App di tracciamento digitale, sorveglianza sanitaria e tutela dei dati personali alla luce del GDPR: una prima lettura del DL 28/20
Diritto alla riservatezza e protezione dei dati personali: diritti fondamentali ma flessibili
Il diritto alla riservatezza e alla protezione dei dati personali sono diritti fondamentali sì, ma elastici, ossia possono essere compressi – temporaneamente – per ragioni di salute pubblica, come previsto dall’art. 9.2 del GDPR e dall’art.15 della direttiva ePrivacy in un quadro di regole scritte dal Parlamento nel rispetto dei principi di bilanciamento degli interessi, proporzionalità, necessità, ragionevolezza, trasparenza e accountability.
È dunque al Parlamento – legislatore in via ordinaria – che, in questa seconda fase della gestione della pandemia Covid-19, occorre restituire la centralità prevista dalla Costituzione.
Come giustamente ricordato anche dalla Pres. Prof.ssa Cartabia nella Relazione annuale 2019 della Corte Costituzionale, la nostra Costituzione “non contempla un diritto speciale per i tempi eccezionali (…) ma offre la bussola anche per navigare per l’alto mare aperto nei tempi di crisi, a cominciare proprio dalla leale collaborazione fra le istituzioni”.
L’App in corso di implementazione, per quanto noto, dovrebbe essere compatibile con il GDPR e uniformata alle prescrizioni rilasciate da EDPB nelle Linee Guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19, oltre che del Garante nel Parere del 29 aprile 2020 sulla proposta normativa per la previsione di un’applicazione volta al tracciamento dei contagi da COVID-19.
Trasparenza, proporzionalità, minimizzazione e temporaneità: l’art. 6 del DL 28/20
Trasparenza, proporzionalità, minimizzazione dei dati e temporaneità sono principi tendenzialmente recepiti, seppur con qualche prospettiva di miglioramento in sede di conversione in legge, dal DL 28/20 e dovranno riflettersi necessarimente anche sulla regolamentazione attuativa dell’applicativo scelto dal Ministero dell’innovazione per la sorveglianza digitale.
A tale scopo risponde l’art. 6 del DL 28/20 che statuisce, fra l’altro, quanto segue:
“Al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19, è istituita una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile”.
Rischi correlati all’adozione di un’App anticontagio unica a livello nazionale
Si può creare un falso senso di sicurezza nei cittadini nel caso in cui l’App non sia preceduta da adeguata campagna informativa nazionale e non sia supportata da adeguate misure tecnologiche, procedurali e organizzative.
Il rischio che si corre è quello di creare affidamento sociale incolpevole nella cittadinanza su uno strumento che da solo non è certo risolutivo.
Occorre essere chiari: nessun potere taumaturgico può essere associato al mero utilizzo dell’App.
Si tratta solo di un utile strumento complementare nel quadro complessivo delle azioni messe a terra dal Governo per il contrasto al Covid-19 che va ad integrare, non sostituire, il contact tracing analogico.
L’art. 6 del DL 28/20 precisa correttamente che:
“Le modalitaàoperative del sistema di allerta tramite la piattaforma informatica di cui al presente comma sono complementari alle ordinarie modalità in uso nell’ambito del Servizio sanitario nazionale”.
Questo al cittadino, si ribadisce, deve essere reso ben chiaro dalle Istituzioni attraverso campagna informativa ad hoc: altrimenti si rischia di ingenerare, corre l’obbligo di essere sottolineato nuovamente, una falsa percezione di sicurezza che potrebbe addirittura essere controproducente.
Inoltre, come ha giustamente osservato anche il Garante Soro in un suo recente intervento pubblico, la App senza test Covid massivi (tamponi, test sierologici e test rapidi, c.d. “pungidito”) – che ancora oggi sono somministrati con il contagocce – rischia di servire a poco o nulla.
Il Garante pone correttamente un limite al tracciamento di massa delle persone, osservando criticamente che sfugge l’utilità: “di una sorveglianza generalizzata alla quale non dovesse conseguire sia una gestione efficiente e trasparente di una mole così estesa di dati, sia un conseguente test diagnostico altrettanto generalizzato e sincronizzato”.
Non è prudente polarizzare, quindi, l’attenzione solo sulla App: si rischiano appunto effetti indesiderati.
Cito l’esempio per tutti dei falsi positivi e negativi. Anche l’EPDB raccomanda che tutte le procedure e i processi, compresi gli algoritmi implementati dalle App per il tracciamento dei contatti, debbano svolgersi “sotto la stretta sorveglianza di personale qualificato al fine di limitare il verificarsi di falsi positivi e negativi. In particolare, le indicazioni fornite in merito ai passi da compiere successivamente alla ricezione di un alert non dovrebbero basarsi unicamente su un trattamento automatizzato”.
Inoltre, si consideri che l’efficacia di un’App di contact tracing può essere influenzata non solo dal numero di soggetti che decidono di istallarla (dato sensibilmente variabile dal 30% al 60% secondo varie analisi ad oggi disponibili) ma anche da eterogenei e non meno importanti fattori umani oltre che dai limiti intrinseci della tecnologia prescelta: falsi positivi e falsi negativi, il non uso, l’utilizzo non corretto e l’abuso costituiscono alcuni significativi esempi ostativi al successo di un App di tracciamento digitale dei contagi
L’integrazione di dati di prossimità rilevati dal bluetooth e dati di geolocalizzazione rilevati dal GPS
Il Ministero dell’Innovazione ha chiarito di escludere l’utilizzo da parte dell’App di dati relativi alla geolocalizzazione.
L’art. 6, comma 2 del DL 28/20 pervero attualmente esclude solo la geolocalizzazione dei singoli utenti:
“c) il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimitaàdei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati; è esclusa in ogni caso la geolocalizzazione dei singoli utenti”.
Non pare, quindi, ostativo, ribadisco, per il trattamento dei dati di geolocalizzazione aggregati.
Anche il Parere del Garante sull’App COVID-19 del 29 aprile 2020 è stato rilasciato positivamente sulla base del seguente assunto:
“e) selettività e minimizzazione dei dati: i dati raccolti devono poter tracciare i contatti stretti e non i movimenti o l’ubicazione del soggetto. Devono essere raccolti solo i dati strettamente necessari ai fini della individuazione dei possibili contagi, con tecniche di anonimizzazione e pseudonimizzazione affidabili. Anche la conservazione deve limitarsi al periodo strettamente necessario, da valutarsi sulla base delle decisioni dell’autorità sanitaria su parametri oggettivi come il periodo di incubazione. A tal riguardo le disposizioni dello schema di norma su tali aspetti è opportuno che siano ulteriormente articolate in sede di attuazione dal Ministero della salute ai sensi del comma 2, anche con riferimento alla sorte dei dati raccolti sul dispositivo di chi, in un momento successivo all’installazione dell’applicazione, abbia poi deciso di disinstallarla”.
Bene non utilizzare i dati di geolocalizzazione dei singoli utenti, ferma restando l’ammissibilità della geolocalizzazione dei dati aggregati e anonimi, come utilimente fatto anche in Regione Lombardia nel pieno rispetto delle regole vigenti, dell’anonimato e della tutela dei dati personali.
Certo dall’eventuale incrocio di dati di prossimità rilevati dai Bluetooth con i dati di geolocalizzazione del GPS dello smartphone la garanzia di anonimato dell’interessato si indebolisce progressivamente: bene quindi ha fatto il Ministero dell’Innovazione a escludere tale possibilità.
Se poi aggiungiamo l’abbinamento delle prime due cifre del Cap – come annunciato dal Ministero dell’Innovazione – l’indebolimento è ulteriore: più ampliamo il novero dei dati trattati, più rendiamo fragile la tutela dell’anonimato dell’interessato rendendo non solo possibile ma anche più facile l’identificazione del soggetto vigilato.
Centrale in proposito – a prescindere dalle FAQ del Ministero dell’Innovazione, che non hanno efficacia normativa ma solo informativa – sarà il sistema di garanzie dettagliate nella normativa regolamentare oltre a quanto rappresentato nella valutazione di impatto del trattamento che dovrà essere rilasciata dal Ministero della Salute prima dell’inizio del trattamento con l’App prescelta.
Anche le Linee Guida EDPB raccomandano attenzione, precisando che:
“L’anonimizzazione fa riferimento all’uso di una serie di tecniche finalizzate a eliminare la possibilità di collegare i dati a una persona fisica identificata o identificabile con uno sforzo “ragionevole”. Questo “test di ragionevolezza” deve tenere conto sia degli aspetti oggettivi (tempi, mezzi tecnici) sia di elementi di contesto che possono variare caso per caso (rarità di un fenomeno, la densità di popolazione, la natura e il volume dei dati). Se i dati non superano tale test, non sono anonimizzati e pertanto rientrano nel campo di applicazione del regolamento generale sulla protezione dei dati”.
E ancora, la valutazione della robustezza della tecnica di anonimizzazione adottata dipende da tre fattori: (i) individuabilità (singling out) (possibilità di isolare una persona all’interno di un gruppo sulla base dei dati); (ii) correlabilità (possibilità di correlare due record riguardanti la stessa persona); (iii) inferenza (possibilità di dedurre, con probabilità significativa, informazioni sconosciute relative a una persona).
Infine, sempre EDPB rileva correttamente che i dati relativi all’ubicazione ritenuti anonimi possono di fatto non esserlo. Le tracce di mobilità dei singoli individui sono caratterizzate intrinsecamente da forte correlazione e univocità. Pertanto, in determinate circostanze possono essere vulnerabili ai tentativi di re-identificazione: più incrociamo dati più aumentiamo il rischio di reidentificazione.
Ulteriori garanzie a tutela della riservatezza e dei dati personali nella legge di conversione in Parlamento
Innanzitutto, in conformità anche alle linee guida EDPB già citate, potrebbe essere resa più esplicita e chiara la filiera soggettiva degli attori coinvolti nel processo di istituzione e gestione della piattaforma unica nazionale evitando di utilizzare il sistema poco chiaro del rinvio ad altri testi normativi. L’art.6 – commi 1 e 5 – potrebbe essere riformulato in termini più chiari e trasparenti, intelleggibili anche al cittadino comune, trattandosi di intervento normativo interferente con diritti fondamentali della persona.
Si potrebbe essere più trasparenti – già in sede di conversione in legge – in relazione all’esclusione dell’incrocio dei dati Bluetooth, GPS e CAP – ammesso e non concesso che alla fine vengano tutti utilizzati dalla nuova App – esplicitando le principali macromisure adottabili per prevenire il rischio di reidentificazione: misure dettagliate nella normativa attuativa.
Inoltre, esplicitare chiaramente quali dati saranno centralizzati e quali conservati anche – o esclusivamente – nei dispositivi mobili dell’interessato.
In terzo luogo, si potrebbe esser più trasparenti anche sulla durata dell’emergenza: non credo sia opportuno indicare una data troppo breve sapendo di doverla prorogare.
Sebbene nulla si dica sulla possibilità di proroga della durata oltre e a quali condizioni.
Attualmente l’art. 6 comma 6 del DL 28/20 stabilisce che:
“L’utilizzo dell’applicazione e della piattaforma, nonchè ogni trattamento di dati personali effettuato ai sensi al presente articolo sono interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020, ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi”.
La durata al 31/12/2020 potrebbe essere eccessivamente ottimistica e, quindi, non trasparente per i cittadini perché verosimilmente soggetta a proroga. Un termine massimo di 12 mesi dall’entrata in vigore potrebbe essere più appropriato: termine che il Ministro della Salute potrà certamente abbreviare nel caso in cui l’emergenza cessi prima di tale data.
Inoltre, andrebbe espressamente previsto che la reiterazione della durata del trattamento non potrà essere prorogata utilizzando lo strumento omnibus del “milleproroghe” ma con una legge ad hoc, occorrendo.
Come noto, in Italia le situazioni temporanee sono suscettibili di protrarsi senza fine.
Ancora manca ogni regolamentazione delle App regionali: oltre alla statuizione di principio che la piattaforma unica di allerta è nazionale, potrebbe essere questo il contesto normativo appropriato per mettere ordine e meglio chiarire i limiti di operatività di analoghe iniziative regionali, prevedendo regole uniformi a tutela dei dati dei cittadini. Altrimenti si rischi il caos e l’insuccesso della stessa piattaforma nazionale.
Infine, occorre sviluppare la parte relativa agli obblighi informativi; che non si esauriscono nell’ambito delimitato dell’informativa privacy richiesta dal GDPR ma che richiedono, invero, una specifica strategia di comunicazione e una campagna informativa, a beneficio della cittadinanza, che andrebbe attuata preliminarmente alla diffusione dell’App per un uso consapevole e per mitigare i rischi di false aspettative.
La mancanza di comunicazione pubblica efficace e di trasparenza può minare la fiducia delle persone, generare fallaci aspettative di sicurezza, affidamento incolpevole pericoloso per tutti i cittadini: sia per coloro che sceglieranno di utilizzarla sia per coloro che riterranno di poterne fare a meno.
Articolo a cura di Emilio Tosi
Emilio Tosi è Professore Associato Abilitato di Diritto Privato
Università degli Studi di Milano Bicocca
Direttore Centro Studi Diritto Nuove Tecnologie – DNT®
Managing Partner
Tosi & Partners High Tech Legal®
Giurista e consulente legale in materia di tutela e sicurezza dei dati personali, GDPR, privacy digitale, diritto privato delle nuove tecnologie, contratti high tech, proprietà intellettuale e industriale, OdV231 e corporate compliance. E’ autore di numerosi studi e pubblicazioni in materia di diritto delle nuove tecnologie fra cui si segnalano da ultimo la raccolta di studi PRIVACY DIGITALE, Collana “Diritto delle Nuove Tecnologie“, Giuffré Lefebvre, 2019; e lo studio monografico RESPONSABILITA’ CIVILE PER ILLECITO TRATTAMENTO DEI DATI PERSONALI E DANNO NON PATRIMONIALE, Giuffré Lefebvre, 2019.
https://www.ictsecuritymagazine.com/articoli/app-di-tracciamento-digitale-sorveglianza-sanitaria-e-tutela-dei-dati-personali-alla-luce-del-gdpr-una-prima-lettura-del-dl-28-20/