1. App di tracciamento: un banco di prova per l’applicazione della normativa sulla protezione dati personali nel contesto dell’emergenza sanitaria nazionale
Con l’entrata in vigore, il 2 maggio, del Decreto legge 30 aprile 2020 n. 28, sono state rese note le prime determinazioni del Governo in merito allo strumento tecnologico prescelto per coadiuvare il controllo della espansione del contagio da Covid-19, la ormai nota – perlomeno nella denominazione – app di contact tracing “Immuni”.
Il progressivo delinearsi del modello italiano di tracciamento (manuale e digitale) dei contatti offre l’occasione per una riflessione su alcune questioni di protezione dati personali che potremmo definire “classiche”, come il consenso al trattamento, la tutela dei minori, la profilazione. Nei fatti però, come vedremo, si tratta di problemi complessi, che non si prestano ad essere risolti con l’applicazione di modelli preconfezionati, ma necessitano di una analisi molto approfondita dei rischi per individuare la soluzione migliore e che offra maggiori garanzie in termini di tutela dei diritti.
I riferimenti normativi per questa brevissima e certamente parziale panoramica non potranno che essere il Regolamento europeo sulla protezione dei dati personali n. 2016/679 (Gdpr), il Codice della privacy come novellato dal d.lgs n. 101/2018, e il vasto corpus delle Linee guida e dei pareri degli organi consultivi in materia di privacy, che si è venuto consolidando sin dalla entrata in vigore della “direttiva madre” n. 95/46/CE.
Prima di procedere ed entrare nel vivo delle questioni, vale la pena di ricordare che il principio di accountability enunciato nel citato Gdpr e cardine dell’intera disciplina europea in materia di protezione dati personali[1] richiede al titolare del trattamento di adottare misure tecniche ed organizzative adeguate alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento che esso intenda porre in essere.
Dunque il Gdpr pone in capo al titolare del trattamento – nel caso della app Immuni il Ministero della salute – la responsabilità per la analisi del rischio privacy e la successiva predisposizione di misure adeguate per tutelare i diritti e le libertà degli interessati[2].
Venendo alla nostra analisi, come accennato, l’occasione viene dalla recentissima pubblicazione del dl n. 28/2020, in particolare dall’articolo 6, rubricato significativamente “Sistema di allerta Covid-19”.
La disposizione istituisce una piattaforma unica nazionale per la gestione del sistema di allerta e di tutela della salute degli utenti che siano entrati in contatto stretto con soggetti risultati positivi al Covid-19. Tale sistema di allerta e di tutela prevede l’installazione da parte dei cittadini, su base volontaria, un’apposita app.
Non è possibile qui approfondire i numerosissimi aspetti giuridici e tecnici che la norma citata pone sul tavolo. Con questa premessa, circoscriveremo quindi la dissertazione ad alcune questioni che come si è detto consentiranno di mettere in luce la complessità dello scenario.
2. Must do e Do not: le “raccomandazioni” della Commissione UE e dei Garanti
Nelle scorse settimane la Commissione europea, il Comitato europeo per la protezione dei dati personali[3] e il nostro Garante privacy si sono espressi più volte ed attraverso differenti canali, fornendo pareri e indicazioni sulle caratteristiche che una app di contact tracing dovrebbe possedere[4].
Tali indicazioni, in gran parte ricorrenti, possono essere riassunte nei seguenti punti:
- Necessità di inserire le app di contact tracing in una strategia sanitaria complessiva per il contrasto all’espansione della pandemia, affinché la stessa possa produrre effetti significativi;
- Minimizzazione del trattamento di dati personali, massima cura per garantirne qualità ed esattezza e per limitare il rischio di individuazione di falsi positivi e falsi negativi[5];
- Uso di identificatori univoci pseudonimi e crittografia dei dati;
- Volontarietà della installazione e dell’utilizzo della app, senza che questo implichi la scelta del consenso come base giuridica del trattamento;
- Individuazione di una idonea base normativa;
- Esclusione di sistemi basati sulla geolocalizzazione, in favore di informazioni sugli eventi di contatto con soggetti positivi (c.d. dati di prossimità);
- Preferenza per soluzioni decentralizzate per la memorizzazione dei dati (che dovrebbero dunque essere conservati nei dispositivi mobili degli utilizzatori e non in un server unico e centralizzato);
- Esclusione di trattamenti completamente automatizzati, e al contrario, garanzia dell’intervento umano (personale sanitario) per compiere la valutazione clinica e, all’esito, inviare il segnale di allerta a tutti i devices contenuti nel registro dei contatti della persona contagiata;
- Necessità di svolgere una valutazione di impatto privacy a norma dell’art. 35 del Gdpr;
- Temporaneità dell’utilizzo della app e cancellazione o anonimizzazione dei dati entro un termine definito;
- Definizione chiara della titolarità del trattamento;
- Garanzia di informazioni complete, trasparenti e comprensibili per gli interessati, specie se minori.
3. Primi tratti del modello italiano di contact tracing
L’art. 6, sebbene nella sua formulazione programmatica, sembra avere in gran parte recepito le indicazioni. Contiene riferimenti alla titolarità del trattamento (e alla nomina di responsabili ex art. 28 Gdpr), allo svolgimento di una Valutazione di impatto privacy con consultazione del Garante[6], alle informazioni rese agli interessati (sulle finalità del trattamento, sull’utilizzo di tecniche di pseudonimizzazione, sui tempi di conservazione dei dati[7]).
Vengono altresì richiamati principi della protezione dati personali quali la privacy by design e la minimizzazione del trattamento[8]. Viene esclusa esplicitamente la funzione di geolocalizzazione, in favore della raccolta di dati di prossimità “resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati”.
Vi è poi l’elencazione delle garanzie di riservatezza, integrità, disponibilità, resilienza dei sistemi e dei servizi, oltre che alla protezione rispetto al rischio di reidentificazione. E la possibilità di esercizio, “con modalità semplificate” dei diritti degli interessati.
L’ultimo comma sancisce la titolarità pubblica della piattaforma, realizzata con infrastrutture localizzate sul territorio nazionale, in ossequio alle raccomandazioni del Garante privacy, ma in controtendenza rispetto all’approccio paneuropeo espresso dalla Commissione UE, come si vedrà più avanti.
Da quanto sia noto ad oggi - ma la norma in esame non reca alcuna indicazione in merito - i dati saranno raccolti con tecnologia BT-LE (Bluetooth Low Energy) e conservati, in forma crittografata, anche[9] nel device dell’utilizzatore. Il device (smartphone o altro dispositivo dotato di funzionalità bluetooth) terrà traccia di tutti i contatti stretti con altri dispositivi che utilizzino la app Immuni. Quando ad uno qualsiasi degli utenti di Immuni verrà comunicata la diagnosi di Covid-19, dal suo cellulare partirà un segnale di allerta rivolto ai record che compaiono nel suo registro dei contatti.
4. Alcune questioni di protezione dati in materia di contact tracing
Senza alcuna pretesa di esaustività, passerò ora in rassegna alcune questioni di protezione dati personali, che mi pare possano avere una qualche rilevanza nella progressiva delineazione del sistema di tracciamento. Tali questioni probabilmente richiederanno al titolare del trattamento una seria valutazione, per compiere poi delle scelte operative che tengano conto da un lato dell’esigenza di dotare celermente il paese di uno strumento efficace, e dall’altro dei numerosi valori costituzionali che proprio in conseguenza di queste scelte verranno toccati.
4.1 Il consenso
L’articolo 6 del Gdpr com’è noto contiene un elenco delle basi giuridiche su cui si può fondare il trattamento dei dati personali: il consenso, l’esecuzione di un contratto, l’adempimento di un obbligo legale, la salvaguardia di interessi vitali, i legittimi interessi del titolare, l’esecuzione di un compito di interesse pubblico.
L’articolo 6 del dl n. 28/2020 non contiene indicazioni sul fondamento giuridico del trattamento dei dati personali che sarà avviato con il lancio di Immuni. La norma si limita a dichiarare la non obbligatorietà dell’installazione della app, chiarendo al riguardo che non ci sanno conseguenze pregiudizievoli in caso di mancato utilizzo.
In attesa di conoscere le determinazioni del Governo su questo punto, è utile fare chiarezza sulla netta distinzione tra volontarietà dell’utilizzo e consenso al trattamento dei dati personali.
Basta leggere le recentissime Linee-guida sugli strumenti di tracciamento pubblicate dal Comitato europeo per apprendere come “la circostanza per cui l’uso di app per il tracciamento dei contatti avvenga su base volontaria non implichi che il trattamento dei dati personali debba necessariamente basarsi sul consenso[10]”. L’EDPB individua piuttosto nello svolgimento di un compito di interesse pubblico la base giudica adeguata.
In altre parole, il trattamento dei dati personali necessari al funzionamento della app ben potrebbe basarsi sulla necessità del Ministero della salute di svolgere un compito di interesse pubblico. Ciò non esclude la libera scelta lasciata al cittadino di conferire o meno i suoi dati personali.
Occorre qui precisare che, trattandosi di dati relativi allo stato di salute, si andrebbe incontro al divieto generale di trattamento, imposto dal primo paragrafo dell’art. 9 del Gdpr[11]. L’eccezione al divieto generale viene individuata, sempre dall’EDPB, nell’art. 9 par. 2 lettere i) ed h), che autorizza il trattamento per motivi di interesse pubblico nel settore della sanità, o per finalità di assistenza sanitaria.
Peraltro questa impostazione è coerente con quanto enunciato nei Considerando del Regolamento europeo[12] e compiutamente illustrato dal Gruppo Art. 29 nelle linee guida adottate il 10 aprile 2018[13]. Il gruppo consultivo aveva infatti chiarito che nei rapporti tra autorità pubbliche e cittadini il consenso non dovrebbe mai essere considerato una base giuridica accettabile.
Più in generale, in tutti i casi di evidente squilibrio tra le parti, ove appaia “qualsiasi elemento di costrizione, pressione, o incapacità di esercitare il libero arbitrio”[14], il consenso non potrebbe dirsi legittimamente prestato.
È importante precisare però che il Governo italiano ben potrebbe, in ogni caso, privilegiare l’utilizzo del consenso come base giuridica del trattamento (nella forma rafforzata del consenso esplicito per il trattamento di dati relativi alla salute); il Gruppo Art. 29 infatti non esclude in termini assoluti il ricorso a questa base giuridica, anche nel caso in cui il titolare del trattamento sia una autorità pubblica, pur restringendone l’applicazione a determinate circostanze in cui esso possa considerarsi appropriato[15].
A parere di chi scrive questa soluzione comporterebbe comunque altre criticità per il titolare del trattamento, tra cui il rispetto dei requisiti di specificità e granularità[16]. Le Linee guida più volte citate, richiamando i Considerando 43 e 32 del Gdpr, chiariscono come l’interessato debba essere informato rispetto ad ogni tipologia di trattamento e ad ogni finalità per cui il trattamento avviene, e debba essere posto nella condizione di prestare il proprio consenso per ogni finalità, singolarmente considerata[17].
Proverò a ricostruire i passaggi legati all’utilizzo della app Immuni.
Per iniziare, pare di capire che i cittadini dovrebbero installare l’applicazione sul proprio cellulare al fine di essere informati nel caso fossero entrati in contatto stretto con persone poi rivelatesi positive al virus.
Dunque la finalità sarebbe di prevenzione/precauzione. Potremmo dire che in una prima fase, che potrebbe essere l’unica, il soggetto attende di essere avvisato di qualche contatto pericoloso avvenuto mentre utilizzava la app.
Nel caso in cui questo avviso dovesse arrivare, si aprirebbe però una seconda fase, in cui il soggetto allertato riceve istruzioni per mettersi in isolamento e, auspicabilmente, effettuare a sua volta i test per verificare la sua positività al virus.
In caso di conferma dell’avvenuto contagio, dal cellulare della persona sottoposta a diagnosi dovrebbe essere inviato un nuovo segnale a tutti i contatti memorizzati nel device. Ma se la procedura di diagnosi potrebbe dirsi ancora assimilabile, nella finalità, alla precedente (prevenzione/precauzione), l’invio del segnale di allerta sembrerebbe rispondere ad una finalità oggettivamente differente (la tutela della salute della collettività?).
Incidentalmente vale la pena di sottolineare come, dal momento dell’invio dell’alert, senza dubbio il coinvolgimento del patrimonio informativo ed il rischio per la riservatezza del contagiato, siano destinati ad aumentare sensibilmente.
Ci si chiede dunque se a fronte di questa segmentazione delle finalità (e del rischio), non sia necessario prevedere anche una segmentazione del conferimento del consenso al trattamento dei dati, o una segmentazione delle basi giuridiche.
Non è infatti escluso che il titolare utilizzi più basi giuridiche per diverse finalità di trattamento, con la sola precisazione che queste non possano mai considerarsi intercambiabili[18]. Ossia è ipotizzabile che per una finalità il titolare scelga il consenso e per un’altra il compimento di un compito di interesse pubblico, ma questa seconda base giuridica non potrebbe mai sopperire alla prima in caso di revoca del consenso, la quale dovrà essere sempre garantita.
4.2 I diritti degli interessati
L’obbligo imposto al titolare di garantire agli interessati il pieno esercizio dei loro diritti (per di più “con modalità semplificate”, come previsto nel dl 28/2020) potrebbe rivelarsi un’altra questione di complessa gestione, a prescindere dalla base giuridica prescelta.
Il rispetto di tale obbligo, in fase di implementazione, potrebbe tramutarsi in un onere molto gravoso, poiché la garanzia dell’esercizio dei diritti può dirsi realizzata solo se basata su una solida struttura di procedure ben definite, policies, catene di comando che consentano al titolare (al Ministero) di gestire anche molte richieste, nei tempi previsti e con efficienza.
Ad ogni interessato, nel caso di specie ad ogni utilizzatore di Immuni, il Gdpr riconosce com’è noto il diritto di accedere ai propri dati, di ottenerne una copia, di chiederne la rettifica se ha motivo fondato di ritenere che possa esserci stato un errore. L’interessato potrebbe inoltre chiedere la cancellazione e, nel caso di utilizzo della app basato sul consenso, la portabilità dei dati.
Tali eventualità potrebbero ben realizzarsi nel caso in cui un soggetto volesse estrarre copia delle informazioni sui suoi contatti, o se ne chiedesse la limitazione al fine di esercitare un suo diritto in sede giudiziaria, per questioni indipendenti dalla pandemia, oppure per agire nei confronti dei sanitari[19].
4.3 L’utilizzo della app da parte di minori
Proseguendo in quella che vuole essere solo una rapida rassegna di alcune questioni in tema di privacy che il titolare del trattamento dovrà affrontare, o escludere, nella implementazione del sistema di contact tracing, appare opportuno citare l’ipotesi di utilizzo della app Immuni da parte di minori.
Moltissimi minorenni posseggono uno smartphone, e certamente l’applicazione sarebbe più efficace se utilizzata anche dalla fascia di popolazione con meno di 18 anni. A proposito dei c.d. servizi della società dell’informazione, il Gdpr stabilisce che il consenso possa validamente essere prestato dai 16 anni in su. Tale limite è stato ulteriormente abbassato a 14 anni nel Codice Privacy.
Dalla lettura degli art. 8 del Gdpr e 2-quinquies del Codice Privacy si desume però che il consenso possa essere fornito solo rispetto al trattamento di dati comuni (infatti il riferimento è all’art. 6 par. 1 lett. a)). Quindi, poiché presumibilmente i dati trattati saranno di tipo sanitario (perlomeno in quella che ho definito seconda fase, che inizia dopo la diagnosi di infezione da Covid-19), di fatto per l’utilizzo della applicazione di tracciamento da parte di minorenni (perlomeno nel segmento successivo alla diagnosi) occorrerebbe il consenso degli esercenti la responsabilità genitoriale.
La questione del consenso non si porrebbe ove venisse prescelta una base giuridica differente per il trattamento. Ciononostante è importante ricordare che il titolare non potrà in ogni caso esimersi dal predisporre cautele rafforzate per il trattamento dei dati dei minorenni.
Significativamente il parere 2/2009 del Gruppo di lavoro Art. 29, fa espresso riferimento all’interesse superiore del minore come principio giuridico di base per la protezione dei dati personali che lo riguardano[20]. Anche il Gdpr al Considerando 58 prevede una protezione specifica per i minori, che dovrebbero ricevere informazioni relative al trattamento dei loro dati personali con linguaggio semplice e chiaro, adatto alla loro età e alla loro capacità di comprensione.
4.4 La profilazione
Il tracciamento dei contatti effettuato tramite app pare riconducibile alla descrizione contenuta nell’art. 4 n. 4 del Gdpr: un “trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati… per prevedere aspetti riguardanti… la salute”. Trattasi dunque di profilazione. Occorrerà quindi dare piena applicazione alle regole contenute nell’art. 22 del Gdpr, tra cui, in particolare, quella che riconosce all’interessato il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato che incida significativamente sulla sua persona.
Nel caso della app Immuni non solo saremmo di fronte ad una profilazione, ma per di più di dati relativi alla salute. Ci troveremmo però nel campo di applicazione dell’art. 22 par. 4 del Gdpr che autorizza la profilazione basata su categorie particolari di dati ove sia stato prestato il consenso espresso o vi sia l’esigenza di perseguire compiti di interesse pubblico rilevante, sempre che siano in vigore misure adeguate per proteggere i diritti degli interessati.
E’ bene ricordare che il Considerando 71 del Gdpr, così come le Linee guida in materia di profilazione[21] scoraggiano l’utilizzo di tali modalità decisionali nei confronti di minori, salvo i casi in cui il trattamento sia necessario a tutelare il benessere del minore stesso.
Occorre in ogni caso ricordare come, nelle strategie sanitarie che prevedono l’utilizzo di sistemi di contact tracing oggi allo studio, sia sempre previsto l’intervento umano (del personale sanitario) nel momento della diagnosi dell’infezione da Covid-19.
4.5 Pseudonimizzazione, anonimizzazione e rischio di reidentificazione
In tema di pseudonimizzazione occorre essere molto cauti. Innanzitutto perché, malgrado il frequente accostamento di questo termine al concetto di anonimizzazione (“dati…resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati[22]”), lo stesso può essere fuorviante.
La pseudonimizzazione infatti “riduce la correlabilità di un insieme di dati all’identità originale di una persona interessata; in quanto tale, rappresenta una misura di sicurezza utile, ma non un metodo di anonimizzazione”[23].
Ottenere una anonimizzazione totale di dati personali è impresa molto difficile, in quanto l’anonimizzazione è un trattamento di dati personali che prevede la irreversibilità, ovvero l’impossibilità di reidentificare una persona[24]. Quindi il termine stesso andrebbe utilizzato con grande cautela.
La differenza tra pseudonimizzazione ed anonimizzazione dunque non è di poco conto, in quanto ai dati anonimi (davvero anonimi) non si applica la disciplina del Gdpr, non trattandosi più di dati personali [25].
Posta questa distinzione, ai dati pseudonimizzati continua ad applicarsi il Gdpr, trattandosi di dati personali. Individuare misure adeguate ad evitare la reidentificazione dei soggetti pseudonimizzati, può rivelarsi una impresa ardua, proprio per le possibili correlazioni tra dati personali reperibili attraverso fonti differenti.
Il Considerando 26 precisa che “Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi”. Ebbene, nulla quaestio rispetto alla capacità/possibilità tecnica ed economica dei big players della tecnologia di utilizzare la loro potenza computazionale per operare analisi di dati e, eventualmente, reidentificazioni, posto che ne abbiano interesse.
Ma a parere di chi scrive è interessante riflettere su come un semplicissimo match tra un incontro al parco e, per esempio, la pubblicazione di una foto o di un dato di geolocalizzazione su un social network, consentirebbero ad un qualunque utilizzatore di Immuni di risalire all’incontro con la persona infetta e, di fatto, identificarla.
E’ utile in questo caso richiamare una decisione del Garante Privacy che rispetto alle notizie pubblicate dai giornali su un caso di violenza sessuale ha avuto modo di precisare come, se la vicenda si svolge in un abitato di piccole dimensioni, dove tendenzialmente tutti si conoscono, in concreto da informazioni non estremamente dettagliate si possa risalire alla identità delle persone coinvolte: “il fatto che una persona cui si riferisce l'informazione venga identificata o meno dipende dalle circostanze del caso[26]”.
Più precisamente un giornale, pur avendo omesso il cognome per esteso delle persone oggetto di indagine, aveva diffuso altri dati (luogo di residenza, composizione del nucleo familiare…) delle persone coinvolte; tali dati, nel loro insieme, considerato il numero esiguo di abitanti del comune in cui si erano svolti i fatti, si erano rivelati comunque idonei ad identificare la vittima.[27]
Non sfugge che, evidentemente, ci sarà sempre un limite oltre il quale le misure predisposte dal titolare non possono arrivare. Sarebbe quindi vessatorio pretendere dal titolare una garanzia di esclusione totale del rischio di reidentificazione. Credo tuttavia che una riflessione in questi termini possa essere utile nella fase di selezione e redazione delle informazioni che dovranno essere fornite agli interessati al momento della installazione della app Immuni.
5. Conclusioni
Come si è provato a dimostrare con alcuni focus, le questioni di tutela dei dati personali sollevate dal sistema di tracciamento dei contatti che il Governo sta predisponendo sono molteplici, e molte di esse non potranno che esser definite all’esito della risoluzione di questioni tecniche e giuridiche, oltre che del bilanciamento tra valori talvolta contrapposti, ma tutti meritevoli di tutela.
Ad oggi appare ancora difficile prevedere come si configurerà il modello italiano di contact tracing perché molti sono i punti da chiarire.
In conclusione preme però condividere l’auspicio che alcune lacune nel coordinamento tra Stato e Regioni, e, per quel che attiene l’oggetto di questo contributo, le molteplici iniziative regionali in termini di tracciamento tramite app, non vanifichino il lavoro svolto dalla c.d. commissione data-driven, e soprattutto non riducano l’efficacia dello strumento prescelto.
Perché ciò non accada, occorrerà che la app Immuni, quando verrà finalmente rilasciata, contempli la caratteristica della modularità, già richiamata dal Garante, oltre che della interoperabilità con altre app europee, come auspicato dalla Commissione UE nella sua raccomandazione dell’8 aprile scorso[28].
Proprio la Commissione UE attende che gli Stati membri riferiscano, entro il 31 maggio, sulle azioni intraprese al fine di elaborare un approccio comune paneuropeo alle applicazioni mobili per il Covid-19.
Vedremo.
[1] Gdpr, Art. 24 par. 1 “Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.
[2] A norma del Gdpr si definiscono “interessati” le persone fisiche identificate o identificabili cui i dati personali si riferiscono.
[3] Tale organismo indipendente (in inglese European Data Protection Board, EDPB), istituito con l’art. 68 del Regolamento europeo n. 2016/679, garante della coerente applicazione del Gdpr, è composto dai vertici delle autorità garanti degli Stati membri e dal Garante europeo per la protezione dei dati personali. Ha sostituito il Gruppo di lavoro Art. 29, istituito a sua volta, con finalità consultive, dalla Direttiva n. 95/46/CE.
[4] Tra le altre: Garante per la protezione dei dati personali, Primi riscontri alle ipotesi avanzate all'interno del Gruppo di lavoro data driven per l'emergenza COVID-19, 7 aprile 2020, www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9316821 ;
Commissione europea, Raccomandazione (UE) 2020/518 della Commissione dell’8 aprile 2020 relativa al pacchetto di strumenti comuni dell’Unione per l’uso della tecnologia e dei dati al fine di contrastare la crisi Covid-19 e uscirne, in particolare per quanto riguarda le applicazioni mobili e l’uso di dati anonimizzati sulla mobilità, https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32020H0518&from=EN ; Comitato europeo per la protezione dei dati personali: Lettera della Presidente alla Commissione europea sul Progetto di linee-guida in materia di app per il contrasto della pandemia Covid-19, 14 aprile 2020, https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterecadvisecodiv-appguidance_final.pdf , Linee-guida 04/2020 del 21 aprile 2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19, www.garanteprivacy.it/documents/10160/0/EDPB+-+Linee-guida+03_2020+sul+trattamento+dei+dati+relativi+alla+salute+a+fini+di+ricerca+scientifica+nel+contesto+dell%E2%80%99emergenza+legata+al+COVID-19.pdf/ab38e16e-c67d-772d-eb3f-5d9c8c3c112c?version=1.2 .
[5] Non è questa la sede per poter trattare il tema, ma vale la pena segnalare che nelle Linee guida in materia di profilazione (vd. Infra, nota 21) si dice che “Il titolare del trattamento dovrebbe esaminare l’esattezza in tutte le fasi del processo di profilazione […]. Se i dati utilizzati nel contesto di un processo decisionale automatizzato o di profilazione non sono esatti, qualsiasi imprecisione o profilo che ne deriverà sarà viziato. Le decisioni possono essere prese sulla base di dati obsoleti o di un’interpretazione errata di dati esterni. Eventuali inesattezze possono portare a previsioni o affermazioni inappropriate in merito, ad esempio, alla salute, al rischio di credito o al rischio assicurativo di una data persona”.
[6] A tal proposito l’art. 118 del Decreto legge 17 marzo 2020 n. 18 c.d. “Cura Italia”, convertito con legge 24 aprile 2020 n. 27, è intervenuto a garantire la continuità delle funzioni dell’Authority, in ulteriore proroga, fino a sessanta giorni successivi alla cessazione dello stato di emergenza; è stato opportunamente soppresso anche il riferimento al compimento di soli atti di ordinaria amministrazione.
[7] In ogni caso ogni trattamento dei dati personali cesserà con il termine dello stato di emergenza, o comunque non oltre il 31 dicembre 2020, e tutti i dati dovranno essere cancellati o anonimizzati.
[8] I dati personali raccolti dall’applicazione saranno “esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19”, dl 28/2020, art. 6 comma 2 lett. b.
[9] Il riferimento, contenuto nella lettera e) del secondo comma dell’articolo in commento solleva un dubbio sulla effettiva collocazione dei dati; invero vi si legge che i dati saranno conservati “anche” nei dispositivi degli utenti, lasciando intendere che la gestione sia centralizzata.
[10] Comitato europeo per la protezione dei dati personali, Linee-guida 04/2020 del 21 aprile 2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19, www.garanteprivacy.it/documents/10160/0/EDPB+-+Linee-guida+03_2020+sul+trattamento+dei+dati+relativi+alla+salute+a+fini+di+ricerca+scientifica+nel+contesto+dell%E2%80%99emergenza+legata+al+COVID-19.pdf/ab38e16e-c67d-772d-eb3f-5d9c8c3c112c?version=1.2 , p.7.
[11] È noto che l’art. 9 del Gdpr pone un divieto generale di trattamento delle c.d. categorie particolari di dati, ossia dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, alla vita sessuale, all’orientamento sessuale di una persona.
[12] Cfr. Cons. 43.
[13] Gruppo di lavoro Art. 29, WP 259 rev.01, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, p. 6 ss., https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
[14] Ibidem, p. 8.
[15] Non è possibile richiamare qui gli esempi forniti dal Gruppo Art. 29. Si rimanda pertanto alle citate Linee guida sul consenso per una compiuta articolazione della questione.
[16] Ibidem, p. 11 ss.
[17] In particolare al Considerando 32 si legge che “qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste”.
[18] Linee guida sul consenso, cit. p. 26: “Comunicare che i dati saranno trattati sulla base del consenso mentre in realtà si fa affidamento su un’altra base legittima sarebbe fondamentalmente scorretto nei confronti dell’interessato. In altre parole, il titolare del trattamento non può passare dal consenso ad altre basi legittime”. p. 26.
[19] Gdpr, artt. 15-18 par. 1 lett. c).
[20] Gruppo di lavoro Art. 29, parere n. 2/2009 sulla protezione dei dati personali dei minori, www.garanteprivacy.it/documents/10160/10704/1619292.pdf/1ab4d295-c2b9-405f-a2df-1e0f7ec9cfd1?version=1.0
[21] Gruppo di lavoro Art. 29, WP 251 rev.01, Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053
[22] Il riferimento è all’art. 6 del dl n. 28/2020, comma 2 lett. c).
[23] Gruppo di lavoro Art. 29, WP 216, Parere 05/2014 sulle tecniche di anonimizzazione, p. 21 www.garanteprivacy.it/documents/10160/2133805/WP216+Opinion+05+2014+on+_Anonymisation+Techniques+onto+the+web.pdf/e93e26aa-6d98-4b79-b916-76ceb04160d1?version=1.2
[24] “Un’efficace soluzione di anonimizzazione impedisce a tutte le parti di identificare una persona in un insieme di dati, di collegare due dati all’interno di un insieme di dati […] e di dedurre informazioni da tale insieme di dati” vd. supra, p. 10.
[25] Gdpr, Cons. 26 “I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”.
[26] Gruppo Art. 29, parere 4/2007 suo concetto di dati personali, p. 13. Si rimanda al citato parere per un approfondimento delle questioni che in questa sede possono essere argomentate solo sommariamente www.garanteprivacy.it/documents/10160/10704/ARTICOLO+29+-+WP+136.pdf/339f9753-f2bc-41ed-b720-0e12f0a56801?version=1.1
[27] Violenza sessuale e diritto di cronaca - 28 gennaio 2010 [1696265] www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1696265
[28] Commissione europea, Raccomandazione (UE) 2020/518 della Commissione dell’8 aprile 2020 relativa al pacchetto di strumenti comuni dell’Unione per l’uso della tecnologia e dei dati al fine di contrastare la crisi Covid-19 e uscirne, in particolare per quanto riguarda le applicazioni mobili e l’uso di dati anonimizzati sulla mobilità, https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32020H0518&from=EN