Emergenza sanitaria, contact tracing e protezione dei dati

di Sergio Niger

surveillance2

Dalla dichiarazione dello stato di emergenza (31 gennaio 2020) per la pandemia da Covid-19 ha avuto inizio una fase caotica caratterizzata dall’adozione di numerosi provvedimenti da parte dell’esecutivo e da diversi provvedimenti amministrativi c.d. “a cascata”, che hanno posto problemi di rapporto tra le fonti dell’ordinamento e di tutela e progressiva compressione dei diritti fondamentali della persona.

«L’obiettivo principale del costituzionalismo è reagire agli abusi di potere. La nostra Costituzione del 1948, come quella tedesca di un anno più giovane, sono pensate infatti per reagire alle violazioni macroscopiche del nucleo essenziale dei diritti fondamentali ad opera del nazi-fascismo e per porre solide basi su cui diritti fondamentali possano, nel futuro, essere tutelati e garantiti. Tanto nel momento della fisiologia del sistema, quanto in quello della patologia dello stesso»[1].

Appare difficile, nella nostra storia repubblicana, pensare a qualcosa, in tutti i sensi, di più patologico rispetto alla pandemia in atto. Un’emergenza che consente, ed anzi impone limitazioni anche invasive alle libertà fondamentali, senza però svuotarne il contenuto essenziale. Si pensi alla questione legata alle limitazioni relative al c.d. diritto alla privacy determinate dal possibile (in realtà già effettuato in Lombardia) tracciamento dei nostri spostamenti. Limitazioni che potrebbero essere assai utili per riannodare la catena epidemiologica del virus e, dunque, poter apprestare una reazione più efficace e mirata allo stesso. Sono stati progressivamente limitati diritti costituzionali (ad es. la libertà di circolazione, di riunione, la libertà personale) a tutela di un interesse pubblico preminente: la salute, la vita. E’ una situazione emergenziale e lo scopo giustifica i mezzi, le uniche misure  non ammissibili sarebbero quelle contrarie alla dignità delle persone o quelle di carattere discriminatorio. È bene ricordare che allo stato d’emergenza, tanto dibattuto nell’ambito della teoria generale del diritto, fa riferimento la Convenzione delle Nazioni Unite del 1966 sui diritti civili e politici (art. 4) e la Convenzione europea dei diritti dell’uomo del 1950 (art. 15).

Nella considerazione dei limiti alla protezione dei dati personali, occorre partire dalla Carta dei diritti fondamentali dell’Unione Europea, prim’ancora che dal Regolamento Generale sulla Protezione Dati (GDPR). L’art. 8 della Carta di Nizza “costituzionalizza” il diritto alla protezione dei propri dati personali quale uno dei diritti fondamentali dell’Unione europea, al contempo l’art. 52, della stessa Carta, prevede che eventuali limitazioni nell’esercizio dei diritti e delle libertà riconosciute dalla medesima Carta devono essere previste per legge e rispettare il contenuto essenziale dei diritti e delle libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano a finalità di interesse generale riconosciute dall’Unione europea o all’esigenza di proteggere i diritti e le libertà altrui.

Prima di passare all’esame della legislazione emergenziale legata al Covid-19, è bene ricordare quanto previsto dal considerando 46 del GDPR:

«Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica. Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.»

Nell’ambito del contesto emergenziale legato al Covid-19 sono state dettate misure straordinarie anche sul trattamento dei dati personali. Mi riferisco, in particolare all’art. 14, del d.l. 9 marzo 2020, n. 14. A seguito del predetto decreto, tutti i soggetti chiamati a operare in risposta all’emergenza sanitaria (Protezione civile, Uffici del Ministero della Salute e dell’Istituto Superiore di Sanità, strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e tutti i soggetti attuatori delle misure straordinarie) possono effettuare trattamenti, compresa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del GDPR, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dalla diffusione del Covid-19. Nel decreto sono state previste anche forme semplificate sia per l’informativa sia per le autorizzazioni ai soggetti operanti. Lo stesso decreto precisa che al termine dello stato d’emergenza di cui alla delibera del 31 gennaio 2020, i soggetti deputati al trattamento dei dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.

Per quanto concerne il GDPR, in questa sede basterà richiamare quanto previsto dall’art. 9 comma 2, lettera j), secondo il quale il divieto di trattare dati relativi alla salute senza il consenso dell’interessato non si applica quando il trattamento «è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale».

Il Comitato Europeo per la protezione dei dati il 19 marzo 2020 ha fornito precise indicazioni agli Stati membri in merito alle misure da adottare, richiamando, in particolare, l’attenzione sui principi di liceità del trattamento, nonché tutti i principi da rispettare nel trattamento dei dati personali. Il Comitato si sofferma anche sull’uso dei dati di localizzazione da dispositivi mobili, in alcuni Stati membri i governi prevedono di utilizzare i dati di localizzazione da dispositivi mobili per monitorare, contenere o attenuare la diffusione del Covid-19. Ciò implicherebbe, ad esempio, la possibilità di geolocalizzare le persone o di inviare messaggi di sanità pubblica ai soggetti che si trovano in una determinata area, via telefono o SMS. Le autorità pubbliche dovrebbero innanzitutto cercare di trattare i dati relativi all’ubicazione in modo anonimo (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi  sulla concentrazione di dispositivi mobili in un determinato luogo (“cartografia”). Le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati.

Quando non è possibile elaborare solo dati anonimi, la direttiva e-Privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15).

«Qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l’obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale.»

Si applica anche il principio di proporzionalità. Si dovrebbero sempre privilegiare le soluzioni meno intrusive, tenuto conto dell’obiettivo specifico da raggiungere. Misure invasive come il “tracciamento” (ossia il trattamento di dati storici di localizzazione in forma non anonimizzata) possono essere considerate proporzionate in circostanze eccezionali e in funzione delle modalità concrete del trattamento. Tuttavia, tali misure dovrebbero essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità).

Il combinato disposto dell’art.15 della Direttiva 2002/58/CE e dell’art.9 del GDPR consente allo Stato membro di prevedere, per ragioni attinenti alla sicurezza dello Stato anche la deroga alle disposizioni della e-Privacy e quindi, in sostanza alla normativa che tutela la protezione dei dati nel settore delle comunicazioni elettroniche.

È evidente che gli Stati debbono disporre le deroghe solo con disposizioni legislative e qualora la restrizione costituisca una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (in questo caso interpretata in modo ampio e coerente con l’art. 9 del GDPR e dunque estesa anche al caso di epidemie e altri eventi che possano disgregare l’unità nazionale).

La precisazione è importante perché l’art. 15 impone anche agli Stati di assicurare, sempre mediante la legge, misure relative alla conservazione dei dati e le modalità che assicurino la proporzionalità delle deroghe a tutela della sicurezza nazionale, fermo restando il rispetto dei principi di necessità, proporzionalità e accuratezza dei dati, nonché l’opportunità delle misure adottate con riguardo a una società democratica.

Pertanto, non vi è ostacolo alla limitazione dell’applicazione della normativa a tutela dei dati personali (e quindi anche all’uso senza consenso dei dati di traffico per tracciare gli spostamenti delle persone). Ma perché questo sia conforme alle regole UE occorre che lo Stato provveda con legge e che le misure legislative adottate siano adeguate a garantire la necessità, proporzionalità e adeguatezza delle norme e delle deroghe adottate rispetto ai principi d’una società democratica.

Il che significa certamente che la legislazione derogatoria dovrà indicare chi possa trattare i dati telefonici di altri per tali fini, con quale procedimento, in quali casi, ricorrendo quali condizioni, il tutto al fine di rendere la legislazione derogatoria compatibile con i principi democratici. In questo quadro dovrà essere anche definito se e da parte di chi e in quali tempi si debbano informare gli interessati che si sono fatti trattamenti relativi ai loro dati, indicandone anche i motivi e gli eventuali tempi per ricorrere nonché l’Autorità alla quale presentare il ricorso, la cui individuazione può anche andare oltre l’Autorità di protezione dei dati.

La Commissione europea l’8 aprile 2020 ha adottato una raccomandazione rivolta a tutti gli Stati membri per un approccio comune e coordinato nell’individuazione e nell’implementazione degli strumenti più adeguati per il contact tracing.  La Commissione ha attivato la rete europea eHealth Network, alla quale aderiscono le autorità competenti degli Stati membri e che offrirà indicazioni e servizi per le più innovative tecnologie ICT nella prevenzione, diagnosi, controllo e gestione dell’emergenza sanitaria. Al riguardo, di sicuro interesse è il documento per il Toolbox prodotto dalla eHealth Network il 15 aprile 2020, che rappresenta una rassegna dettagliata dei requisiti minimi e delle funzionalità che le autorità degli Stati membri dovranno soddisfare nel processo di sviluppo e di impiego delle misure digitali e da adeguare in relazione alla realtà dei singoli Paesi.

In particolare, si evidenzia che le applicazioni mobili dovranno operare sotto il controllo attento e concertato delle autorità competenti per la salute pubblica nel rispetto della legislazione nazionale e sovranazionale. Il punto di partenza per l’implementazione di questa tecnologia è la volontaria installazione dell’applicazione da parte degli individui e deve esclusivamente avvalersi del segnale Bluetooth per tracciare i contatti sociali senza svelare la localizzazione degli utenti.

I suddetti contatti verranno individuati applicando dei chiari, affidabili e uniformi parametri per quanto riguarda la distanza, i tempi dell’eventuale esposizione al contagio e la registrazione, la conservazione e la segretezza dei dati rilevati. Al singolo dispositivo mobile sul quale viene scaricata l’app (e non al singolo individuo o al suo numero di cellulare), verrà assegnato un codice ID temporaneo e anonimo per migliorare la protezione contro le intercettazioni, l’hacking e il tracciamento da parte di terzi e solo questo riferimento verrà registrato nella contact list. Gli sviluppatori delle applicazioni e le autorità nazionali competenti dovranno costantemente monitorare e aggiornare gli standard di sicurezza informatica e garantire che vengano supportate da qualsivoglia tipologia di dispositivo mobile. È fondamentale lanciare applicazioni che siano intuitive e di facile utilizzo per evitare problemi di sicurezza dovuti anche a imprecisioni al momento della configurazione o a errori da parte dell’utente. La sicurezza dell’app, con particolare riferimento alla minimizzazione e alla crittografia dei dati, deve essere esaminata e testata da esperti indipendenti sia prima dell’implementazione che dopo ogni modifica ed eventuali errori informatici o vulnerabilità dovranno essere immediatamente segnalati e corretti. Non appena lo stato di emergenza sarà cessato le applicazioni dovranno essere automaticamente distrutte e i dati di prossimità o personali definitivamente cancellati.

Di particolare rilievo è la raccomandazione adottata, il 16 aprile 2020, dalla Commissione europea, con la quale sono state indicate linee guida relative ai requisiti e alle funzionalità che le applicazioni installate su base volontaria devono soddisfare con riferimento alla protezione dei dati personali. Il documento riprende e conferma l’approccio dei precedenti documenti sopra passati in rassegna. Ai sensi dell’art. 5 della direttiva e-Privacy (2002/58/CE) la Commissione ricorda come un trattamento obbligatorio per l’interessato richiederebbe l’adozione di una legge apposita, che dovrebbe comunque rispettare i principi della stessa direttiva e che non sarebbe di facile predisposizione. Per queste ragioni la Commissione suggerisce l’adozione di app utilizzabili su base volontaria. Le linee guida si riferiscono alle applicazioni che forniscono precise informazioni sull’epidemia, a quelle che mediante questionari consentano l’autovalutazione dei sintomi, a quelle con funzionalità di contact tracing e di allerta in caso di contatti sociali sospetti oppure, ancora, a quelle che consentono ai pazienti in auto-isolamento di ricevere assistenza dal personale sanitario.

In primis, gli Stati membri dovrebbero impiegare le tecnologie più innovative e più appropriate per garantire l’interoperabilità tra applicazioni. Nel caso in cui un soggetto infetto entrasse in contatto con l’utente dell’applicazione di un altro Stato membro è ammessa la trasmissione dei dati alle autorità sanitarie del Paese cui quest’ultimo appartiene. La Commissione, tuttavia, sottolinea che i diritti fondamentali degli individui saranno efficacemente protetti solo se il controllo sulle applicazioni verrà affidato alle autorità sanitarie nazionali o ad altri soggetti pubblici che possano assicurarne la conformità al GDPR: le legislazioni nazionali devono fornire specifiche ed adeguate misure per salvaguardare i diritti e le libertà dei soggetti interessati. Al riguardo si pronuncia anche sulla identificazione dei titolari dei trattamenti, che ritiene debbano essere le autorità sanitarie dei diversi Stati, o agenzie che abbiano la funzione della cura dell’interesse pubblico in ambito sanitario. Un ulteriore aspetto fondamentale per la Commissione è rappresentato dalla certezza da parte del soggetto di avere il controllo totale della gestione dei propri dati. L’affidabilità verrà garantita dai seguenti fattori: la volontarietà dell’installazione dell’applicazione; la possibilità di prestare o meno il consenso ad ogni singola funzionalità dell’app; un sistema decentralizzato per la conservazione dei dati di prossimità e trasmissione di questi alle autorità sanitarie solo dopo che la positività al virus sia stata rilevata, fermo restando il consenso della persona infetta; trasparenza nell’informazione sulle modalità di trattamento dei dati degli utenti, la possibilità di esercitare tutti i diritti previsti dal GDPR fatte salve eventuali restrizioni proporzionate, necessarie e legittime; la disattivazione automatica dell’applicazione e la cancellazione dei dati al termine dello stato di necessità.

In merito all’archiviazione dei dati, sul dispositivo dell’utente, è consentita se questi abbia dato il consenso libero, specifico, esplicito e informato oppure se necessaria per l’installazione dell’applicazione stessa da parte dell’utente. Il principio della minimizzazione dei dati viene ribadito dalla Commissione specificando che possono essere trattati solo quei dati personali adeguati, rilevanti e afferenti a quanto necessario per lo scopo specifico. In linea generale, i dati di prossimità dovranno essere conservati per il periodo necessario e non oltre un mese ed eventualmente eliminati successivamente all’esito negativo del test medico. Le Autorità Garanti della Protezione dei dati dovranno essere parte attiva nello sviluppo delle applicazioni e farsi carico del monitoraggio delle stesse e a questo riguardo la Commissione fa specifico riferimento all’art. 35 GDPR sulla valutazione di impatto sulla protezione dei dati.

Per quanto riguarda il tracciamento dei contatti, ancora più nel dettaglio entrano le Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19, adottate il 21 aprile 2020 dal Comitato Europeo per la protezione dei dati.

Il 16 aprile il Governo italiano ha scelto l’app  che consentirà di tracciare i contagi e dunque di monitorare la diffusione del coronavirus nella “fase 2” della ripresa. Si tratta di “Immuni“, sviluppata dalla società Bending Spoons. Va sicuramente apprezzata la scelta di un progetto dichiaratamente coerente con  le prescrizioni della Commissione europea e del Comitato Europeo per la protezione dei dati, sia sotto il profilo tecnologico, sia sotto l’aspetto della dimensione “paneuropea” del progetto di riferimento.  Da più parti, però, sono state sollevate critiche e perplessità, non voglio però soffermarmi su tali questioni, bensì sul parere che la Presidenza del Consiglio dei Ministri ha richiesto al Garante su una proposta normativa per il tracciamento dei contatti fra soggetti mediante apposita applicazione su dispositivi di telefonia mobile nell’ambito delle strategie di contenimento dell’epidemia Covid-19. Sul punto, il Garante si è espresso con il parere del 29 aprile 2020, ribadendo i principi che devono guidare il “legislatore”, alla luce, in particolare, delle Linee guida del Comitato europeo per la protezione dei dati del 21 aprile 2020, che possiamo riassumere nei termini seguenti:

  • volontarietà: a causa del rilevante impatto individuale del tracciamento, l’adesione al sistema deve essere frutto di una scelta realmente libera da parte dell’interessato. La mancata adesione al sistema non deve, pertanto, comportare svantaggi né rappresentare la condizione per l’esercizio di diritti, il mancato utilizzo dell’applicazione non deve comportare conseguenze pregiudizievoli;
  • previsione normativa: il presupposto può individuarsi nell’esigenza di svolgimento di un compito di interesse pubblico, in particolare per esigenze di sanità pubblica, in base a “previsione normativa o disposizione legislativa” dell’Unione europea o degli Stati membri. Al riguardo, in particolare, la scelta di una norma di rango primario appare coerente con i requisiti di cui all’articolo 9, par. 2, lett. i) del Regolamento e agli articoli 2-ter e 2-sexies del Codice, con garanzie ulteriori che potranno essere stabilite con il successivo provvedimento che lo stesso Garante adotterà ai sensi dell’articolo 2-quinquiesdecies dello stesso Codice;
  • trasparenza: è necessario assicurare il pieno rispetto degli obblighi di trasparenza previsti dal Regolamento nei confronti degli interessati. In linea con tale esigenza è la previsione di cui all’articolo 1, comma 2, lett. a), della norma che assicura agli interessati un’idonea informazione sul trattamento e in particolare sulla pseudonimizzazione dei dati, “mentre si raccomanda all’Amministrazione interessata di sottoporre la valutazione di impatto cui è tenuta al più ampio regime di conoscibilità e di prevedere, anche nella norma, il carattere libero e aperto del software da rilasciare con licenza open source”;
  • determinatezza ed esclusività della finalità: il tracing dev’essere finalizzato esclusivamente al contenimento dei contagi, escludendo scopi ulteriori, ferme restando le possibilità di utilizzo a fini di ricerca scientifica e statistica, nei soli termini generali previsti dal Regolamento;.
  • selettività e minimizzazione dei dati: i dati raccolti devono poter tracciare i contatti stretti e non i movimenti o l’ubicazione del soggetto. Devono essere raccolti solo i dati strettamente necessari ai fini della individuazione dei possibili contagi, con tecniche di anonimizzazione e pseudonimizzazione affidabili. Anche la conservazione deve limitarsi al periodo strettamente necessario, da valutarsi sulla base delle decisioni dell’autorità sanitaria su parametri oggettivi come il periodo di incubazione. A tal riguardo, rileva il Garante, che “le disposizioni dello schema di norma su tali aspetti è opportuno che siano ulteriormente articolate in sede di attuazione dal Ministero della salute ai sensi del comma 2, anche con riferimento alla sorte dei dati raccolti sul dispositivo di chi, in un momento successivo all’installazione dell’applicazione, abbia poi deciso di disinstallarla”;
  • non esclusività del processo algoritmico e possibilità di esercitare in ogni momento i diritti di cui agli articoli da 15 a 22 del Regolamento;
  • interoperabilità con altri sistemi di contact tracing utilizzati in Europa. Tali caratteristiche di interoperabilità potranno essere assicurate in sede applicativa e nell’ambito dei provvedimenti di competenza del Ministero;
  • reciprocità di anonimato tra gli utenti dell’app, i quali devono, peraltro, non essere identificabili dal titolare del trattamento, dovendo la identificazione ammettersi al solo fine dell’individuazione dei contagiati. La norma, alla lettera e), non specifica chiaramente se si intenda optare per la conservazione dei dati in forma centralizzata ovvero decentrata.

La scelta della forma centralizzata richiederebbe, in sede attuativa, la previsione di misure di sicurezza rafforzate, adeguate alla fattispecie.

Non si può non condividere quanto espresso da autorevole dottrina, ossia che occorre, e non solo per coerenza col quadro UE ma anche con la Costituzione italiana, procedere, subito dopo che la epidemia sarà cessata, ad approvare una legge più organica e meno frettolosa che detti, in modo generale e preventivo, disposizioni in tema di emergenze, che possano incidere anche sui diritti fondamentali,

«avendo cura di coinvolgere sempre il Parlamento, di operare sempre sulla base di una valutazione della proporzionalità e adeguatezza delle misure che si intendono prendere e di riservare in linea generale al Presidente del Consiglio, che è pur sempre legato al Parlamento dal rapporto di fiducia, il potere emergenziale di adottare provvedimenti di urgenza anche quando essi possano incidere sui diritti fondamentali. Inoltre, sarà bene che la legge in questione definisca anche il procedimento da adottare, la Autorità giudiziaria alla quale i cittadini possano fare ricorso contro il provvedimento e le garanzie da assicurare ai cittadini»[2].

 

Note

[1] M. Brigaglia,  Costituzionalismo dei diritti e diritto di eccezione, in http://www.dirittoequestionipubbliche.org/. Per una più ampia trattazione si rinvia a A. Ruggeri, Stato costituzionale e stato d’eccezione nella più recente esperienza italiana: dall’alternativa alla mutua integrazione?, in I quaderni europei, http://www.cde.unict.it/sites/default/files/Quaderno%20europeo_66_2014.pdf

[2] F. Pizzetti, A rischio le libertà dei cittadini, urgente un intervento giuridico, in https://www.agendadigitale.eu/

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *