Contenimento del contagio e tutela dei dati personali

Il Comitato Europeo dichiara “Il GDPR non ostacola l’adozione di misure per il contrasto della pandemia di coronavirus”

Un tema sempre più attuale e legato all’attivazione di tutte le misure possibili per il contenimento del contagio è quello nodale del trattamento dei dati personali nel contesto dell’epidemia di Covid-19.

Il “modello coreano” e la preoccupazione per la violazione delle libertà fondamentali

Sentiamo spesso parlare del cosiddetto “modello coreano” per indicare la forma stringente di “sorveglianza digitale” adottata dal Governo di Seul – ma anche da Israele – che, avvalendosi anche di una specifica app, consente di accedere a tutta una serie di informazioni sugli spostamenti e sui movimenti delle persone, per assicurare il rispetto della quarantena e monitorare gli eventuali incontri avuti tra i cittadini. 

La (legittima e comprensibile) preoccupazione sollevata da più parti è che l’attuazione di analoghe misure anche nel nostro Paese in questa occasione emergenziale apra una strada senza ritorno verso la possibilità di un costante contact tracing da parte di soggetti pubblici e/o privati. Una violazione, insomma, di quelle fondamentali libertà personali sancite dalla nostra Costituzione.

L’invito del MID: proponeteci strumenti e dispositivi per monitorare, prevenire e controllare il contagio

Lo scorso 20 marzo il Ministero per l’Innovazione tecnologica e la Digitalizzazione (MID) ha lanciato un invito ad aziende, università, enti e centri di ricerca pubblici e privati, associazioni, cooperative, consorzi, fondazioni e istituti, affinché contribuiscano alla realizzazione di dispositivi e tecnologie utili al monitoraggio e al contenimento del virus.

Tra questi rientrano – chiarisce il Ministero – anche strumenti che, nel rispetto della normativa vigente, consentano o facilitino il monitoraggio, la prevenzione e il controllo del Covid-19. Più specificatamente, il riferimento è sia a tecnologie e strumenti per il monitoraggio, la localizzazione e la gestione dell’emergenza sia a tecnologie innovative per la prevenzione e il controllo della diffusione del Covid-19 nelle sue diverse forme.

Cosa dichiara il Comitato Europeo per la protezione dei dati

Nel frattempo, lo scorso 19 marzo il Comitato Europeo per la protezione dei dati – presieduto da Andrea Jelinek – ha adottato una dichiarazione nella quale ribadisce che il GDPR non ostacola l’adozione di misure per il contrasto della pandemia di coronavirus. 

Fermo restando l’obiettivo di garantire la protezione dei dati personali degli interessati da parte di titolari e responsabili, afferma il Comitato che “La lotta contro le malattie trasmissibili è un importante obiettivo condiviso da tutte le nazioni e, pertanto, dovrebbe essere sostenuta nel miglior modo possibile. È nell’interesse dell’umanità arginare la diffusione delle malattie e utilizzare tecniche moderne nella lotta contro i flagelli che colpiscono gran parte del mondo”. Seppure l’emergenza configura una condizione giuridica che può legittimare limitazioni delle libertà, è fondamentale tenere presente che qualsiasi misura adottata in tale contesto non può essere irrevocabile e deve essere proporzionata e confinata al periodo emergenziale.   

Con particolare riferimento al trattamento dei dati delle telecomunicazioni (ad esempio quelli relativi all’ubicazione), il Comitato evidenzia che possono essere utilizzati dall’operatore solo se resi anonimi o con il consenso dei singoli. 

Ma contestualmente rammenta che “l’articolo 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica. Tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all’interno di una società democratica. Tali misure devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Inoltre, esse sono soggette al controllo giurisdizionale della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo. In presenza di situazioni di emergenza, le misure in questione devono essere rigorosamente limitate alla durata dell’emergenza”.

Alla domanda se i governi degli Stati membri possano utilizzare i dati personali relativi ai telefoni cellulari dei singoli nell’intento di monitorare, contenere o attenuare la diffusione del COVID-19, il Comitato risponde testualmente 

“In alcuni Stati membri i governi prevedono di utilizzare i dati di localizzazione da dispositivi mobili per monitorare, contenere o attenuare la diffusione del COVID-19. Ciò implicherebbe, ad esempio, la possibilità di geolocalizzare le persone o di inviare messaggi di sanità pubblica ai soggetti che si trovano in una determinata area, via telefono o SMS. Le autorità pubbliche dovrebbero innanzitutto cercare di trattare i dati relativi all’ubicazione in modo anonimo (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi  sulla concentrazione di dispositivi mobili in un determinato luogo (“cartografia”).

Le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati.

Quando non è possibile elaborare solo dati anonimi, la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15).

Qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l’obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale.Si applica anche il principio di proporzionalità. Si dovrebbero sempre privilegiare le soluzioni meno intrusive, tenuto conto dell’obiettivo specifico da raggiungere. Misure invasive come il “tracciamento” (ossia il trattamento di dati storici di localizzazione in forma non anonimizzata) possono essere considerate proporzionate in circostanze eccezionali e in funzione delle modalità concrete del trattamento. Tuttavia, tali misure dovrebbero essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità)”.

Antonello Soro: le deroghe non devono diventare un punto di non ritorno

Sulla stessa linea le dichiarazioni di Antonello Soro, il Garante italiano per la Privacy, che ha creato un team dedicato allo studio ed alla valutazione di ipotesi in grado di conciliare l’esigenza di contenere il contagio e la tutela dei dati personali dei cittadini. In una serie di interviste rilasciate ai principali media nazionali e disponibili sul sito dell’Authority, Soro ribadisce che  l’attuazione della misura del contact tracing necessita di uno specifico decreto legge nel quale sia determinata la durata strettamente collegata al perdurare dell’emergenza, con una scadenza definita in partenza. Proporzionalità, lungimiranza, ragionevolezza e temporaneità sono i principi che debbono orientare degli interventi “senza scambiare per efficienza la rinuncia a ogni libertà e la delega cieca all’algoritmo per la soluzione salvifica”. 

Le deroghe, dunque, non devono diventare un punto di non ritorno – sottolinea Soro – e soprattutto è indispensabile che il governo delle operazioni sia unitario e centralizzato, senza lasciare spazio alle iniziative estemporanee a livello locale. Secondo il Garante per la Privacy, la gestione del contact tracing digitale potrebbe essere affidato alla Protezione Civile, coadiuvata da un team di esperti, per decisione del Governo e sotto la supervisione di una Autorità pubblica, dotata delle giuste competenze.