Normative europee

Trattamento dei dati nell’emergenza, sulla geolocalizzazione pareri discordi

Il Comitato europeo per la privacy ritiene giustificato l’uso di tecniche di geolocalizzazione per far fronte alla pandemia da Covid-19. Il garante Antonello Soro è contrario all’utilizzo di tecniche di controllo massive e richiama la necessità che qualsiasi scelta, anche sull’uso di strumenti tecnologici, dovrà essere tradotta in norme precedute da un’attenta analisi di costi e benefici rispetto agli obiettivi del contesto emergenziale

23 Mar 2020

Valentina Longo

Avvocato, consulente privacy aziende e P.A.

Il 16 marzo 2020 il Comitato europeo per la privacy ha rilasciato una dichiarazione in base alla quale l’uso di tecniche di geolocalizzazione per far fronte alla pandemia da Covid-19 in questo periodo emergenziale è giustificato. Il trattamento delle informazioni, sottolinea il Comitato, può avvenire in base a una previsione normativa che privilegi l’uso di dati anonimi e solo in caso di necessità e per il tempo strettamente necessario, l’uso di dati personali. Particolare attenzione dovrà essere prestata anche all’informativa nei confronti dei soggetti interessati.

Uso di dati da geolocalizzazione, i precedenti

Nel nostro Paese l’emergenza pandemica da Coronavirus può giustificare un controllo sociale sul modello coreano e cinese? La questione in realtà investe l’insieme dei paesi aderenti all’Unione europea, si tratta di valutare l’impatto di alcune scelte politiche per valutare l’aderenza delle stesse all’impianto legislativo comunitario e dei diversi Stati membri.

Si tratta di comprendere se sia possibile imporre ai cittadini l’installazione sui propri smartphone di applicazioni che consentano di identificare la posizione fisica e attuale di una persona ottenendo dati GPS (geotracking) dai propri apparecchi. Gli spostamenti degli utenti sono identificabili attraverso le celle telefoniche; in caso di eventi quali lo tsunami del 2004 il Garante non ha esitato ad autorizzare l’uso dei dati di traffico per rintracciare i cittadini italiani che in base ai dati della Farnesina risultavano nei luoghi del disastro. Senza andare troppo indietro nel tempo, anche in occasione dei terremoti dell’Aquila e di Amatrice è stato autorizzato l’uso di tali informazioni.

Quando l’uso di tecniche di geolocalizzazione è consentito

In questi giorni si è discute se le tecniche di geolocalizzazione possano essere utilizzate per accertare la violazione delle restrizioni previste dai provvedimenti emergenziali adottati e per garantire la salute, diritto fondamentale, bene pubblico e bene comune.

L’art.9 del Reg.(UE) 2016/79 consente il trattamento dei dati relativi alla salute qualora sia necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione e degli Stati membri, richiama il principio di proporzionalità, il rispetto dell’essenza del diritto alla protezione dei dati e la previsione di misure appropriate per la tutela dei diritti fondamentali degli interessati; viene inoltre espressamente richiamata la possibilità che il trattamento sia giustificato da “motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria”.

Una corretta base giuridica per il trattamento di dati sensibili in contesto emergenziale

La questione oggi, senza troppe esitazioni, è quella di individuare una corretta base giuridica che consenta il trattamento di dati tanto sensibili (particolari), in un contesto emergenziale che richiede rapidità di scelte.

Il confronto tra giuristi è iniziato: c’è chi, come l’avvocato Luca Bolognini, ravvede la possibilità di utilizzare i dati di traffico (art. 132 del Codice privacy) in un’ordinanza della Protezione civile (art.25 del Codice della Protezione civile), ma tale possibilità dovrebbe essere prevista dall’art. 14 del D.L 14/2020, in tal caso, sostiene il collega, la norma emergenziale prevarrebbe sulla citata norma speciale del Codice (fonte: Il Fatto Quotidiano).

Di parere diverso è l’avvocato Stefano Aterno il quale sottolinea che il D.L del 9 marzo non menziona l’uso dei dati di traffico, previsto dalla norma del Codice, di cui sottolinea il carattere speciale, prevalente e non derogabile. L’avvocato Aterno sostiene inoltre che il ricorso ai dati di traffico sia una misura non proporzionata e suggerisce la possibilità di utilizzare le liste dei passeggeri. Ci sarebbe infine il problema dell’incertezza tra l’intestatario dell’utenza e l’effettivo utilizzatore, senza escludere, si aggiunge, la possibilità che chi decide di infrangere le regole potrebbe rinunciare, in cambio della sua libertà, al proprio arto tecnologico, lasciandolo presso il proprio domicilio.

WHITEPAPER
Chief operating officer: come bilanciare sicurezza informatica e responsabilità operative
Sicurezza
Cybersecurity

Infine, l’avvocato Francesco Micozzi (riportato da “Il Giornale”) ricorda l’importanza di assicurare che il trattamento dei dati relativi alla salute sia effettuato da soggetti istituzionalmente deputati alla gestione dell’emergenza, l’importanza che i dati relativi allo stato di salute non vengano in alcun modo diffusi e che in seguito venga garantita la distruzione degli stessi.

Il Garante, nell’esprimere il proprio parere favorevole all’Ordinanza della Protezione civile del 3 febbraio scorso, ha consentito lo scambio di dati personali tra gli addetti ai lavori, ha confermato l’esigenza che i trattamenti di dati personali siano effettuati nel rispetto dei principi di cui all’art. 5 del Regolamento (UE) 2016/679, e ha inoltre affermato che nel contesto dell’emergenza, occorre contemperare la funzione di soccorso con quella afferente la salvaguardia della riservatezza degli interessati. Ha poi evidenziato “la necessità che, alla scadenza del termine dello stato di emergenza, siano adottate da parte di tutte le Amministrazioni coinvolte negli interventi di protezione civile di cui all’ordinanza, misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali in capo a tali soggetti.

Il 17 marzo, Antonello Soro, nelle sue dichiarazioni, pur confermando la propria contrarietà all’utilizzo di tecniche di controllo massive, ha richiamato la necessità che qualsiasi scelta, anche rispetto all’uso di strumenti tecnologici, dovrà essere tradotta in norme che siano precedute da un’attenta analisi di costi e benefici rispetto agli obiettivi propri del contesto emergenziale.

Utilizzo di tecnologie nel rispetto del principio privacy by design

Alcuni autori hanno evidenziato l’opportunità che la tecnologia potesse venire in supporto della popolazione, consentendo ad esempio la compilazione di moduli di autocertificazione in modalità digitale. È stata anticipata la necessità che la Protezione civile venisse affiancata da una task force privacy, di esperti tecnici informatici e giuristi, che potessero suggerire l’utilizzo di tecnologie all’avanguardia nel rispetto del principio del privacy by design e l’implementazione di procedure di trattamento rispettose della riservatezza dei soggetti interessati.

In questo senso è intervenuto il D.L n.18 del 17/03/2020, n. 18 che all’art.76 ha previsto l’istituzione di un Gruppo di supporto digitale alla Presidenza del Consiglio dei Ministri per l’attuazione delle misure di contrasto all’emergenza COVID-19, che sarà in forza fino al 31 dicembre 2020.

Nei mesi scorsi era stato presentato il sistema ITalert della Protezione civile, la cui operatività era prevista entro luglio 2020, fatalità proprio alla scadenza prevista per l’attuale periodo emergenziale. Consultando la presentazione si può immaginare che alcune funzionalità del sistema potranno utilmente e più celermente essere messe al servizio dell’emergenza in corso.

I modelli cinese e coreano contrari alle norme europee sulla privacy

La natura distopica del modello di “Social scoring di Stato, avviato in Cina ben prima del manifestarsi della pandemia è incontestabile. Il modello è contrario a tutti i principi portanti del Regolamento europeo (Reg. 2016/679, di seguito “GDPR”), gli osservatori occidentali sono consapevoli che in questi mesi i cinesi stanno continuando ad alimentare un’infinita raccolta di dati e che queste informazioni rimarranno patrimonio delle autorità cinesi anche quando l’emergenza sarà finita.

A prescindere dal giudizio circa l’imposizione di sistemi così autoritari e invasivi nei paesi asiatici – uso massiccio di tecnologie di controllo (app, droni, telecamere), anche in Corea sono state messe in atto misure simili – tale imposizione è assai lontana dal nostro modello culturale e democratico.

Oggi abbiamo tutti sotto gli occhi un’esperienza di graduale successo nella lotta contro il Coronavirus. Nell’attuale fase emergenziale, per quanto compatibile con il nostro contesto giuridico e quindi con la piena garanzia del rispetto della normativa vigente, le sperimentazioni cinese e coreana, è ormai chiaro, potrebbero essere di grande supporto anche per l’Italia.

Il complesso delle informazioni raccolte nei paesi asiatici in questi giorni è stato al servizio delle autorità non solo per finalità repressive, il sofisticato e capillare screening della popolazione è stato funzionale anche e soprattutto all’individuazione e al contenimento di nuovi focolai.

“Il sistema cinese è basato su un forte consenso sociale, le misure contenitive sono state percepite come “people oriented”, i politici stanno dimostrando di essere in grado di rispondere all’emergenza e la popolazione ha condiviso le proprie informazioni perché ha paura della pandemiaimparando da questa esperienza – prosegue il professor Massimo Parenti, attualmente Foreign Associate Professor at China Foreign Affairs University, CFAU, Beijing- “anche noi, dovremmo essere solidali e cooperativi per una sfida comune” (intervista rilasciata al programma “Omnibus”, La7).

La sfida è che le istituzioni siano nelle condizioni di trovare il migliore equilibrio tra l’urgenza di affrontare il Coronavirus e la necessità di mettere al servizio di questo obiettivo anche parte della nostra riservatezza, fino e non oltre il perdurare dell’emergenza. Sistemi privacy by design dovrebbero assicurarci in merito al rispetto dei principii di cui all’art.5, tra i quali, la limitazione, nel tempo e nelle modalità del trattamento delle informazioni personali, a quanto necessario rispetto alle finalità da perseguire.

La base giuridica attraverso il consenso: l’attivismo digitale

La base giuridica del trattamento, infine, potrebbe comunque essere il consenso al trattamento dei dati personali da parte dell’interessato, è quanto suggerito dalla professoressa Flavia Marzano (Link Campus University): “la mia posizione sulla privacy è: se il Governo mi traccia e gestisce i miei dati in maniera anonima non mi preoccupo affatto, non ho nulla da nascondere e aggiungo: se davvero vogliamo tutti dare una mano, oggi possiamo, donando i nostri dati. La condivisione dei dati sanitari e la geolocalizzazione con app può aiutare a tracciare il percorso delle persone infette e di tutti i soggetti venuti in contatto con il virus. L’aiuto più grande che tutti possiamo dare in questa emergenza è quello di mettere a disposizione i nostri dati”. Un’iniziativa di attivismo digitale da condividere.

Per firmare la petizione.

On demand
Il racconto di Carlo Cottarelli e Brunello Cucinelli. Rivivi il Think Digital Summit
Cloud
Risorse Umane/Organizzazione

L
Valentina Longo
Avvocato, consulente privacy aziende e P.A.

Articolo 1 di 5