Il parere del garante privacy sull’uso di APP e smartphone per contrastare la diffusione del coronavirus

Il parere del garante privacy sull’uso di APP e smartphone per contrastare la diffusione del coronavirus

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

Avv. Pier Paolo Muià – Dott.ssa Maria Muià

Garante Privacy: Audizione informale, in videoconferenza, del Presidente del Garante per la protezione dei dati personali sull’uso delle nuove tecnologie e della rete per contrastare l’emergenza epidemiologica da Coronavirus – 8 aprile 2020

Premessa

In piena emergenza epidemiologica causata dalla diffusione del Covid-19, il Governo italiano ha emanato una serie di provvedimenti d’urgenza, alcuni dei quali limitativi dei diritti fondamentali delle persone. Tra le misure pensate per contrastare la diffusione del virus, tristemente noto come Coronavirus, e verificare il rispetto delle disposizioni restrittive adottate dal Governo, vi è quella della raccolta dei dati sulla ubicazione o sulla interazione dei dispositivi mobili dei soggetti risultati positivi, con altri dispositivi, al fine di analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi.

Trattandosi di misure che coinvolgono la protezione dei dati personali, il Governo ha così chiesto al Garante per la protezione dei dati personali un’audizione informale per avere da questo indicazioni utili sull’elaborazione della normativa che sia compatibile con le norme previste in materia di privacy.

Vedi la sezione dedicata alla Privacy

Il parere del Garante

In prima battuta il Garante nella sua valutazione si sofferma ad individuare le due diverse finalità dei dati che dovrebbero essere così raccolti, cioè i dati relativi all’ubicazione e all’interazione dei dispositivi mobili. In particolare, il Garante ritiene che, per quanto riguarda la prima tipologia di dati, essi servirebbero per verificare la posizione del soggetto, risultato positivo al Covid-19, sottoposto ad obbligo di permanenza domiciliare, utilizzando la geolocalizzazione del telefono per accertare l’effettivo rispetto del divieto di allontanamento dal domicilio. Per quanto riguarda, invece, la seconda tipologia di dati, essi servirebbero ad acquisire informazioni sulle interazioni del soggetto, poi risultato positivo, con altri soggetti, per verificarne, nel periodo in cui il virus aveva capacità virale, gli eventuali contatti con soggetti terzi.

 

Ciò detto sulle finalità, il Garante ritiene che sussistano diverse modalità di tecnologie utilizzabili per raggiungere le finalità, ma che si dovrebbero scegliere quelle che sono meno invasive possibili pur essendo sufficienti a raggiungere l’obiettivo di contenere i contagi (nel rispetto del c.d. principio di gradualità).

In quest’ottica, appare conforme l’uso di trend di mobilità delle persone che siano acquisiti e conservati in modalità anonime, cioè senza possibilità di identificare gli interessati cui si riferiscono detti dati di mobilità. L’uso di dati identificativi, invece, potrebbe essere ammesso soltanto ove sia espressamente previsto da un’apposita disposizione normativa che stabilisca anche adeguate garanzie a tutela degli interessati.

Il Garante, inoltre, fa notare che l’uso della geolocalizzazione del telefono andrebbe a sostituire quei controlli effettuati dalle forze dell’ordine con un controllo elettronico, dando, però, per scontato che chi decide di violare gli obblighi di permanenza domiciliare porti con sé il telefono. In tal modo, il Garante evidenzia comunque il rischio che l’adozione di tale tecnologia possa comunque risultare poco utile al raggiungimento della finalità prefissata.

Altra misura finalizzata alla verifica del rispetto degli obblighi di distanziamento sociale potrebbe essere, secondo il Garante, l’utilizzo di droni da parte dell’autorità di pubblica sicurezza. L’utilizzo di questi strumenti, potenzialmente lesivi del diritto alla riservatezza, richiederebbe secondo il Garante un rigoroso rispetto del canone di proporzionalità in quanto essi effettuano una raccolta assai ampia di dati personali. Anche se, il garante prosegue evidenziando che difficilmente l’uso dei droni potrebbe avvenire nel rispetto della misura della proporzionalità proprio in considerazione della massiccia acquisizione di dati personali che gli stessi effettuano.

Ad ogni modo, tenuto conto che sussiste già una norma di riferimento che disciplina l’utilizzo dei droni per esigenze di controllo del territorio per finalità di pubblica sicurezza, contrasto del terrorismo e del crimine organizzato, il Garante suggerisce di provvedere ad effettuare una precisazione normativa nel caso in cui si adottasse questa tecnologia.

Più complessa è invece la ipotesi di utilizzo dei dati relativi all’ubicazione e all’interazione dei dispositivi mobili per effettuare una mappatura a ritroso dei contatti personali tenuti, nel periodo d’incubazione del virus, da soggetti poi risultati contagiati.

Tale mappatura avverrebbe attraverso l’incrocio di tipologie di dati diversi, come quelli sulle transazioni commerciali, sulle celle telefoniche, quelli sull’interazione con altri dispositivi mobili desunti dal ricorso a tecnologie bluetooth.

In questo caso, i dati acquisiti verrebbero utilizzati per finalità solidaristiche – nell’interesse del diritto alla salute della collettività – individuando le persone entrate potenzialmente in contatto con un malato Covid-19 e sottoponendoli ad accertamenti o, comunque, adottando le misure utili a prevenire il contagio.

Il Garante per la protezione dei dati personali nota un forte limite nell’utilizzo dei dati raccolti dai dispositivi elettronici per ricostruire la catena epidemiologica. Il limite è dato dal fatto che non tutti i soggetti nel momento in cui si spostano, lo fanno portando con sé il cellulare, né tutti i soggetti posseggono uno smartphone con, oltretutto, determinate funzionalità. Pertanto, l’utilizzo di questi sistemi tecnologici per la finalità di tracciamento di cui si è detto sopra, imporrebbe la sussistenza di un obbligo a carico di tutte le persone di uscire sempre con il proprio smartphone, ma ciò sarebbe evidentemente difficilmente realizzabile e soprattutto sarebbe difficilmente coercibile. E’, infatti, assai difficile pensare che si possa imporre un obbligo in tal senso, dunque secondo il Garante si dovrebbe ricorrere a sistemi fondati sulla volontaria adesione dei singoli che acconsentano il tracciamento della propria posizione.

Poiché, poi, il consenso per essere lecito dovrebbe essere libero e non condizionato ad esempio alla possibilità di usufruire di determinati servizi o beni, il Garante ritiene che una corretta soluzione potrebbe essere quella della volontaria attivazione da parte del singolo cittadino di una app finalizzata alla raccolta dei dati sull’interazione dei dispositivi per esigenze di sanità pubblica.

Per quanto riguarda la fase successiva alla raccolta dei dati, cioè quella della conservazione degli stessi e del loro utilizzo per allertare i potenziali contagiati, cioè i soggetti che siano entrati in contatto per il solo periodo di potenziale contagiosità con coloro i quali sono poi risultati positivi al coronavirus, il garante ha fornito alcune precisazioni.

In particolare, tenendo presente i criteri di necessità, proporzionalità e minimizzazione rimarcati dalla giurisprudenza europea, secondo il Garante si dovrebbe ritenere preferibile una tecnologia che adotti la misura più selettiva possibile, che garantisca cioè il minor ricorso possibile a dati identificativi, sia in fase di raccolta sia in fase di conservazione.

A tal fine, sarebbero idonee quelle tecnologie che mantengono il diario dei contatti esclusivamente nella disponibilità dell’utente, sul suo dispositivo, ragionevolmente per il solo periodo massimo di potenziale incubazione. Un valido strumento sarebbe, secondo il Garante, l’utilizzo del bluetooth, rispetto ai dati ricavabili dall’uso delle celle telefoniche, in considerazione del fatto che il primo sistema permette di selezionare i contatti soltanto tra coloro i quali hanno effettivamente avuto un contatto ravvicinato con il soggetto poi risultato infetto (cosa non fattibile con l’uso delle celle telefoniche).

Il Garante prosegue, poi, evidenziando come il soggetto che risultasse positivo dovrebbe fornire l’identificativo del proprio dispositivo (cioè l’IMEI dello smartphone) all’asl, che sarebbe poi tenuta a trasmetterlo al server centrale per consentirgli così di ricostruire, tramite un calcolo algoritmico, i contatti tenuti con altre persone le quali si siano, parimenti, avvalse dell’app bluetooth. Queste ultime persone riceverebbero poi, meglio direttamente dall’ASL (che attraverso sistemi automatici da parte dell’APP) una segnalazione di potenziale contagio con l’invito a sottoporsi ad accertamenti. In tal modo, il tracciamento sarebbe affidato a un flusso di dati pseudonimizzati, suscettibili di reidentificazione solo in caso di rilevata positività ed inoltre il fatto che la comunicazione a coloro i quali sono stati in contatto con il contagiato avvenga dall’ASL (e non automaticamente dall’APP) permetterebbe di realizzare un intervento un umano nel processo che eviterebbe di lasciare ogni decisione in maniera automatizzata agli algoritmi (con maggiori garanzie di tutela per gli interessati).

Anche in tali circostanze, comunque, la stessa comunicazione tra server centrale ed app dei potenziali contagiati avverrebbe senza consentirne la reidentificazione, così minimizzando l’impatto della misura sulla privacy individuale.

La soluzione ipotizzata ridurrebbe, verosimilmente allo stretto necessario, la sua incidenza sulla riservatezza. Tuttavia, benché non massivo, il trattamento di dati personali comunque realizzato richiederebbe, secondo il Garante, una norma di rango primaria.

In conclusione, il Garante evidenzia come la normativa che disciplina questi sistemi tecnologici per le finalità di cui si è detto dovrebbe essere limitata nel tempo, così da essere revocata non appena terminato lo stato di necessità. Inoltre, sarebbe necessario sancire l’obbligo di cancellazione dei dati decorso il periodo di potenziale utilizzo, salva la conservazione in forma aggregata o comunque anonima per soli fini statistici o di ricerca, e l’illiceità di qualsiasi riutilizzo dei dati per fini diversi da quelli di tracciamento dei contatti.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



 

Diventa autore di Diritto.it

Scarica il documento

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!