Avv. Pier Paolo Muià – Dott. Gianfranco Maccarone
Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19 – 21 aprile 2020
Premessa
L’emergenza legata alla rapida diffusione del Covid-19 ha portato, nelle ultime settimane, i Governi degli Stati membri dell’UE a prendere in considerazione l’adozione di strumenti di raccolta e trattamento dei dati personali, in modo da poter impiegare le informazioni raccolte per limitare e prevenire la diffusione del contagio. Tale scelta comporta, indubbiamente, una frizione con la normativa a tutela della riservatezza, in particolar modo con il Reg. UE 2016/679 (GDPR) e con la Direttiva 2002/58/CE, che ha richiesto l’intervento del Comitato Europeo per la protezione dei dati, il quale – come noto – si configura quale organo indipendente, il cui scopo è garantire l’applicazione in maniera uniforme e coerente delle norme a tutela dei dati da parte degli Stati membri.
Lo scorso 21 aprile, il Comitato Europeo per la Protezione dei dati ha, difatti, pubblicato un documento di soft law contenente le Linee-guida, finalizzate ad uniformare le emanande disposizioni in materia di localizzazione, tracciamento, raccolta e trattamento dei dati degli utenti, in modo che siano conformi ai principi in materia di tutela della privacy, nonché a fornire un supporto operativo per la corretta configurazione ed utilizzo dell’app che sarà all’uopo sviluppata.
Le linee guida del Comitato
Le Linee Guida sono suddivise in quattro capitoli:
- “Introduzione e Contesto”;
- “Utilizzo dei dati relativi all’ubicazione”;
- “App per il tracciamento dei contatti”;
- “Conclusione”.
Nel capitolo introduttivo, il Comitato esplicita la finalità cui dovrà ispirarsi l’utilizzo della tecnologia per la raccolta ed il trattamento dei dati personali, ovvero quella di strumento ad ausilio degli utenti per tutelare la propria salute, in relazione all’emergenza Covid-19, respingendo dunque qualsiasi finalità di natura repressiva, e che, pertanto, l’utilizzo di un’app per il tracciamento dei contatti dovrebbe essere esclusivamente su base volontaria, escludendo che possa configurarsi qualsiasi pregiudizio per i cittadini che non intendano avvalersene. Inoltre, viene specificato che l’utilizzo dei dati ha funzione prettamente ausiliaria, quale parametro di valutazione dell’efficacia delle misure di sanità pubblica, le quali restano, in ogni caso, insostituibili.
L’ambito di applicazione del documento viene determinato per:
- l’utilizzo dei dati di localizzazione, finalizzato alla costruzione di modelli di diffusione del virus, quale strumento di valutazione dell’efficacia delle misure di isolamento e quarantena;
- l’utilizzo dei dati relativi al tracciamento dei contatti, finalizzato ad interrompere la diffusione del contagio, mediante avviso ai soggetti che hanno avuto contatti con persone risultate positive al virus.
Procedendo nella trattazione, le Linee Guida si soffermano sulle fonti da cui trarre i dati relativi all’ubicazione degli utenti, con cui costruire un modello diffusionale del virus e valutare l’efficacia complessiva delle misure di contenimento; tali fonti sono costituite, in sostanza, dagli operatori delle telecomunicazioni mobili e dai prestatori di servizi connessi alla società dell’informazione (es. motori di ricerca e servizi di trasporto, ecc.). A tal proposito, il Comitato mette in luce i limiti posti dalla legislazione di settore alle operazioni inerenti la raccolta ed il trattamento dei dati. In particolare, evidenzia che i dati raccolti dagli operatori delle telecomunicazioni mobili, prima di essere trasmessi alle Autorità, devono essere anonimizzati e, se riguardanti la posizione del device (smartphone, tablet, ecc.) in uso all’utente, devono essere tramessi con il suo consenso, conformemente agli artt. 6 e 9 della Direttiva 2002/58/CE; mentre, per quanto attiene ai dati memorizzati direttamente sul device dell’utente, indipendentemente che siano già archiviati o che vengano archiviati dal fornitore del servizio, questi possono essere trattati solo con il consenso dell’utente medesimo e solo se necessari alla fornitura del servizio, secondo il dettato dell’art. 5 della Direttiva 2002/58/CE. Tale regolamentazione può essere derogata, come previsto all’art. 15 della già citata direttiva, solo nel rispetto dei principi di adeguatezza, proporzionalità e specificità propri di una società democratica. Inoltre, viene evidenziato che il riutilizzo dei dati raccolti per costruire modelli è consentito o previo consenso dell’interessato o in base a specifiche disposizione contenute nelle singole normative nazionali, purché nel rispetto dei principi di necessarietà e proporzionalità.
Le Linee Guida, in proposito, si soffermano sul concetto di anonimizzazione dei dati, esplicitando la differenza sussistente tra dati anonimizzati e dati pseudoanonimizzati. I primi, infatti, sono depurati di qualsiasi riferimento che consenta l’identificazione una persona fisica determinabile, attraverso la loro raccolta e trattamento in forma aggregata (cd. Big Data), mentre i secondi, essendo riferibili ad un determinato soggetto o ad un numero ristretto di soggetti, si prestano (seppur cifrati) a consentire la re-identificazione attraverso un processo induttivo, in quanto caratterizzati da una forte correlazione con il soggetto interessato.
Tale distinzione comporta non poche differenze stante la differente disciplina applicabile. I dati anonimizzati, infatti, sono liberamente utilizzabili, mentre i dati pseudoanonimizzati rientrano nella più stringente regolamentazione inerente la protezione dei dati.
Successivamente, partendo da queste distinzioni, le Linee Guida si soffermano sull’utilizzo un’apposita app per il monitoraggio sistematico e su larga scala dell’ubicazione e dei contatti interpersonali degli utenti, che – viene ricordato – costituisce un grave ingerenza nella sfera privata dei cittadini. In ragione di ciò, il documento raccomanda, innanzitutto, una chiara individuazione della figura del titolare del trattamento e, pur ammettendo soluzioni alternative, ritiene che tale ruolo possa essere assunto dalle autorità sanitarie nazionali.
Viene, inoltre, raccomandata l’adozione di algoritmi verificabili, in ossequio al principio di trasparenza, e la supervisione da parte di personale sanitario qualificato della correttezza dei risultati forniti dalla raccolta di dati, onde evitare che il cittadino si trovi esposto a restrizioni della propria libertà (es. isolamento, quarantena) a causa di falsi positivi, dovuti ad un trattamento esclusivamente automatizzato.
Il Comitato richiama altresì il rispetto dei principi di adeguatezza, proporzionalità e necessarietà dei dati raccolti, escludendo, in ogni caso, che tali dati possano essere utilizzati per finalità diverse dalla gestione della presente crisi sanitaria. A tal proposito, evidenzia che dovrebbero essere esclusi dalla raccolta dati anagrafici, registrazioni di chiamate e simili e che i dati raccolti dovrebbero essere cancellati o anonimizzati al momento del venir meno dell’emergenza.
Inoltre, vengono dettati una serie di requisiti inerenti la realizzazione dell’app, specificando che per il tracciamento dei contatti l’app dovrebbe utilizzare i dati di prossimità, non necessitando del tracciamento della posizione dei singoli utenti, previa adozione di idonee misure per evitare una reidentificazione e che i dati raccolti dovrebbero essere conservati nel device dell’utente. Il Comitato raccomanda, poi, l’impiego di strumenti di crittografia a protezione dei dati e di individuare gli utenti attraverso codici identificativi e pseudonimi, al fine di evitare di risalire alla loro identità.
Quanto al valore del consenso dell’utente per il riutilizzo ed il trattamento dei propri dati, il documento rileva che, prevedendo l’utilizzo dell’app solo su base volontaria, questo potrebbe essere sostituito direttamente da specifica previsione legislativa. Infatti, in tal caso, il consenso sarebbe desumibile dalla scelta del soggetto di scaricare l’app sul proprio device, previa adeguata comunicazione da parte delle Autorità del link da cui scaricare l’app, onde evitare l’utilizzo di applicazioni sviluppate da terze parti.
In ogni caso, viene raccomandata l’elaborazione e la pubblicazione di una valutazione d’impatto sulla protezione dei dati, che il monitoraggio sistematico e su larga scala degli utenti attraverso dispositivi tecnologici potrebbe avere.
In chiusura, il documento conclude evidenziando che l’utilizzo dei dati raccolti con tecnologie digitali potrebbe certamente risultare uno strumento chiave per la lotta alla diffusione del covid-19, ma che tale utilizzo non può andare a discapito dei diritti e delle libertà individuali.
Volume consigliato
La tutela della privacy in ambito sanitarioL’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici. Pier Paolo Muià | 2018 20.00 € 16.00 € |
Scrivi un commento
Accedi per poter inserire un commento