Quali tecniche di anonimizzazione privilegiare, l’importanza di una chiara indicazione del titolare del trattamento, quali previsioni a garanzia dei dati dovrebbero contenere le misure legislative in questa fase di emergenza, e ancora: conservazione centralizzata o decentralizzata?
Il Comitato europeo dei garanti della privacy (EDPB), ha appena adottato le “Linee guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19”.
Le linee guida chiariscono le condizioni e i principi per un lecito e proporzionato trattamento dei dati di localizzazione degli individui e per l’impiego degli strumenti di tracciamento dei contatti sociali, come ad esempio l’app Immuni in Italia, in una prospettiva di protezione sia della salute che delle libertà fondamentali.
Il Comitato ha individuato due ambiti specifici di utilizzo dei dati di localizzazione:
- lo sviluppo di modelli epidemiologici della diffusione del virus per valutare l’efficacia delle misure adottate;
- l’interruzione dell’eventuale trasmissione del contagio informando i soggetti coinvolti nel contatto sociale.
In particolare, per questo scopo di alerting, i dati, che possono essere raccolti da fornitori di servizi di comunicazione elettronica e da fornitori di servizi della società dell’informazione, dovrebbero essere trattati mediante l’impiego di tecniche costantemente aggiornate di anonimizzazione, garantendo trasparenza nella metodologia di applicazione.
Il Comitato puntualizza che: “l’anonimizzazione fa riferimento all’uso di una serie di tecniche finalizzate a eliminare la possibilità di collegare i dati a una persona fisica identificata o identificabile con uno sforzo “ragionevole”.
Questo “test di ragionevolezza” deve tenere conto sia degli aspetti oggettivi (tempi, mezzi tecnici) sia di elementi di contesto che possono variare caso per caso (rarità di un fenomeno, la densità di popolazione, la natura e il volume dei dati). Se i dati non superano tale test, non sono anonimizzati e pertanto rientrano nel campo di applicazione del regolamento generale sulla protezione dei dati”.
Il livello di garanzia dell’anonimato si basa dunque sul parametro di ragionevolezza dello sforzo di reversing, che trova implementazione nella robustezza delle tecniche specifiche e dipende dai fattori della individuabilità, correlabilità e inferenza. Ciò sta ad indicare, rispettivamente, la possibilità di identificare un singolo soggetto all’interno di un gruppo, di mettere in relazione due dati riferibili al medesimo individuo e la possibilità di evincere informazioni sconosciute relative allo stesso.
A tal proposito viene evidenziato che la realizzazione di una anonimizzazione assoluta, e totalmente impermeabile a tentativi di reidentificazione dell’utente, richiede un grande impegno poiché il singolo dato difficilmente può essere reso anonimo in quanto solo intere serie di dati si prestano all’anonimizzazione mentre “qualsiasi intervento su un dato isolato o sulla serie storica di dati riferibili a un singolo interessato (mediante cifratura o altre trasformazioni matematiche) può essere considerato, nel migliore dei casi, una pseudonimizzazione”. In particolare, sono proprio i dati relativi all’ubicazione a presentarsi come i più problematici in termini di anonimizzazione. Per esempio, un’unica serie di dati che si riferiscono ad un arco di tempo piuttosto ampio rischia facilmente di non ricevere la giusta protezione, salvo eliminare la precisione delle coordinate e dei dettagli del percorso seguito dai soggetti.
Le applicazioni mobili di contact tracing
Quanto all’operatività delle applicazioni mobili di contact tracing il Comitato ha richiamato l’attenzione sulla necessità di definire chiaramente la titolarità del trattamento dei dati raccolti mediante l’app (principio di responsabilizzazione) e sull’importanza di una chiara indicazione del link da utilizzare per l’installazione dell’app ufficiale. Il principio è ovviamente applicabile sia con riferimento alle autorità sanitarie nazionali sia ad eventuali altri soggetti titolari, i cui ruoli e le cui responsabilità dovranno essere chiaramente delineati e comunicati agli utenti.
Vengono confermati anche i principi di:
- limitazione delle finalità, che devono essere circoscritte alla gestione dell’emergenza Covid-19;
- minimizzazione, per la raccolta nell’apparecchiatura terminale delle sole informazioni assolutamente necessarie;
- protezione dei dati sin dalla progettazione e per impostazione predefinita (data protection by design and by default).
Per quanto attiene al principio di liceità del trattamento invece il Comitato richiama l’art. 5, comma 3 della direttiva e-privacy che si riferisce alla necessità o meno del consenso prestato dall’utente ai fini dell’accesso alle informazioni archiviate nella sua apparecchiatura terminale. Infatti, il consenso non è necessario per le operazioni indispensabili a rendere il servizio esplicitamente richiesto dall’utente. Nella fattispecie dell’uso dell’applicazione per il tracciamento dei contatti su base volontaria si individua come base giuridica l’art. 6, par. 1, lett. e) GDPR, in quanto si tratta di una circostanza di necessità di trattamento dati per svolgere un’attività di tutela dell’interesse pubblico.
Il Comitato puntualizza che l’eventuale prescrizione di una adesione volontaria alla applicazione non comporti necessariamente che la base giuridica del consenso debba essere il consenso. In particolare, se il servizio fosse attivato su mandato legislativo “la base giuridica più pertinente risulta essere la necessità del trattamento per lo svolgimento di un compito di interesse pubblico, ossia l’articolo 6, paragrafo 1, lettera e), del Regolamento generale sulla protezione dei dati”. In tal modo si assicurerebbe che il mandato legislativo sia attribuito condizionatamente alla conformità alle prescrizioni di legge.
Le misure legislative a garanzia dei dati nella fase di emergenza
Tuttavia, nell’attuale panorama di emergenza sanitaria le misure legislative dovrebbero prevedere:
- ulteriori garanzie per quanto attiene alla natura della volontarietà dell’app;
- le finalità e le limitazioni di un ulteriore utilizzo dei dati;
- una chiara identificazione dei titolari e dei destinatari della comunicazione dei dati;
- l’individuazione dei tempi e delle modalità della disinstallazione dell’applicazione stessa.
Inoltre, trattandosi di “dati particolari”, relativi alla salute, il loro trattamento è consentito esclusivamente con il consenso degli interessati oppure nei limiti delle finalità di assistenza sanitaria previsti dall’art. 9, par. 2, lett. h) GDPR, e alle condizioni al riguardo previste nel par. 3 dello stesso articolo; oppure “per motivi di interesse pubblico nel settore della sanità pubblica”, in base all’art. 9, par. 2, lett. i) GDPR oppure per le finalità previste dalla lett. j) dello stesso (per motivi di ricerca scientifica o per fini statistici). Al riguardo, si deve osservare che l’eventuale adozione di una legge ad hoc per l’implementazione del servizio potrebbe regolare e specificare il trattamento ai sensi dell’art. 9, par. 2, lettera (h), per finalità di medicina preventiva e di gestione dei “sistemi e servizi sanitari o sociali”, come richiesto dal paragrafo 3 dello stesso articolo.
Si specifica comunque che ogni server dovrà raccogliere esclusivamente la cronologia dei contatti o dei codici identificativi univoci, monouso e pseudonimizzati degli utenti diagnosticati positivi, impiegando tecniche crittografiche di ultima generazione.
Anche in questa situazione opera comunque il limite alla conservazione dei dati, in quanto essi dovrebbero essere conservati solo per le già menzionate finalità specifiche e per il tempo strettamente necessario, trattatati in forma anonima e cancellati alla fine dell’emergenza.
Si evidenziano inoltre altri aspetti fondamentali quali l’importanza del tracciamento manuale dei contatti effettuato dal personale sanitario qualificato che non può, in alcun modo, essere completamente sostituito dalle funzioni dell’applicazione; la necessità di verificare la trasparenza, la validità e la conformità alla legge degli algoritmi utilizzati; e, non ultima, la valutazione di impatto sulla protezione dei dati i cui risultati andranno resi pubblici appena disponibili.
Archiviazione centralizzata o decentralizzata?
Il Comitato si pronuncia anche sulla vexata questio dell’archiviazione decentralizzata (sul device dell’interessato) o centralizzata (su server centrale). Al riguardo non prende posizione precisando che “Entrambe le opzioni sono praticabili, a condizione che siano in vigore adeguate misure di sicurezza, ed entrambe comportano una serie di vantaggi e svantaggi. Pertanto, la fase di progettazione delle app dovrebbe sempre prevedere un esame approfondito di entrambi gli approcci, ponderandone attentamente gli effetti in termini di protezione dei dati e privacy nonché i possibili impatti sui diritti delle persone”.
Significativa è la conclusione del Comitato, che equivale ad una direttiva e, allo stesso tempo, a un warning rivolto a commentatori e decisori superficiali:
“Il Comitato europeo per la protezione dei dati sottolinea che a nessuno dovrebbe essere chiesto di scegliere tra una risposta efficace all’attuale crisi e la tutela dei diritti fondamentali: entrambi gli obiettivi sono alla nostra portata, e i principi di protezione dei dati possono svolgere un ruolo molto importante nella lotta contro il virus. Il diritto europeo in materia di protezione dei dati consente l’uso responsabile dei dati personali per la gestione della salute, garantendo al contempo che non siano erosi i diritti e le libertà individuali”.