Audizione informale, in videoconferenza, del Presidente del Garante per la protezione dei dati personali sull'uso delle nuove tecnologie e della rete per contrastare l'emergenza epidemiologica da Coronavirus

Commissioni IX Camera (8 aprile 2020)

garanteprivacy.it/web/guest/home…

Non pone particolari problemi l’acquisizione di trend, EFFETTIVAMENTE anonimi, di mobilità. L’art. 9 della direttiva e-privacy legittima il trattamento, anche in assenza del consenso dell’interessato, dei dati relativi all’ ubicazione, purché anonimi.

L’uso di dati identificativi sull’ubicazione o sull’interazione con altri dispositivi (....) richiede – anche ai sensi dell’art. 15 della direttiva e-privacy – una DISPOSIZIONE NORMATIVA sufficientemente dettagliata e contenente adeguate garanzie

I vari utilizzi possibili di tali dati possono essere finalizzati, in via teorica (e ragionando nei termini assunti dal dibattito pubblico di queste settimane):

a) alla verifica della posizione del soggetto sottoposto ad obbligo di permanenza domiciliare perché positivo, utilizzando dunque la geolocalizzazione del telefono (che si presuppone, ma non è detto, segua passo passo il soggetto) per accertare l’effettivo rispetto del divieto

a1) nell’utilizzare la localizzazione del telefono come fosse una sorta di braccialetto elettronico atipico, presuppone la sostituzione, con l’occhio elettronico, dei controlli “umani”.

b) acquisizione, a ritroso, dei dati sull’interazione del soggetto poi risultato positivo con altri soggetti, per verificarne, nel periodo in cui aveva capacità virale, gli eventuali contatti desumibili tramite varie tecniche: celle telefoniche, gps, bluetooth

b1) il fine perseguito da tale misura risulta particolarmente apprezzabile perché non già repressivo (come invece nel caso della sorveglianza del soggetto in quarantena obbligatoria mediante la sua geolocalizzazione), ma solidaristico.

Un elemento di fragilità delle soluzioni basate sui dati acquisiti da telefono attiene, però, al suo presupporre che tutti si spostino con il telefono addosso. (Questo) non avviene sicuramente per gli anziani, che dovrebbero invece essere i primi a dover essere contattati

Tale considerazione, sui limiti intrinseci alle opzioni tecnologiche, ha un duplice ordine di implicazioni.

In primo luogo, la valutazione dell’efficacia attesa dalla misura non può prescindere da un’analisi inerente le azioni complementari

Si possono raccogliere, infatti, tutti i dati possibili sui potenziali portatori (sani o meno che siano), ma se poi non si hanno le risorse (e persino i reagenti!) per accertarne l’effettiva positività, non si va molto lontano

In secondo luogo, la necessità di ricostruire la catena dei contagi mediante i dati di dispositivi elettronici rende problematica l’imposizione di un obbligo generalizzato di uso di tali sistemi.

Inoltre, un simile obbligo di utilizzo sarebbe difficilmente coercibile salvo ricorrere a un vero e proprio braccialetto elettronico.

Se anche si ritenesse, come pure si sta ipotizzando, di far attivare il bluetooth direttamente da una app, come imporre, infatti, di uscire di casa solo se ‘accompagnati’ dal proprio smartphone, tra l’altro abbastanza carico?

Il che induce a preferire sistemi fondati sulla volontaria adesione dei singoli che consentano il tracciamento della propria posizione. Ma per garantire la reale libertà (e validità) del consenso al trattamento dei dati, esso non dovrebbe risultare in alcun modo CONDIZIONATO.

Pertanto, non potrebbe ritenersi effettivamente valido, perché indebitamente e inevitabilmente condizionato, il consenso prestato al trattamento dei dati acquisiti con tali sistemi se prefigurato come PRESUPPOSTO necessario, ad esempio, per usufruire di determinati servizi o beni

L’efficacia diagnostica di tale soluzione dipende, in ogni caso, dal grado di adesione che essa incontri tra i cittadini, in quanto la rilevazione potrebbe per definizione avvenire solo limitatamente alla parte della popolazione che consenta di “farsi tracciare”.

La percentuale minima per l’efficacia è stimata nell’ordine del 60%.

In tal senso, quindi, la volontaria attivazione di una app funzionale alla raccolta dei dati sull’interazione dei dispositivi, ben potrebbe rappresentare il presupposto di uno schema normativo fondato su esigenze di sanità pubblica (art. 9, p.2, lett.i) Reg. (Ue) 2016/679).

La seconda fase del trattamento (quella, cioè, successiva alla rilevazione dei dati) consiste essenzialmente nella conservazione degli stessi, in vista del loro eventuale, successivo utilizzo per allertare i potenziali contagiati.

Tale opera di “personalizzazione” dovrebbe avvenire limitatamente ai soggetti risultati poi positivi e a coloro ai quali, con essi, siano entrati in contatto significativo, per il solo periodo di potenziale contagiosità.

Sotto il profilo dell’impatto sulla riservatezza, determinato dalla conservazione dei dati, in vista del loro utilizzo, è certamente preferibile la soluzione della registrazione del “diario dei contatti” sullo stesso dispositivo individuale nella disponibilità del soggetto.

Si eviterebbe così la conservazione di dati personali in banche dati dei gestori, che riproporrebbe le criticità rilevate dalla giurisprudenza della Cgue sulla data retention.

I criteri di necessità, proporzionalità e minimizzazione rimarcati dalla giurisprudenza europea indicano, comunque, l’esigenza di contenere tali limitazioni della privacy nella misura strettamente necessaria a perseguire fini rilevanti

Ai fini della raccolta, il bluetooth, restituendo dati su interazioni più strette di quelle individuabili in celle telefoniche assai più ampie, parrebbe migliore nel selezionare i possibili contagiati all’interno di un campione più attendibile

In particolare, sarebbero apprezzabili quelle tecnologie che mantengono il diario dei contatti esclusivamente nella disponibilità dell’utente, sul suo dispositivo, ragionevolmente per il solo periodo massimo di potenziale incubazione.

Chi risultasse positivo dovrebbe fornire l’id Imei del proprio dispositivo all’asl, che sarebbe tenuta a trasmetterlo al server centrale per consentirgli di ricostruire tramite calcolo algoritmico i contatti tenuti con altre persone le quali si siano, avvalse dell’app blue tooth

Queste ultime riceverebbero poi una segnalazione (nella forma di un alert sul sistema) di potenziale contagio, con l’invito a sottoporsi ad accertamenti che, naturalmente, sarà efficace nella misura in cui sia responsabilmente seguito.

In tal modo, il tracciamento sarebbe affidato a un flusso di dati pseudonimizzati, suscettibili di reidentificazione solo in caso di rilevata positività.

Anche in tali circostanze, comunque, la stessa comunicazione tra server centrale ed app dei potenziali contagiati avverrebbe senza consentirne la reidentificazione, così minimizzando l’impatto della misura sulla privacy individuale.

In alternativa all’alert intra-app, si potrebbe ipotizzare che sia direttamente l’asl ad avvisare e, quindi, sottoporre ad accertamento le persone le quali, dalle rilevazioni bluetooth, risultino essere entrate in contatto significativo con il soggetto positivo.

La conservazione dei dati di contatto, da parte del server, dovrebbe comunque limitarsi al tempo strettamente indispensabile alla rilevazione dei potenziali contagiati.

L’anamnesi rimessa al medico consentirebbe, poi, di realizzare quell’intervento umano sul processo algoritmico richiesto dal Regolamento 2016/679 per evitare l’esclusiva soggezione umana a decisioni automatizzate, correggendone anche, così, possibili distorsioni e inesattezze.

In ogni caso, è auspicabile che la complessa filiera del contact tracing possa realizzarsi interamente in ambito pubblico.

Potrebbe infine essere utile prevedere specifici reati propri, suscettibili di realizzazione da parte di coloro che, potendo avere accesso ai dati per qualunque ragione anche operativa, li utilizzino per altre finalità.

Tuttavia, benché non massivo, il trattamento di dati personali comunque realizzato richiederebbe una NORMA DI RANGO PRIMARIO (anche un decreto-legge che assicura la tempestività dell’intervento, pur non omettendo il sindacato parlamentare né quello successivo di costituzionalità)

Ove non si procedesse a un intervento legislativo ad hoc, sarebbe opportuno quantomeno integrare l’art. 14 dl 14/20, anche con misure di garanzia da prevedersi eventualmente con fonte subordinata.

Ed è essenziale sancire (con il presidio di sanzioni adeguate) l’obbligo di CANCELLAZIONE dei dati decorso il periodo di potenziale utilizzo e L’ILLICEITA’ di qualsiasi riutilizzo dei dati per fini diversi da quelli di tracciamento dei contatti, nei termini suindicati.

Vanno studiate modalità e ampiezza delle misure da adottare in vista della loro efficacia, gradualità e adeguatezza, senza preclusioni astratte o ideologiche, ma anche senza IMPROVVISAZIONI o velleitarie deleghe, alla sola tecnologia, di attività tanto necessarie quanto complesse

La chiave è nella proporzionalità, lungimiranza e ragionevolezza dell’intervento, oltre che naturalmente nella sua temporaneità.

Il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole dal modello coreano a quello cinese, scambiando la rinuncia a ogni libertà per l’efficienza e la DELEGA CIECA all’algoritmo per la soluzione salvifica.

FINE

(ho estratto i passaggi per me più rilevanti. Il documento completo è al link nel primo tweet)