Chi deve essere considerato titolare di una app commissionata da un ente pubblico a una software house per svolgere un compito di finalità pubblica (profili giuridici che possono essere applicati comunque a qualsiasi software) e come devono essere trattati i dati duplicati (o copiati) per allenare un software?
Sono questi i temi di una recente sentenza della Corte di Giustizia Ue (C-683/21), passata quasi sotto silenzio, ma che ha invece una portata innovativa e interpretativa veramente importante, specie oggi, in piena digitalizzazione della sanità italiana e alle soglie della approvazione del Regolamento sulla AI.
Ricostruiamo la vicenda che ha portato a questo pronunciamento.
Il caso: un’app commissionata dal Ministero della Salute lituano
A marzo 2020 (appena iniziata al pandemia) il Ministero della Salute lituano, attraverso un ente dallo stesso controllato (che chiameremo X), commissionava una app mobile a una software house allo scopo di registrare e monitorare i dati personali delle persone che erano state esposte al virus Covid-19 ai fini del follow-up epidemiologico (in sostanza il “cugino” di Immuni).
Nel corso della progettazione i dipendenti del Ministero, dell’azienda X e della software house si scambiavano numerose e-mail riguardanti aspetti della creazione dell’app, quali dati raccogliere e come utilizzarli.
L’app veniva poi resa disponibile al pubblico tramite Google Play Store e Apple App Store dal 4 aprile 2020: oltre 3.000 persone la utilizzavano fornendo i loro dati personali.
Il 26 maggio 2020 la app cessava il suo funzionamento e il 4 giugno 2020 la società X su incarico del Ministero notificava alla società la risoluzione del contratto per mancanza di finanziamenti (par. 17-19). Nel frattempo a maggio 2020 il garante lituano avviava una indagine sulla raccolta e l’uso dei dati personali attraverso la app, applicando al termine del procedimento la sanzione di 3000 euro alla società X ed alla società che aveva progettato la app, considerandoli altresì contitolari tra loro.
La decisione del garante lituano veniva impugnata davanti al tribunale e poi rinviata in Corte di Giustizia.
La sentenza della Corte di Giustizia: definizione dei ruoli privacy
La prima statuizione di rilievo riguarda i ruoli privacy.
La corte infatti stabilisce che, seppure il contratto fosse intervenuto tra la società X e la software house, il Ministero lituano era il committente della app stessa e aveva altresì contribuito a determinare quali dati trattare e le finalità di detto trattamento.
Sul punto poi secondo la Corte non assume rilevanza giuridica (par. 35) il fatto che il Ministero:
- non avesse elaborato alcun dato personale;
- non avesse alcun contratto diretto con la società che aveva sviluppato la app;
- non avesse acquisito l’applicazione mobile in questione, nè ha autorizzato la diffusione dell’app attraverso i negozi online
In sostanza la Corte stabilisce che il soggetto che fornisce istruzioni su come debba essere sviluppata una App (e domani un software di intelligenza artificiale) acquista il ruolo di Titolare (o di contitolare).
L’interpretazione della Corte sui ruoli privacy
Più esattamente così si legge al par. 38 della sentenza: “Alla luce dei motivi che precedono, occorre rispondere alle questioni prima, seconda e terza dichiarando che l’articolo 4, punto 7, del RGPD deve essere interpretato nel senso che può essere considerato titolare del trattamento, ai sensi di tale disposizione, un ente che ha incaricato un’impresa di sviluppare un’applicazione informatica mobile e che, in tale contesto, ha partecipato alla determinazione delle finalità e dei mezzi del trattamento dei dati personali effettuato mediante tale applicazione, anche se tale ente non ha proceduto, esso stesso, a operazioni di trattamento di tali dati, non ha dato esplicitamente il proprio consenso alla realizzazione delle operazioni concrete di un siffatto trattamento o alla messa a disposizione del pubblico di detta applicazione mobile e non ha acquisito quella stessa applicazione mobile, salvo che, prima di tale messa a disposizione nei confronti del pubblico, il suddetto ente si sia espressamente opposto ad essa e al trattamento dei dati personali che ne è derivato”.
Nel caso specifico quindi il Ministero committente e la società X che aveva stipulato il contratto con la software house su incarico del Ministero dovevano essere considerati cotitolari, seppure con possibili compiti diversi e quindi diverse responsabilità (par. 42).
Peraltro secondo la Corte è altresì del tutto irrilevante che sussista o meno un contratto scritto tra le parti (par. 44): i ruoli privacy infatti sono “ruoli di fatto” dai quali consegue l’obbligo di stipulare i relativi contratti e non viceversa.
In altre parole i contratti non sono costitutivi dello status giuridico, ma sono obblighi derivanti da quello status.
Il trattamento dei dati duplicati per i test informatici
La seconda questione appare ancor più interessante.
La software house trasmetteva infatti i dati anche a una terza organizzazione per effettuare i test informatici.
Sulla natura giuridica di tale dati la Corte non ha nessun dubbio.
La duplicazione dei dati, la trasmissione ad un terzo e l’utilizzazione dei dati stessi per test informatici è senza dubbio un “trattamento” ai sensi del GDPR: ciò che occorrerà invece analizzare è se, nei diversi passaggi e tenuto conto del set di informazioni trasmesse per effettuare i test, il dato mantenga la sua natura di dato personale o diventi anonimo.
L’interpretazione della Corte sul “trattamento” dei dati
Al par. 59 così di legge:
- Alla luce dei motivi che precedono, occorre rispondere alla quarta questione dichiarando che l’articolo 4, punto 2, del RGPD deve essere interpretato nel senso che costituisce un «trattamento», ai sensi di tale disposizione, l’uso di dati personali a fini di test informatici di un’applicazione mobile, salvo che tali dati siano stati resi anonimi in modo da impedire o da non consentire più l’identificazione dell’interessato o che si tratti di dati fittizi che non si riferiscono a una persona fisica esistente.
In sostanza il dato non sarà sottoposto al GDPR se viene reso anonimo.
Oppure – afferma la Corte – ove si tratti di un “dato fittizio” (e qui non è chiaro se la Corte con la locuzione “dato fittizio” intenda riferirsi ai dati sintetici o ad altra tipologia di dati).
Implicazioni della sentenza sulla titolarità delle app
Le statuizioni della sentenza aprono scenari molto interessanti.
Sul tema della titolarità occorrerà ragionare con molta più attenzione sui ruoli privacy, chiedendosi chi sono i titolari (o se vi sono cotitolari) in tutte le iniziative in cui il pubblico sta commissionando software al privato anche in relazione al PNRR: un esempio per tutti la piattaforma di intelligenza artificiale per la medicina primaria (sospesa poi da Agenas il 9 gennaio 2024 ma per carenza della base giuridica).
Possibili scenari futuri
In questo senso, tenuto conto che la base giuridica che occorre definire dovrà rispettare i requisiti di cui all’art. 2-sexis Codice privacy, senza dubbio sarà opportuno in quella sede definire i diversi ruoli privacy dei soggetti coinvolti.
E, ove sussistano i presupposti di fatto, si potrà/dovrà avere il coraggio di immaginare anche ipotesi di cotitolarità, istituto da cui tutti rifuggono.
Anche il secondo aspetto appare rilevante, specie alla luce della prossima approvazione del reg. Ue sull’intelligenza artificiale.
La necessità infatti di utilizzare dati per effettuare test è cardine: lo prevede il Reg. Ue 2027/45 sui dispositivi medici (c.d. MDR) e lo precisa ancor meglio l’art. 10 della proposta (oggi accordo) per il regolamento sulla AI.
Qui il passaggio interessante della sentenza non è tanto il fatto che i dati duplicati mantengano la natura di dati personali, ma è invece il passaggio in cui si afferma che tali dati “copiati” possono cambiare natura e diventare anonimi.
Sembra quasi che i giuridici della Corte vogliano suggerire una strada per agevolare i necessari test, dichiarando che il passaggio tra i vari soggetti può essere uno strumento per l’anonimizzazione.
Conclusioni
Vedremo sul punto cosa deciderà la stessa Corte di Giustizia nel processo di impugnazione della sentenza tribunale UE 26 aprile 2023 T-557/23 (c.d. caso Deloitte).
Il tema è proprio lo stesso.
