La valutazione del rischio nelle situazioni di emergenza

L’analisi del rischio deve essere eseguita anche nei possibili impatti futuri sui diritti e le libertà delle persone, così come universalmente riconosciuti

24 Mar 2020

Francesco Maldera

Data protection officer

La diffusione della malattia denominata dall’Organizzazione Mondiale della Sanità come Covid‑19 e indotta dal virus identificato come Sars‑CoV‑2 sta mettendo a dura prova gli esperti di tutto il mondo.

I team che si stanno occupando dell’emergenza, però, spesso non sono multidisciplinari, quindi rischiano di non analizzare il fenomeno con il dovuto approccio olistico e, soprattutto, guardando ai rischi di lungo periodo.

Tre documenti fondamentali per i diritti civili

Si susseguono quindi gli interventi, per lo più di contenimento, che tendono a ridurre la diffusione del virus sospendendo, di fatto, alcuni diritti fondamentali di ogni uomo che, ricordiamo, sono scritti:

L’ordine di questi tre documenti non è casuale ma deriva dall’ampiezza decrescente della validità territoriale dei rispettivi contenuti. Si parte, quindi, dalla Dichiarazione Universale che riguarda la maggior parte dei paesi aderenti all’ONU (non tutti) fino ad arrivare alla Carta di Nizza alla quale, invece, aderiscono solo i paesi UE.

In ogni caso, in tutti questi documenti vengono dichiarati alcuni diritti e libertà inviolabili dell’uomo:

  • diritto alla vita (art. 3 UDHR, art. 2 ECHR, art. 2 Carta di Nizza);
  • diritto alla libertà (art. 3 UDHR, art. 5 ECHR, art. 6 Carta di Nizza);
  • diritto al rispetto della vita privata (art. 12 UDHR, art. 8 ECHR, art. 7 Carta di Nizza);
  • diritto alla libertà di movimento (art. 13 UDHR, art. 2 del protocollo addizionale di Strasburgo all’ECHR del 16 settembre 1963, art. 45 Carta di Nizza);
  • libertà di espressione (art. 19 UDHR, art. 10 ECHR, art. 11 Carta di Nizza).

In ognuna di queste convenzioni, ovviamente, è presente una clausola derogatoria connessa a situazioni di pericolo che minaccino la vita di una nazione (p.e. art. 15 UDHR). Tuttavia, ciascuno degli interventi individuati per far fronte all’emergenza richiede un attento bilanciamento tra i rischi immediati e la proiezione nel tempo delle salvaguardie dei diritti e delle libertà dell’uomo.

Conviene, dunque, riflettere su alcuni interventi attuati nel mondo e in Italia che, nel sospendere temporaneamente alcuni diritti dell’individuo, rischiano di minarli nel lungo periodo.

Come la Corea del Sud ha affrontato l’emergenza limitando i diritti dei cittadini

La Repubblica di Corea (la Corea del Sud), è la quarta potenza economica dell’area asiatica, fa parte del G20 ed è stata uno dei paesi più colpiti dalla diffusione della COVID‑19. Nel rapporto annuale 2017‑2018 Amnesty International ha espresso alcune riserve sul rispetto, da parte di questo paese ad assetto democratico, dei diritti e delle libertà previste dall’UDHR. Tuttavia, la Corea del Sud, con riguardo alla protezione dei dati personali, si è dotata di una legislazione mediamente solida e molto simile al nostro GDPR (ma evidentemente non ancora sufficiente ad assumere una decisione di adeguatezza da parte della Commissione Europea); già dal 2011, tuttavia, è in vigore il Personal Information Protection Act che disciplina il diritto alla protezione dei dati personali con la finalità di garantire i diritti e gli interessi delle persone fisiche.

La Corea del Sud, a fronte dell’emergenza causata dalla diffusione del virus, ha introdotto alcune misure che si sono rivelate vincenti per il contenimento della malattia:

  1. impiego massivo di messaggi sugli smartphone (utilizzando sms e altri sistemi di messaggistica) per invitare la popolazione a ridurre gli spostamenti; sono trattati, quindi, i numeri di telefono dei singoli individui per scopi differenti da quelli previsti per le normali comunicazioni; la base giuridica del trattamento si rinviene nell’art. 15 del Personal Information Protection Act (primo paragrafo, numero 5) “Where it deems necessary explicitly for the protection, from impending danger, of life, body or economic profits of the data subject or a third party” e riguarda tanto il trattamento da parte del titolare privato quanto, a maggior ragione, da parte delle autorità pubbliche;
  2. monitoraggio dello spostamento dei soggetti attraverso le tracce contenute nei sistemi di comunicazione cellulari (il tracciamento tramite le celle cui si agganciano i telefonini); questo tipo di trattamento di dati personali, sebbene abbia la stessa base giuridica del precedente, appare un po’ più invasivo e sembra fosse finalizzato a comprendere in quali zone fossero transitati i soggetti positivi al Sars‑CoV‑2 e, quindi, ad avviare le corrispondenti misure di contenimento;
  3. monitoraggio dello spostamento dei soggetti attraverso i sistemi di videosorveglianza installati dall’autorità pubblica centrale o locale; anche in questo caso, l’autorità pubblica basa il trattamento di questi dati personali sull’art. 15 che supera le limitazioni, proprie dei sistemi di videosorveglianza imposte dal successivo art. 25; peraltro, nel caso specifico è probabile che siano stati utilizzati sistemi evoluti, sempre allo scopo di tracciare gli spostamenti dei soggetti contagiati, per il riconoscimento facciale e, quindi, per il trattamento di dati biometrici, peraltro non esplicitamente disciplinati dalla normativa coreana.
360digitalskill
Diventa un leader digitale: crea il percorso per te e il tuo team
Risorse Umane/Organizzazione
Smart working

Tutti questi interventi richiedono, quindi, un trattamento di dati personali che, sebbene effettuato lecitamente, potrebbe essere stato messo in atto, data la concitazione del momento, senza un’attenta valutazione del rischio futuro e senza le corrispondenti misure di sicurezza (luoghi e mezzi di conservazione, soggetti autorizzati al trattamento, anonimizzazione, pseudonimizzazione, cancellazione, ecc.) che assicurino, nel tempo, i diritti e le libertà delle persone.

Il caso Italia e i rischi dello smart working

In Italia, quale intervento per il contenimento del virus, è stato progressivamente reso più accessibile il ricorso al lavoro agile da parte di datori di lavoro pubblici e privati fino a dichiarare lo smart working come modalità ordinaria della prestazione lavorativa da parte dei dipendenti pubblici, ribadita nella direttiva n. 2/2020 del ministro per la pubblica amministrazione.

Questo tema, dal punto di vista del trattamento dei dati personali, è stato trattato dal WP29 nell’Opinion n. 2/2017 adottata l’8 giugno 2017. Il punto 5.4 dell’Opinion fornisce specifiche indicazioni sul trattamento di dati personali di cui è titolare il datore di lavoro quando viene implementato un accesso dall’esterno da parte del dipendente, sia con un dispositivo fornito dallo stesso datore di lavoro sia con un dispositivo di proprietà del dipendente (BYOD). In questi casi occorre bilanciare la sicurezza dei dati personali presenti nel sistema informativo aziendale con la flessibilità nell’uso del dispositivo terminale e i dati personali del dipendente (spostamenti, mail personali, ecc.). Il bilanciamento appare più semplice quando il dispositivo è fornito dal datore di lavoro che può configurarlo secondo i propri canoni di sicurezza e collegarlo al sistema informativo aziendale tramite canali sicuri (tipicamente una VPN). Quando, invece, il dispositivo è di proprietà del dipendente, appare più difficile renderlo sicuro senza invadere la privacy del dipendente stesso (scansioni antivirus da remoto, gestione degli aggiornamenti, ecc.); quindi, il terminale di proprietà del dipendente diventa un potenziale elemento di vulnerabilità per il sistema informativo aziendale e può compromettere la sicurezza dei dati personali trattati.

Purtroppo, è difficile pensare che la pubblica amministrazione sia dotata di 3 milioni di dispositivi da assegnare ai propri dipendenti per rendere la propria prestazione lavorativa in modalità agile. Questo, quindi, significa che molti dipendenti pubblici impiegheranno i propri personal computer mettendo a rischio la sicurezza dei sistemi informativi pubblici nonostante l’impiego di VPN (che garantiscono la sicurezza del canale di comunicazione ma non l’immunità da potenziali vulnerabilità del terminale che potrebbero essere sfruttate oggi e capitalizzate in futuro – leggi furto di credenziali) e le indicazioni dello stesso ministero per la P.A.

Anche in questo caso, dunque, le PP.AA. (ma anche i datori di lavoro privati) dovrebbero analizzare il rischio futuro e pensare ad una rinnovata messa in sicurezza (per esempio, rinnovo automatico di password) quando la situazione tornerà alla normalità.

Il caso della diffusione di foto dei sanitari risultati positivi

Sembra che, in qualche caso, alcune autorità locali abbiano diffuso in rete la fotografia dei medici contagiati allo scopo di richiamare le persone che sono state curate da questi sanitari alla verifica del tampone. Anche in questo caso si è pensato a gestire l’immediato attraverso la diffusione di un dato personale (appunto, la foto) senza considerare il principio di proporzionalità che deve governare ogni trattamento e senza effettuare alcuna valutazione del rischio futuro che il trattamento può comportare.

Conclusioni

In molti casi, durante questa emergenza abbiamo sentito parlare di interventi proporzionati che, però, nel misurare la proporzione hanno tenuto conto degli aspetti, importantissimi, di natura sanitaria ed economica. Appare, tuttavia, ascoltare gli inviti del presidente dell’Autorità Garante per la Protezione dei Dati Personali che, in un recente intervento, ribadisce l’opportunità che l’analisi del rischio sia eseguita anche nei possibili impatti futuri sui diritti e le libertà delle persone, così come universalmente riconosciuti dai paesi evoluti come il nostro.

@RIPRODUZIONE RISERVATA
M
Francesco Maldera
Data protection officer

Articolo 1 di 5