La situazione di emergenza che la pandemia provocata dal virus CoViD-19 ha creato sta facendo nascere una serie di correnti di pensiero sull’opportunità di comprimere i diritti sulla tutela della privacy a fronte di una paventata maggiore sicurezza per il cittadino. Quali strumenti abbiamo a disposizione e come utilizzarli?
L’emotività del momento contribuisce sicuramente a ipotizzare soluzioni drastiche nella gestione emergenziale, ma non si deve dimenticare, da un lato, che lo stato di allarme è destinato a terminare e, dall’altro, che la normativa vigente offre strumenti validi per agire in modo efficace e sicuro.
Da più parti si sono sentiti annunci roboanti sulla necessità di “sospendere le norme sulla privacy” per lasciare più libertà ai sistemi sanitari. Come tutti gli slogan semplicistici, anche questi celano la mancanza di conoscenza e di informazione sulle norme: la tutela dei dati personali non è né un ostacolo all’azione efficace dei sistemi sanitari (neanche in questa situazione di emergenza), né, a maggior ragione, un privilegio superfluo a cui si può e deve rinunciare in tempi di emergenza.
Il parere del Comitato europeo per la protezione dei dati
Il diritto alla protezione dei dati e il diritto alla privacy sono diritti di libertà inseriti, come ogni altro diritto fondamentale, in un contesto generale in cui il livello di tutela è modulato in base al contesto specifico.
Il Comitato europeo per la protezione dei dati (EDPB), organismo indipendente che ha lo scopo di garantire un’applicazione coerente del GDPR e di promuovere la cooperazione tra le autorità di controllo dell’Unione Europea, ha espresso chiaramente questo concetto, evidenziando alcuni aspetti cardine:
“È nell’interesse dell’umanità arginare la diffusione delle malattie e utilizzare tecniche moderne nella lotta contro i flagelli che colpiscono gran parte del mondo. Il Comitato europeo per la protezione dei dati desidera comunque sottolineare che, anche in questi momenti eccezionali, titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati. Occorre pertanto tenere conto di una serie di considerazioni per garantire la liceità del trattamento di dati personali e, in ogni caso, si deve ricordare che qualsiasi misura adottata in questo contesto deve rispettare i principi generali del diritto e non può essere irrevocabile. L’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza.”
Questo passaggio evidenzia chiaramente due aspetti fondamentali:
- le garanzie che titolari e responsabili del trattamento devono porre in essere
- la norma offre strumenti specifici per gestire le situazioni di emergenza.
Internet of things (IoT) e privacy by design
Seguendo i medesimi criteri ci si deve muovere nel momento in cui si considera di utilizzare strumenti ormai di uso quotidiano (oltre agli smartphone ci riferiamo agli smartwatch – ormai in grado di misurare dati sanitari di chi li indossa, gli assistenti domotici eccetera) per porre in essere azioni volte a monitorare, contenere o attenuare la diffusione del Covid-19.
Uno dei punti cardine introdotto dal regolamento generale sulla protezione dei dati 2016/679 (GDPR) è rappresentato dalla tutela dei dati personali degli individui che deve iniziare già nella fase della progettazione dell’oggetto o del servizio (in base al principio privacy by design)
L’obiettivo principale è quello di realizzare:
• la protezione dei dati
• la protezione degli utenti
Il punto di partenza di ogni progetto che implichi un trattamento di dati personali deve considerare centrale l’utente in quanto soggetto interessato del trattamento: è necessario prendere prima di tutto in considerazione il ruolo dell’utente, progettando tutto attorno alla persona fisica. Seguendo questo principio metodologico diventa semplice evitare i rischi privacy e di sicurezza.
Il concetto di privacy by design esclude, pertanto, che si possa effettuare una valutazione di conformità alla normativa successivamente alla redazione del progetto o, peggio ancora, in seguito ad un evento che possa anche solo potenzialmente inficiare il trattamento dei dati personali.
Un’esatta e integrale applicazione di questo principio fondamentale (previsto, ricordiamo, dall’articolo 25 comma 1 del GDPR) deve necessariamente realizzarsi nel momento in cui si richiedono determinati (e delicati) compiti agli strumenti IoT. Per questo, adempiendo al principio del “prevenire, non correggere”, gli strumenti in questione dovrebbero essere progettati già tenendo conto la possibilità di un loro utilizzo in situazioni di emergenza.
Internet of things (IoT) e privacy by default
Il comma 2 dell’articolo 25 enuncia il secondo fondamentale principio, noto come Privacy by default. La norma prevede che Il titolare del trattamento debba mettere in atto “misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità.
Per ottemperare a questo principio è necessario agire già a livello progettuale garantendo che non siano raccolti dati non necessari; in questo modo si garantisce un elevato livello di protezione anche nel caso in cui l’interessato non si attivi in prima persona per limitare la raccolta dei dati o, ipotesi tutt’altro che rara, non abbia dimestichezza sufficiente per porre in essere l’operazione di opt-out.
La valutazione d´impatto sulla protezione dei dati
L’introduzione dei principi di “Privacy by design” e “Privacy by default”, associati a una sempre necessaria analisi preliminare dei trattamenti impone al titolare, se si rileva la possibilità di rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), di effettuare la valutazione d´impatto sulla protezione dei dati.
La valutazione di impatto (nota anche con gli acronimi “PIA” e “DPIA”) è una procedura prevista dall’articolo 35 del GDPR che ha l’obiettivo di descrivere un trattamento di dati personali per valutarne necessità e proporzionalità, nonché gli eventuali rischi che tale trattamento può comportare, con lo scopo di porre in essere le misure idonee a contrastarli.
La valutazione, in base all’articolo 35 paragrafo 7 del GDPR, deve contenere almeno:
- una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
- una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1 del medesimo articolo 35;
- le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Questo strumento esprime chiaramente la responsabilizzazione (accountability) dei titolari che il Regolamento ha lodevolmente introdotto; questo approccio vuole da un lato sottolineare che nessuno meglio dei titolari dei trattamenti conoscono le modalità con cui i trattamenti avvengono e quali misure sono, nel concreto, necessarie per tutelare i dati in modo adeguato, dall’altro è un modo per dimostrare adeguatamente in che modo i titolari garantiscono l’osservanza della normativa.
Nell’ambito degli strumenti IoT la valutazione di impatto risulta obbligatoria in quanto tale tipologia di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche e, se svolta in maniera corretta e responsabile, offre tutte le garanzie necessarie per un trattamento dati corretto anche in situazioni di emergenza.
Il trattamento dei dati nelle telecomunicazioni
La possibilità di tracciare gli spostamenti degli individui ai fini di contrastare il diffondersi di epidemie è materia molto dibattuta date le profonde implicazioni che può provocare un trattamento dati di questo genere.
In linea di principio, come previsto dalla direttiva e-privacy (2002/58/CE) i dati relativi all’ubicazione possono essere utilizzati dall’operatore solo se resi anonimi o con il consenso dei singoli. Tuttavia, l’articolo 15 della direttiva e-privacy consente agli Stati membri di introdurre disposizioni legislative volte a salvaguardare la sicurezza pubblica. Lo stesso articolo 15 sottolinea che tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all’interno di una società democratica.
In tale direzione sono state già prese una serie di iniziative basate sul trattamento di dati anonimizzati (ricordiamo che le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente resi anonimi). Le maggiori compagnie telefoniche hanno offerto alla Regione Lombardia i dati sul traffico telefonico in loro possesso, per verificare gli spostamenti dei lombardi. Stando alle informazioni fornite dalla Regione, i dati (raccolti in forma aggregata e anonima) permettono di conoscere le distanze percorse da chi si muove portando con sé il proprio cellulare; in questo modo è possibile verificare il rispetto delle restrizioni sugli spostamenti decise dal Governo per contenere il Coronavirus.
Anche Facebook sta contribuendo alla lotta contro il contagio rendendo disponibili alle istituzioni sanitarie informazioni aggregate e anonimizzate sulla mobilità e sulla densità della popolazione, in modo da poter elaborare alcune proiezioni sulle modalità di diffusione del CoViD-19.
Gli strumenti offerti dal GDPR
La normativa prevede chiaramente la possibilità del verificarsi di situazioni particolari ed emergenziali che comportano una gestione più semplice dei dati personali anche particolari quali i dati sanitari.
L’elemento cardine è indubbiamente l’articolo 9 del GDPR che al punto 2 comma i, permette l’utilizzo dei dati sanitari, a prescindere dal consenso esplicito dell’interessato, quando “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici”.
Quali garanzie devono offire titolari e responsabili del trattamento
Certamente il fatto che i dati personali possano essere utilizzati non significa che non debbano essere seguite scrupolosamente le opportune cautele, anche esse puntualmente previste dallo stesso GDPR e sintetizzate all’articolo 5 del medesimo:
- il trattamento deve avvenire in modo lecito: devono essere presenti, nel nostro caso, le condizioni che permettono l’utilizzo dei dati particolari previste dall’articolo 9 GDPR e tutte le disposizioni legislative, incluse quelle che regolano settori particolari.
- il trattamento deve avvenire in modo corretto: la raccolta e l’utilizzo dei dati personali devono svolgersi garantendo all’interessato (e all’intera collettività) che il trattamento non ponga a rischio i dati personali e che siano ben delineati i limiti (temporali e sostanziali) del trattamento medesimo.
- il trattamento deve essere trasparente: devono essere rese conoscibili “le modalità con cui i dati sono raccolti, utilizzati e consultati grazie ad informazioni e comunicazioni facilmente accessibili e comprensibili, utilizzando un linguaggio semplice e chiaro”, così come previsto dal Considerando 37 GDPR.
Questi principi si sostanziano, nei confronti dell’interessato, con l’attività informativa che il titolare (o responsabile) del trattamento deve necessariamente rendere all’interessato stesso.
Non ci dilungheremo in questa sede su cosa prevede genericamente l’informativa che deve essere resa all’interessato secondo gli articoli 13 e 14 del GDPR, ma è opportuno sottolineare come debba essere chiaramente specificato il limite temporale di un determinato trattamento, limite che, per situazioni emergenziali come quella inerente la pandemia da CoViD-19, può essere considerato come il termine dello stato di emergenza.
Come anticipato in precedenza, il regolamento generale sulla protezione dei dati (GDPR) è una normativa di ampia portata che offre strumenti adeguati per semplificare il trattamento dei dati personali in contesti emergenziali.
Tali emergenze si riflettono necessariamente in più ambiti:
- Ambito sanitario
Le autorità sanitarie pubbliche e tutte le altre autorità competenti possono effettuare il trattamento dei dati personali (incluse le categorie particolari di tali dati), in quanto espressamente previsto dagli articoli 6 e 9 del GDPR. - Ambito lavorativo
Il trattamento dei dati personali in ambito lavorativo può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria. Queste sono condizioni di liceità chiaramente espresse all’articolo 6 del GDPR e riguardano il trattamento dei dati non appartenenti a categorie particolari
Il GDPR prevede, però, anche deroghe al divieto di trattamento di talune categorie particolari di dati personali, come i dati sanitari, se ciò si renda necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9 comma 2, lettera i), sulla base del diritto dell’Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali dell’interessato (articolo 9 comma 2 lettera c). Il Considerando 46 risulta molto chiaro in merito in quando afferma esplicitamente che “Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”.
Conclusioni
Terminiamo l’analisi citando le parole dell’attuale presidente del Garante per la protezione dei dati personali, Antonello Soro: “La nostra disciplina offre gli strumenti per minimizzare il pericolo di abusi, secondo i principi di precauzione e prevenzione, che impongono misure di sicurezza e garanzie di protezione dati già nella fase di progettazione e impostazione della struttura tecnologica. Rispettando questi criteri, si può valorizzare al massimo grado l’innovazione”.
Per contattare l’autore di questo articolo