L’impiego della tecnologia, come le app di monitoraggio contagiati coronavirus può di certo avere risvolti positivi nel fronteggiare la pandemia, a condizione che si rispettino alcuni principi fondamentali.
Modalità e finalità delle app coronavirus
Il primo in assoluto è quello relativo alla corretta individuazione delle modalità con le quali l’app considerata funziona e quali finalità persegue.
Si dice che i sistemi di tracciamento delle persone invadono eccessivamente la nostra privacy senza avere contezza delle modalità con le quali possono funzionare e delle possibilità che il sistema normativo offre, sia in situazioni emergenziali, come l’attuale, sia in momenti di “assoluta normalità”.
Nell’ambito del trattamento dei dati personali si possono avere solamente due diversi scenari: il primo prevede che vengano utilizzati dati (pseudo)anonimizzati, il secondo che il trattamento riguardi dati personali non anonimizzati. Tertium non datur.
Solo se si parte da questo elemento, ossia dalla tipologia di dati che vengono utilizzati, si possono affrontare in maniera adeguata le criticità, vere o presunte, connesse all’impiego della tecnologia.
L’attenzione per la possibilità di utilizzare alcune app per il contenimento della pandemia nasce dall’analisi del cosiddetto modello sud-coreano che, attraverso l’utilizzo di metodologie di conctact tracing, è stato in grado di limitare al massimo il numero di contagi.
Ci si è quindi chiesti se un sistema di questo tipo possa essere utilizzato anche nel nostro paese o se il sistema di tracciamento delle persone realizzato risulti lesivo della loro privacy.
A incrementare il dibattito si è aggiunta poi la notizia dell’utilizzo da parte della Regione Lombardia dei dati sullo spostamento dei cittadini ricavati dalle celle telefoniche per misurare l’efficacia delle misure restrittive imposte dal Governo.
In entrambi i casi, la lesione della privacy deriverebbe dal mancato rispetto del Regolamento europeo sulla protezione dei dati personali (GDPR).
Il “falso problema” della privacy per i dati anonimizzati
Partiamo dall’analisi della tipologia di dati che vengono utilizzati nei due esempi sopracitati, ossia nel contact tracing del modello sud-coreano e nell’analisi dei dati delle celle telefoniche.
Sia nell’una che nell’altra ipotesi si tratta di dati anonimizzati, ossia di dati che non consentono l’individuazione del soggetto al quale si riferiscono.
Si tratta in altre parole di un dato “neutro”, ossia “spersonalizzato” poiché non è possibile, in nessun modo e con nessuno strumento, risalire alla persona fisica.
Il processo di anonimizzazione è un processo irreversibile, per cui, una volta che il dato è stato reso anonimo, resta per sempre tale, e anche l’incrocio con altri dati non consente di identificare il soggetto.
Proprio per questo motivo il Considerando 26 del GDPR espressamente stabilisce che “I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.
Essendo al di fuori dal perimetro di applicabilità del GDPR, pertanto, non si può invocare la violazione della privacy in tutte le ipotesi nelle quali la tecnologia utilizzi dati anonimi.
È evidente, in ogni caso, che si debba necessariamente trattare di dati anonimi, resi tali in maniera effettiva, posto che una “semplice” pseudonimizzazione sposterebbe completamente la questione e i dati pseudonimizzati, ossia attribuibili ad un interessato specifico solo attraverso l’utilizzo di informazioni aggiuntive, non potrebbero essere utilizzati con le stesse modalità.
Il punto cruciale: la protezione dei dati
Se il dato anonimizzato, come visto, può essere impiegato dalla tecnologia per far fronte alla emergenza sanitaria derivante dalla diffusione del Covid19, quid iuris per le altre tipologie di dati?
I dati personali e i dati pseudonimizzati sono entrambi categorie soggette al Regolamento Europeo 2016/679.
Anche in questo caso bisogna partire dal dato normativo per comprendere se e come sia possibile il loro impiego per far fronte alla pandemia.
L’art. 1 del GDPR inserisce il diritto alla protezione dei dati personali tra i diritti fondamentali dell’uomo, al pari, quindi, del diritto alla salute e del diritto alla vita.
Si tratta quindi di verificare come diritti fondamentali, quindi di pari rango, possano essere trattati e conciliati tra di loro.
Consideriamo in primo luogo lo stato emergenziale in cui ci troviamo.
Il considerando 46 del GDPR prevede espressamente l’ipotesi di trattamento dei dati in presenza di epidemie e stabilisce che “Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica. Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”.
Sulla base di questa norma si è avanzata un’interpretazione un po’ estrema della possibilità di trattare i dati personali, fondata sul fatto di trovarci in una situazione eccezionale, essendo stata dichiarata la pandemia.
Bisogna in ogni caso ricordare che il considerando 46 si riferisce alla sola base giuridica del trattamento, fermi tutti gli altri principi indicati dal GDPR, quali, per esempio, la minimizzazione dei dati, la finalità e la durata temporale del trattamento.
In sostanza la situazione emergenziale inciderebbe solamente sulla liceità del trattamento.
Le indicazioni dell’EDPB
Significative le indicazioni rese dal European Data Protection Board nello “Statement on the processing of personal data in the context of the COVID-19 outbreak” del 19 Marzo 2020.
In primo luogo, viene riaffermato il principio secondo il quale il GDPR non è, e non deve essere considerato, un ostacolo alla lotta contro la pandemia. Tuttavia, anche se è interesse dell’umanità contenere e combattere la diffusione del virus in ogni caso deve essere garantita la protezione dei dati personali.
Per questo motivo ogni misura adottata deve rispettare i principi enunciati dal GDPR e deve garantire la temporaneità e la non irreversibilità delle soluzioni utilizzate.
Con riferimento ai dati personali l’EDPB ribadisce che, anche in situazioni di emergenza come quella determinata dalla diffusione del Covid19:
- i dati personali necessari per raggiungere gli obiettivi perseguiti devono essere trattati per scopi specifici ed espliciti;
- gli interessati devono ricevere informazioni trasparenti sulle attività di trattamento a cui sono soggetti i loro dati e le caratteristiche principali del trattamento, inclusi il periodo di conservazione dei dati raccolti e le finalità del trattamento;
- le informazioni fornite devono essere facilmente accessibili e devono essere fornite in un linguaggio chiaro e facilmente comprensibile;
- per garantire che i dati personali non vengano divulgati a soggetti non autorizzati devono essere adottate adeguate misure di sicurezza e politiche di riservatezza;
- devono essere adeguatamente documentate le misure attuate per gestire la situazione di emergenza e il processo decisionale sottostante.
Importante precisazione anche per quanto concerne la localizzazione.
L’EDPB precisa infatti che, in linea di principio, i dati relativi all’ubicazione possono essere utilizzati solo se resi anonimi o con il consenso delle persone.
Ne deriva, pertanto, che le app che volessero utilizzare la geolocalizzazione potrebbero farlo unicamente previo consenso dell’interessato, rientrando poi nel perimetro di applicazione del GDPR, oppure utilizzando dati anonimi che, come già anticipato, non consentono l’identificazione del soggetto al quale si riferiscono.
Il Contact tracing e i dati anonimizzati
La tecnologia, quindi, può essere utilizzata per far fronte alla pandemia a condizione che vengano rispettati alcuni presupposti che variano, come visto, in relazione alla tipologia di dati utilizzati.
Nel caso di dati anonimizzati il contact tracing è lecito e può essere utilizzato in pieno accordo con i diritti fondamentali delle persone, compreso il diritto alla protezione dei dati personali.
La particolare tipologia di dati, poi, eliminerebbe alla radice il problema del rispetto di tutti gli ulteriori principi del GDPR quali per esempio la minimizzazione dei dati e la temporaneità del trattamento.
Qualora l’utilizzo dei dati anonimizzati non fosse invece possibile il trattamento dovrebbe essere effettuato nel pieno rispetto dei principi posti a protezione dei dati personali, rilevando in questo caso l’emergenza sanitaria unicamente per quanto attiene alla base giuridica (considerando 46) e solamente per le Autorità.
L’utilizzo, pertanto, di dati personali effettuato da app create, realizzate e messe a disposizione degli utenti da soggetti diversi, privati, associazioni o imprese, non potrà in alcun modo inserirsi nell’ambito dell’emergenza sanitaria, ma dovrà fondare il trattamento dei dati unicamente sul consenso dell’interessato.