ucciso nel 2006, allo scopo di protestare contro il permesso-premio concesso dal giudice a una donna condannata a ventiquattro anni di reclusione per il ruolo di carceriera svolto in quel sequestro, che era stata per la prima volta ammessa, dopo tredici anni di detenzione, a uscire temporaneamente dal carcere.
È poi una notizia dell’inizio di maggio 2020 che il Ministro della Giustizia, dopo avere strenuamente difeso l’operato del Direttore del Dipartimento di Amministrazione Penitenziaria contro le roventi accuse di inefficienza legate alla morte di tredici detenuti in occasione delle proteste scoppiate nelle carceri agli inizi dell’attuale pandemia da coronavirus, ha proceduto alla sua sostituzione in conseguenza dei violenti attacchi politici suscitati dalla scarcerazione, con connessi arresti domiciliari, di alcuni importanti esponenti della criminalità organizzata, bisognosi di indifferibili cure rese ancor più necessarie dal rischio di contagio. In sostanza, il “siluramento” del Direttore del D.A.P. è avvenuto come conseguenza non di una gravissima sottovalutazione del problema carcerario in rapporto al Covid-19, dalla quale è derivata la morte di persone che lo Stato aveva preso in cura e si era obbligato a proteggere pur mantenendoli come reclusi, bensì di alcuni provvedimenti di scarcerazione consentiti dalla legge e resi necessari dalle condizioni di salute dei detenuti!
Il programma del populismo, applicato al diritto penale, è molto semplice: severità ed esemplarità delle pene, ripudio delle garanzie processuali in quanto ostacoli alla celerità del procedimento penale, eliminazione dei benefici previsti dall’ordinamento penitenziario perché contrari al principio della certezza della pena. In questo senso deve ritenersi che il diritto penale populistico si attua attraverso la negazione del diritto e la centralità della pena: il diritto, nella sua accezione “liberale” che gli deriva da un’evoluzione iniziata con l’illuminismo, viene negato nel momento in cui è privato dei suoi coessenziali contenuti garantistici, considerati alla stregua di freni alla rapida ed efficiente amministrazione della giustizia; la pena subisce invece una trasformazione mediante l’assunzione di significati esclusivamente afflittivi ed eliminativi (quante volte, dopo efferati fatti di cronaca, i politici di alcuni specifici partiti auspicano che l’autore del reato sia portato in una cella e di questa venga per sempre buttata la chiave della porta!).
Si crea così un vortice repressivo destinato ad autoalimentarsi: nella percezione popolare, alimentata da martellanti slogan politici, le sanzioni appaiono troppo blande, la loro esecuzione risulta eccessivamente mite, il processo è afflitto da un esagerato apparato di garanzie, la discrezionalità giudiziale risulta sempre strumentalizzata in favore degli imputati. Il populismo beve nel calice del diritto penale fino all’ultima goccia: il metodo consiste nell’alimentare le paure – anche creandone di nuove, in realtà inesistenti – e poi mostrare un assoluto rigore nel volerle combattere, attraverso l’ampliamento delle fattispecie incriminatrici e un incessante inasprimento delle pene (con compulsive evocazioni della pena di morte e, per i delinquenti sessuali, della castrazione chimica). Ne deriva un abuso del diritto penale, che si realizza mediante continui appelli alla volontà popolare, presentata come la sola cosa che conti: ignorando qualsiasi valutazione tecnica, anzi ostentando disprezzo per la discussione scientifica, i partiti politici populisti manipolano i sentimenti del popolo e rafforzano il proprio potere.
La recente esperienza della riforma della legittima difesa di cui all’art. 52 cod. pen. dimostra che tutto quanto appartiene alla sicurezza del cittadino contro il crimine è ormai ridotto alla stregua di uno slogan, declinato con varie modalità ma sempre caratterizzato dalla contrapposizione tra una società presuntivamente civile e afflitta da ansie identitarie e un singolo individuo o gruppi di individui per definizione ostili e, conseguentemente, privi di diritti inviolabili. Dalla martellante comunicazione mediatica volta a sottolineare l’intento di rafforzare la protezione dei cittadini, all’interno dei propri domicili, rispetto a una criminalità sempre più aggressiva, non è mai emerso né il dubbio che le finalità di tutela potessero essere perseguite attraverso una più efficace prevenzione, né il timore che un ampliamento del diritto di uccidere, seppure a scopi difensivi, può solo innescare ulteriore violenza e maggiori pericoli per le stesse vittime. Ciò perché il populismo ama i discorsi semplici che, purtroppo, sono quelli destinati a fare più presa sugli ascoltatori.
2.2. Populismo e politica criminale: il reo come nemico.
Il populismo ha necessità di rappresentare il nemico: più la società avverte paura, più essa tende a chiudersi verso l’esterno, più occorre individuare i nemici verso cui canalizzare le ansie collettive.
I destinatari di questo processo sono i nemici della collettività: terroristi, immigrati extracomunitari, autori di reati contro l’integrità sessuale e il patrimonio, spacciatori di sostanze stupefacenti, in una parola coloro che vengono presentati come pericolosi. A causa di una serie di slittamenti del “pensiero”, poi, gli avversari non necessariamente risultano tali in quanto abbiano commesso un reato, essendo sufficiente anche solo il colore della pelle o l’appartenenza a una minoranza etnica a indiziare l’inclinazione a delinquere, sicché il reato commesso risulta per presunzione aggravato.
Questa ottusa ansia punitiva non ha una precisa caratterizzazione ideologica e neppure un preciso colore politico: se la storia induce a pensare che un siffatto movimento anticulturale sia appannaggio di un’estrema destra fondata sui valori dell’ordine e della legalità, l’esperienza italiana dimostra come l’elettorato della Lega sia costituito da piccoli e medi imprenditori come pure da persone che un tempo sarebbero state ascritte al proletariato e alla piccola e medio-piccola borghesia, semplicemente intimidite da una criminalità diffusa e disilluse da una politica litigiosa e inconcludente e per questo favorevoli – nonostante il recente passato – al mito dell’“uomo forte”.
D’altra parte, un’analoga ansia punitiva, estesa ai titolari di supposti privilegi e al fenomeno corruttivo – inteso come simbolo del degrado del potere e della politica –, caratterizza movimenti libertari fondati su valori anti-sistema, vagamente tendenti verso l’abbattimento delle garanzie individuali all’interno di una conclamata sfiducia nelle istituzioni. La triste storia della riforma della prescrizione in Italia – triste nell’esito, ma soprattutto nell’estrema povertà del dibattito parlamentare che l’ha accompagnata – fornisce un’eloquente dimostrazione della formazione di una società del conflitto che è anche società del rancore, da parte di chi considera fermo l’ascensore sociale e (ovviamente al di là dei propri meriti e delle legittime aspirazioni) soffre la chiusura delle porte della carriera. Con una singolare peculiarità, tuttavia, sulla disomogenea distribuzione di questo rancore, che trascura categorie di rei come gli evasori fiscali e la più ampia parte degli autori di illeciti economici, ai quali offre un generoso riparo – salvo i casi di frodi e bancarotte di rilevanti dimensioni e con un elevato numero di vittime – il loro ruolo sociale.
La verità emersa negli ultimi anni è dunque che, indipendentemente dall’ideologia storica di partenza – tendenze indipendentistiche di alcune regioni dell’Italia settentrionale o generalizzato rifiuto di una classe politica divenuta autoreferenziale –, dalla collettività sono emersi confusi atteggiamenti di rifiuto della politica tradizionale e di insicurezza e timore del futuro, presto intercettati da alcuni partiti che hanno così ampliato la propria base elettorale attraverso la promessa di una palingenesi sociale principalmente incentrata sulla sanzione penale e la promozione del benessere individuale mediante la promessa di una liberazione dalle angosce esistenziali.
La logica, dunque, è quella del conflitto e, come hanno dimostrato i fatti, il conflitto ha prodotto consenso. Il timore che un progressivo imbarbarimento collettivo possa corrodere i fondamenti sociali è irrilevante, trattandosi di un effetto a lungo termine, che come tale risulta estraneo all’orizzonte del politicante odierno.
2.3. Populismo e politica criminale: le scelte di incriminazione.
In un recente passato i partiti politici modellavano il loro programma di azione alla luce di specifiche visioni della società, preventivamente dichiarando i criteri di gestione della res publica e su queste basi si orientava il voto degli elettori: la politica costituiva il luogo di un dibattito aperto ma tendenzialmente vincolato dalle ideologie di ciascun partito. I concetti di destra, centro e sinistra, con i loro rispettivi estremismi, appartenevano a questo mondo.
Oggi il rapporto appare ribaltato: quasi per ogni problema sociale gli atteggiamenti e le soluzioni adottate dai partiti vengono di volta in volta stabilite in funzione delle verosimili successive reazioni del corpo elettorale. Ne deriva una sorta di permanente consultazione che è agli antipodi di un serio programma politico di lungo termine.
In questa prospettiva si giustifica la situazione di stallo del nostro Parlamento rispetto ai problemi più delicati per il loro carico ideologico o per le loro conseguenze operative. Due esempi a questo proposito sono eloquenti.
Il primo è offerto dal delitto di false comunicazioni sociali, che una riforma introdotta con il d.lgs. 11 aprile 2002, n. 61, modificò in modo da renderlo pressoché inapplicabile, al fine – ovviamente non dichiarato – di chiudere con la formula «il fatto non è più preveduto dalla legge come reato» le pendenze processuali di importanti esponenti del partito allora al Governo: ebbene, nonostante l’assoluta irrazionalità di quella disciplina e la successione di sette governi di diverso colore politico, solo la legge 27 maggio 2015, n. 69, ha provveduto a rimediare attraverso una nuova riforma. L’esperienza parrebbe significare che, anche per i governi che un tempo si sarebbero detti di sinistra o di centrosinistra, il privilegio accordato nel 2002 alla classe imprenditoriale non appariva una nota ideologicamente stonata e neppure produttiva di negative conseguenze politiche.
Il secondo esempio concerne la vicenda del delitto di aiuto al suicidio di cui all’art. 580 cod. pen., la cui ritenuta parziale incostituzionalità ha indotto la Corte costituzionale a pronunciare l’ordinanza 24 ottobre 2018, n. 207, con cui rinviava la prosecuzione del procedimento al 24 settembre 2019, così da consentire al legislatore ordinario, «in uno spirito di leale e dialettica collaborazione istituzionale», di riformulare l’incriminazione in conformità alle direttive indicate dalla Corte stessa. Ebbene: dinanzi all’alternativa se farsi alfieri delle soluzioni prospettate dalla Corte o invece mantenere la norma vigente a tutela delle rigide posizioni assunte negli ambienti cattolici, nessuno tra i maggiori partiti si è seriamente impegnato per la riforma dell’art. 580 cod. pen., ovviamente temendo che una battaglia “divisiva”, in nome della laicità e della libertà di scelte coscienziali assunte in casi estremi, si sarebbe potuta tradurre in una penalizzazione da parte del corpo elettorale. Il risultato, non certo onorevole per il Parlamento, è stato dunque che la Corte costituzionale il 25 settembre 2019 ha emesso una sentenza dichiarativa dell’illegittimità, in particolari situazioni, del reato di aiuto al suicidio. Più in generale, questa vicenda dimostra come il delicato e complesso settore del biodiritto in materia penale non sia più né di destra né di sinistra e che tutti i partiti indistintamente blandiscono la Chiesa cattolica a causa dell’influenza da essa ancora esercitata sul popolo italiano (il discorso meriterebbe ben altri approfondimenti: in tempi in cui le ideologie costituivano ancora valori tendenzialmente vincolanti, prima la Corte costituzionale e poi il Parlamento hanno soppresso il delitto di vilipendio della religione dello Stato ed equiparato la tutela della religione cattolica e di ogni altra confessione religiosa, mentre ora il segretario della Lega compare in pubblico impugnando e ostentando rosari e crocefissi come simboli, più che religiosi, identitari).
3. Diritto penale e consenso sociale.
Occorre però considerare l’altra faccia della medaglia, concernente la necessità di legittimazione del diritto penale.
Vi fu un tempo in cui il diritto penale si autolegittimava come mera manifestazione del potere da parte del suo detentore. Il diritto penale promanava dal monarca così come la moneta e ogni altro segno esteriore riconducibile all’autorità, ivi compresa la giurisdizione: il giudice corrotto o disonesto, prima ancora di danneggiare il suddito, recava offesa a colui che, immettendolo nella funzione, gli aveva attribuito funzioni originariamente sue, allo stesso modo in cui il falso nummario recava offesa, prima ancora che al privato che avesse ricevuto la moneta falsa, a colui nel cui nome quella moneta era stata coniata. In un siffatto contesto, il diritto penale non aveva necessità di ricercare una legittimazione esterna.
Trascurando i tempi in cui la legittimazione della legge venne legata alla divinità – che comunque, avendo conferito il potere al monarca, lo aveva così riconosciuto e consacrato –, solo con l’illuminismo si affaccia l’idea della ricerca di un referente “terreno”, di volta in volta individuato nel contrattualismo e nell’utilitarismo, nelle leggi della natura e in quelle della ragione. Oggi il fondamento del diritto penale trae vita dall’ordinamento democratico nel complesso delle regole dettate dalla Costituzione e risiede in questo indissolubile collegamento tra le scelte di incriminazione e i valori costituzionalmente riconosciuti. Solo così, d’altra parte, si comprende il significato dell’art. 101 Cost., il cui comma 1 evoca il popolo come termine di riferimento dell’esercizio della giurisdizione («La giustizia è amministrata in nome del popolo»), mentre il comma 2 sancisce che i giudici sono soggetti non a un’ondivaga e indecifrabile volontà del popolo, bensì «soltanto alla legge». Questo è appunto il nucleo della legalità democratica, dal quale si desume che la giustizia è regolata attraverso leggi che esprimono la volontà del popolo, la quale assume rilievo solo in quanto si traduca in leggi.
La Costituzione italiana offre però per il diritto penale indicazioni ancora più penetranti. L’art. 27 commi 1 e 3 prescrive infatti la personalità della responsabilità penale e la funzione rieducativa delle pene: su entrambi i precetti, il primo inteso a sancire la rimproverabilità del fatto al suo autore e il secondo a finalizzare la sanzione penale nel segno della risocializzazione, campeggia il consenso sociale come segno di una coesione della collettività nel processo di stigmatizzazione, punizione e recupero dell’individuo.
Qui la riflessione si addentra su terreni assai complessi che è possibile solo accennare. Il consenso sociale appena menzionato dovrebbe essere inteso come un equivalente dell’ordine democratico consacrato dalla Costituzione: la quale fissa un quadro di regole destinate a filtrare le scelte del Parlamento in materia penale, sia nei valori di riferimento assunti che nei contenuti. Al tempo stesso va però sottolineata la natura illusoria – ma sarebbe probabilmente meglio dire utopistica – di questo consenso: nella società ottocentesca e della prima metà del novecento il consenso che fondava il diritto penale era limitato alle classi più elevate e solo in questa limitata prospettiva si poteva parlare di una società culturalmente omogenea, che esprimeva scelte di criminalizzazione funzionali ai propri interessi, spacciati come interessi collettivi. Nella consapevolezza, dunque, che il c.d. minimo etico era il comune denominatore solo di una porzione della società.
La democrazia e la crescente complessità sociale hanno portato alla luce la disomogeneità culturale ed economica che caratterizza la popolazione e il processo di lenta disgregazione di numerosi valori può essere osservato proprio attraverso gli interventi del Parlamento e della Corte costituzionale sul testo del codice penale. In questa mutata prospettiva, il diritto penale è divenuto luogo di rielaborazione dei conflitti, ovviamente mantenendo il suo intrinseco e ineliminabile carattere autoritario.
La visione del diritto penale come luogo di rielaborazione dei conflitti – con il suo carico di razionalità e, potrebbe aggiungersi, di tolleranza e rispetto delle minoranze – appartiene ormai al bagaglio delle utopie? In realtà, il populismo mira alla creazione di consenso e il consenso produce ulteriore consenso, sempre più abbassando l’asticella dei limiti costituzionali e attizzando il fuoco della conflittualità. Ecco così che il populismo si avvicina alla teoria del consenso e pericolosamente si veste dei panni della democrazia.
4. Consenso sociale e populismo rispetto al diritto penale.
A questo punto della riflessione insorge la tentazione di schematizzare brevemente, sotto il profilo penale, le differenze fra la teoria del consenso sociale e il populismo.
Anzitutto, può ritenersi che il consenso sociale appartiene al mondo ideale di una giustizia penale amministrata nel segno della coesione fra i consociati e della solidarietà, mentre il populismo caratterizza invece il mondo reale nella sua complessità. Entrambe le rappresentazioni sono viziate da parzialità: il consenso sociale di una democrazia rappresentativa rinvia sempre a una volontà della maggioranza, quale che essa sia e comunque essa si sia costituita; il populismo, alla stregua di quanto rilevato in precedenza, è alimentato da una continua manipolazione della collettività o di una sua parte.
Sul piano del metodo, inoltre, la teoria del consenso mira alla mediazione e all’inclusione, mentre il populismo evoca il conflitto e rafforza l’emarginazione. Questa distinzione coglie indubbiamente nel vero soprattutto rispetto al populismo, che anzi rinviene la sua ragion d’essere proprio nella logica del conflitto.
Infine, la teoria del consenso sociale si riflette maggiormente sulla fase della criminalizzazione primaria, rimanendo tendenzialmente estranea alla fase della criminalizzazione secondaria, cioè della persecuzione giudiziale, e a quella dell’esecuzione, che trovano la propria disciplina in regole oggettive – fissate dalla legge nel rispetto dei vincoli costituzionali – che affidano al giudice il compito di accertare la responsabilità di un imputato considerato come persona, e non come rappresentante di una devianza combattuta dalla legge, e obbligano lo Stato a garantire un’esecuzione della pena conforme a logiche risocializzatrici e riconciliative. Questa ripartizione non è invece possibile nell’ottica populistica, che al contrario impregna di sé tutte e tre le fasi, a ciascuna di esse imprimendo il suo contenuto.
Cosa resta al fondo di questa schematizzazione? La sensazione è che la teoria del consenso sociale appartiene al mondo della razionalità e della democrazia, mentre il populismo, nelle sue radici più profonde, ha molto a che spartire con la psicanalisi dell’inconscio e la psicologia sociale.
5. Conclusioni.
Potremmo sintetizzare le brevi considerazioni svolte affermando che il populismo è per sua natura antiscientifico, in quanto alimentato esclusivamente dagli umori e dagli istinti della massa; è conflittuale, perché vive di contrapposizioni tra una comunità e i suoi nemici interni ed esterni; è ondivago, giacché l’assenza di contenuti vincolanti e di valori di riferimento consente continui mutamenti di opinioni e convinzioni; è semplificativo all’estremo, poiché si fonda su postulati elementari e indimostrati, che devono restare tali perché altrimenti si esporrebbero all’accusa di intellettualismo.
Accingendoci a concludere questo scritto, ci rendiamo improvvisamente conto che tutto quanto è stato finora descritto risulta esasperato dalla pandemia in corso, che ha segnato il tramonto di ogni verità condivisa, ha cagionato la moltiplicazione dei più vari sospetti (sulle origini del virus, sulla volontarietà della sua diffusione, sulle manovre speculative compiute su mascherine e guanti e così via), ha rivelato la confusione dei governi sulle terapie praticabili e, a seguire, ha provocato le accuse contro le istituzioni e contro i c.d. esperti. Il “fai da te” ha invaso anche i settori più tecnici e ciascuno è divenuto portatore di una propria teoria.
Non è colpa del popolo, sia chiaro: allargando la visuale al piano internazionale, dai politici che nelle fasi iniziali hanno ostinatamente negato l’esistenza del problema, fino ai mass media che hanno dato voce e credito anche alle più incredibili sciocchezze, le maggiori responsabilità ricadono su coloro che, avendo avuto un ruolo pubblico, non lo hanno gestito nell’interesse pubblico. Concludendo con queste parole, però, mi accorgo della difficoltà di definire cosa sia oggi il pubblico interesse.
Per installare questa Web App sul tuo iPhone/iPad premi l'icona.
E poi Aggiungi alla schermata principale.
Lettori: 3177249
GIUSTIZIA INSIEME