Governi ed imprese privati stanno sviluppando tecniche di monitoraggio degli spostamenti personali tramite questi dispositivi, registrando e ricostruendo tutti gli incontri che una persona ha fatto in un determinato periodo.
Si tratta di strumenti che, se non correttamente realizzati e gestiti, possono produrre un impatto estremamente rilevante sui diritti e sulle libertà degli interessati. I dati acquisiti da questi sistemi sono idonei a rivelare informazioni idonee a rivelare, oltre ad informazioni relative allo stato di salute, anche informazioni sulle persone frequentate, sugli interessi, sulle attività svolte.
In questo modo è possibile ricostruire dei profili estremamente accurati di una larga fetta della popolazione, che possono essere posti alla base di decisioni automatizzate, potenzialmente impattanti sui diritti e sulle libertà fondamentali degli interessati.
La profilazione degli individui, quantomeno in Italia, ha trovato impiego principalmente in ambito privato, per applicazioni di tipo commerciale (come ad esempio, la profilazione per finalità di marketing o la profilazione per valutazioni di merito creditizio), anche se vi è stata già in passato qualche implementazione (o progetto di implementazione) principalmente nel settore delle verifiche fiscali.
Le piattaforme pubbliche di tracciamento e controllo dei movimenti realizzate per fronteggiare l’emergenza sanitaria potrebbero costituire la base per la realizzazione di profili su vasta scala, i cui impieghi, cessato il periodo emergenziale, potrebbero trovare applicazioni inedite.
Del tutto ragionevolmente, attorno alle prime iniziative annunciate dalle autorità pubbliche, nazionali ed europee, si è sviluppato un acceso dibattito, che ha posto l’attenzione sui rischi per i diritti e le libertà dei cittadini che sarebbero potuti derivare da queste piattaforme.
La necessità, avvertita da molti, è quella di bilanciare le esigenze di tutela della salute pubblica con la tutela dei dati personali e delle libertà fondamentali dei cittadini, tutela che è nel nostro ordinamento è affidata alle disposizioni in materia di protezione dei dati personali.
Per tenere conto di tali esigenze anche il Governo, che pure aveva annunciato di aver individuato il partner tecnologico e la piattaforma da utilizzare per il tracciamento dei contatti, con il decreto-legge 30 aprile 2020, n. 28 ha introdotto, all’art. 6, delle disposizioni con le quali sono stati individuati dei requisiti per la determinazione delle caratteristiche tecniche ed operative del “Sistema di allerta Covid-19”, nel tentativo di raggiungere un adeguato bilanciamento tra le necessità di prevenzione sanitaria e quelle di protezione dei dai personali, connaturate alla tutela dei diritti fondamentali dei cittadini che utilizzeranno tale sistema. Il provvedimento ha ottenuto anche il parere favorevole dell’Autorità Garante per la Protezione dei Dati Personali, che ha ritenuto le previsioni adeguate al fine di realizzare un adeguato livello di protezione dei dati personali in relazione alle finalità di interesse pubblico perseguite dal sistema.
Più precisamente, al comma 1 il legislatore sembra circoscrivere le finalità dei trattamenti realizzati attraverso questo sistema, “al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell'ambito delle misure di sanità pubblica legate all’emergenza COVID-19”.
Il comma 4 precisa che l’utilizzo del sistema deve avvenire su base esclusivamente volontaria: “Il mancato utilizzo dell'applicazione di cui al comma 1 non comporta alcuna conseguenza pregiudizievole ed è assicurato il rispetto del principio di parità di trattamento.” Ne deriva che non potranno essere previste limitazioni all’esercizio di diritti o libertà (ad esempio, il diritto di circolazione, di esercizio dell’attività lavorativa o economica) né qualsiasi altra penalizzazione per le persone che scelgano di non utilizzare il sistema. Il testo legislativo si conforma al parere espresso dall’Autorità Garante per la Protezione dei Dati Personali del 29 aprile 2020, che aveva suggerito di riformulare l’art. 4 escludendo espressamente nei termini più ampi e generali ogni forma di possibile penalizzazione connessa alla mancata installazione dell’applicazione.
Anche il comma 3 ribadisce la limitazione delle finalità del trattamento dei dati: “I dati raccolti attraverso l'applicazione di cui al comma 1 non possono essere trattati per finalità diverse da quella di cui al medesimo comma 1, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica, ai sensi degli articoli 5, paragrafo 1, lettera a) e 9, paragrafo 2, lettere i) e j), del Regolamento (UE) 2016/679”.
La disposizione, che per certi versi sembra rassicurare in merito alla determinatezza e limitazione delle finalità, non fornisce certezze assolute in merito al fatto che i dati acquisiti non saranno utilizzati per ulteriori e diverse finalità. Nulla vieta, almeno in teoria, di modificare la disposizione di legge che costituisce la base del trattamento, aggiungendo nuove finalità o trattamenti. È però altresì vero che la norma di legge sarebbe comunque soggetta a sindacato di costituzionalità in relazione ai diritti fondamentali enunciati dalla Costituzione, rispetto ai quali potrebbero assumere la funzione di parametro interposto anche il Reg. 2016/679 sulla protezione dei dati personali e le convenzioni internazionali che sanciscono il diritto alla tutela della riservatezza dei cittadini.
Il decreto-legge individua nel Ministero della Salute il Titolare del Trattamento. Quest’ultimo avrà dunque la responsabilità in ordine a tutte le scelte relative alla determinazione delle modalità del trattamento, rispetto alla finalità normativamente predeterminata comprese, come chiarito dal successivo comma 2, le misure tecniche ed organizzative necessarie a garantire la sicurezza dei trattamenti.
La legge che a questo fine il Ministero della Salute dovrà coordinarsi con le autorità di protezione civile, nonché con l’Istituto Superiore di Sanità e con le strutture, pubbliche e private accreditate, che compongono il Servizio Sanitario Nazionale. Sono di conseguenza coinvolte anche le Regioni, in quanto enti controllanti le ULSS, che a loro volta controllano gli ospedali pubblici.
La disposizione non chiarisce il ruolo che assumeranno questi soggetti nell’ambito del trattamento dei dati personali. È probabile che questi soggetti saranno destinatari della comunicazione di dati personali relativi alla positività dei cittadini ed ai contatti avuti con soggetti positivi; così come saranno probabilmente chiamati a fornire le informazioni relative all’identità dei soggetti trovati positivi al coronavirus.
Dovranno in ogni caso essere adottate delle misure tali da limitare entro il necessario, la possibilità per questi soggetti di accedere alle informazioni della piattaforma, prevedendo adeguati strumenti per il controllo della loro attività.
Come previsto dal comma 5, il sistema dovrà essere sviluppato su infrastrutture interamente localizzate sul territorio nazionale, e gestite da SOGEI s.p.a.
I programmi per elaboratore sviluppati dovranno essere sono resi disponibili e rilasciati sotto licenza
aperta ai sensi dell'articolo 69 del Codice dell’Amministrazione Digitale.
Il comma 2 individua per sommi capi alcune delle caratteristiche che deve avere il sistema di allerta, affidando al Titolare del Trattamento il compito di definirle, all’esito di una DPIA che dovrà essere condotta per valutare l’Impatto potenziale del trattamento e con il coinvolgimento dell’Autorità Garante per la protezione dei dati personali. Si prevede, in particolare, che:
- gli utenti ricevano, prima dell'attivazione dell'applicazione, un’informativa completa ai sensi degli articoli 13 e 14 GDPR. Si prevede che l’informativa dovrà essere resa in modo da fornire “informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalita' e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati”. L’occasione potrebbe essere utile per sperimentare modalità di prestazione dell’informativa che facciano ricorso a tecniche di legal design, ad esempio codificando le informazioni base con modalità grafiche ad impatto diretto, che consentano agli interessati una conoscenza immediata delle informazioni più importanti;
- l’applicazione raccolga per impostazione predefinita (in ossequio al criterio della privacy by default) soltanto i dati personali “necessari ad avvisare gli utenti dell'applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, individuati secondo criteri stabiliti dal Ministero della salute e specificati nell'ambito delle misure di cui al presente comma, nonché ad agevolare l'eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti”. Occorrerà verificare cosa si intenda per “dati necessari”, anche in relazione alle modalità attraverso le quali si intenderà effettuare il contatto delle persone, che dovranno dunque essere anch’esse sottoposte ad un vaglio di proporzionalità. Diverse sono infatti le informazioni che devono essere raccolte a seconda che la notifica di prossimità a persona positiva al COVID-19 sia fornita attraverso una notifica della stessa app, oppure (anche se ciò sembra escluso dai successivi punti, che privilegiano modalità di avviso che rispettino l’anonimato degli utenti e li rendano per quanto possibile non identificabili, e tendenzialmente incompatibile con la gran parte dei sistemi sino ad oggi presi in considerazione) mediante chiamata telefonica, SMS o email, canali che possono essere percepiti come più affidabili, ad esempio nel caso di disinstallazione, disattivazione o chiusura dell’app in background. Potrebbe anche essere prevista la facoltà di scelta del canale di contatto da parte dell’interessato. ;
- il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimita' dei dispositivi, resi anonimi oppure, ove cio' non sia possibile, pseudonimizzati; è esclusa in ogni caso la geolocalizzazione dei singoli utenti. Il sistema dovrà limitare al minimo l’acquisizione ed il trattamento dei dati che consentano di identificare gli interessati, evitando la geolocalizzazione. L’app raccoglierà dunque informazioni relative ai soggetti vicini all’utente in un determinato momento, ma non la loro ubicazione nello spazio (sebbene tale informazione potrebbe essere poi ricostruita, a posteriori, dalle autorità pubbliche mediante il ricorso a fonti di dati diverse, ad esempio i dati forniti dai gestori dei servizi di telefonia);
- siano garantite su base permanente la riservatezza, l'integrita', la disponibilita' e la resilienza dei sistemi e dei servizi di trattamento nonche' misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento. Il Ministero della Salute dovrà approntare adeguate misure di sicurezza per assicurare che i dati siano trattati con modalità tali da scongiurare il pericolo di violazioni. Si prevede l’adozione di accorgimenti volti ad impedire il più possibile il rischio di reidentificazione degli interessati. Tale pericolo, nella misura in cui le autorità ministeriali potranno avere accesso diretto ai dati registrati da ciascun dispositivo, sembra difficile da scongiurare, posto che le autorità pubbliche dispongono del potere di accedere a numerose banche dati contenenti informazioni tendenzialmente idonee a permettere la reidentificazione degli interessati sulla base dei dati che indicano la prossimità a determinati soggetti in un determinato momento storico;
- i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata e' stabilita dal Ministero della salute e specificata nell'ambito delle misure di cui al presente comma; i dati sono cancellati in modo automatico alla scadenza del termine. La norma sembra preferire sistemi come quelli ispirati al sistema PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing), che prevedono la conservazione in forma anonima e crittografata dei dati relativi ai contatti nelle memorie dei dispositivi dei singoli utenti, evitando così la raccolta centralizzata di tali dati. Si tratta però di una possibilità verso la quale la norma esprime una preferenza e non una scelta netta. Sul punto, il Garante ha chiarito che “In ogni caso, la centralizzazione richiederebbe in sede attuativa la previsione di misure di sicurezza rafforzate, adeguate alla fattispecie”. Viene inoltre previsto un principio di limitazione temporale della conservazione dei dati, che dovrebbe avvenire per il tempo “strettamente necessario al trattamento”. A rigore, la conservazione dovrebbe cessare dunque decorso il periodo di incubazione del CoV-SARS-2 (tra i 9 e i 14 giorni). In ogni caso, in base al comma 6, i dati dovranno necessariamente essere cancellati al termine dell’emergenza sanitaria e, al più tardi, entro il 31 dicembre 2020;
- i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento (UE) 2016/679 possano essere esercitati anche con modalita' semplificate. Si prevedono dunque modalità semplificate per l’esercizio dei diritti previsti dal GDPR a favore degli interessati. La portata di tale disposizione varierà in base alle modalità concrete di implementazione del sistema. Molti diritti (come la rettificazione, l’opposizione, la cancellazione) non potranno essere esercitati in concreto per i dati che siano conservati in forma anonimizzata nei dispositivi degli utenti. Sembra peraltro da escludere che possa essere esercitato il diritto alla portabilità dei dati, posto che la base giuridica dei trattamenti non sembra essere né il consenso né un contratto.
Sulla base delle previsioni normative, si possono formulare due ulteriori considerazioni.
In primo luogo, la base giuridica per il trattamento dei dati personali non sembra essere stata identificata nel consenso degli interessati. Non sono infatti disciplinati né i requisiti per la prestazione del consenso né quelli per sua revoca. La base giuridica sembra dunque più correttamente identificabile negli articoli 6, lett. e) e 9, lett. g) ed i) GDPR.
In secondo luogo, non si contempla espressamente l’introduzione di accorgimenti che consentano l’interoperabilità del sistema nazionale con altri sistemi elaborati da altri Paesi, ed in particolare da altri Stati dell’Unione Europea.
Anzi, la previsione secondo la quale i dati acquisiti da tale sistema possono essere trattati soltanto mediante infrastrutture localizzate sul territorio nazionale sembra limitare la possibilità di comunicazione ad altri Titolari, anche se stabiliti nell’UE delle informazioni acquisite mediante la piattaforma. Questo limite potrebbe privare di efficacia il sistema nell’ambito della circolazione transfrontaliera delle persone che dovrebbe tornare ad intensificarsi a seguito dell’allentamento delle misure di prevenzione poste in essere dagli altri Stati UE.
Di avviso contrario è stata però l’Autorità Garante che nel parere citato ha ritenuto che la proposta di legge fosse in grado di assicurare “l’interoperabilità con altri sistemi di contact tracing utilizzati in Europa”, ritenendo che “tali caratteristiche di interoperabilità potranno essere assicurate in sede applicativa e, ancor prima, nell’ambito dei provvedimenti di competenza del Ministero”.
Articolo realizzato in collaborazione con Alessandro Soligo