Privacy&

2020/1

Chiara di Somma Dafne Chillemi

La geolocalizzazione ai tempi del Covid-19: quali rischi per la privacy?

Scarica articolo in PDF

La situazione attuale

Nel contesto dell’attuale emergenza sanitaria, determinata dalla rapida diffusione del virus Sars-Cov-2 (“Covid-19” o “Coronavirus”), la tecnologia è stata annoverata tra le armi più efficaci per arginare l’epidemia[1].

In particolare, è stata valutata la possibilità di ricorrere a sistemi di sorveglianza sanitaria tramite l’utilizzo di tecniche di geolocalizzazione più nello specifico di contact tracing per tracciare i contagi da Covid-19 al fine, da un lato, di verificare il grado di ottemperanza alle misure di isolamento domiciliare e, dall’altro lato, di controllare in modo tempestivo il livello di esposizione al rischio delle persone e l’evoluzione dell’epidemia sul territorio nazionale.

L’obiettivo di tali proposte è duplice: da una parte è chiaramente quello di tutelare la salute pubblica, evitando il collasso del sistema sanitario nazionale, già messo a dura prova dall’epidemia e, dall’altra, consentire all’economia nazionale, colpita duramente dal virus tanto quanto il settore sanitario, di ripartire.

Su questo fronte, sembra innegabile il supporto che la tecnologia è in grado di fornire, basti solo pensare, per citare alcuni esempi, alle potenzialità di strumenti quali il tracciamento delle celle telefoniche, le reti wi-fi, i bluetooth beacons e la tecnologia Gps.

Tuttavia, è bene ricordare come il combustibile primo ed irrinunciabile di tali soluzioni sia costituito dai dati personali e dunque è necessario domandarsi quali siano le ricadute concrete in termini di tutela della privacy degli interessati e quanto il diritto della data protection possa essere compresso in nome di altri rilevanti interessi pubblici, primo fra tutti la tutela del bene della salute delle persone.

Se è pure vero che per perseguire la tutela della salute pubblica il diritto alla protezione dei dati personali possa subire (in casi di eccezionale gravità) delle compressioni, il Garante per la Protezione dei Dati Personali (il Garante Privacy) ha ricordato come le stesse debbano avvenire nel rispetto dei principi fondamentali stabiliti a tutela della democrazia, del principio di proporzionalità[2], e delle norme poste a tutela della privacy stessa.

In questa sede si desidera anticipare alcune riflessioni su di un tema che, per la sua attualità e complessità, sarà successivamente oggetto di approfondimento nel numero speciale di Privacy& di prossima pubblicazione.

Il quadro normativo

Preliminarmente, risulta utile chiarire cosa si intende quando si parla di “geolocalizzazione”.

Il termine fa riferimento al trattamento di dati personali che consentono l’individuazione della posizione geografica dell’interessato raccolti, ad esempio, tramite sistemi di Global Positioning System (GPS).

Ai sensi dell’articolo 2 della Direttiva 2002/58/CE del Parlamento Europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (la c.d. direttiva e-privacy) per “dati relativi all’ubicazione” si intende “ogni dato trattato in una rete di comunicazione elettronica che indichi la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico” (art. 2, par.1 lett. c) ).

Il Regolamento (UE) 2016/679 (il GDPR o il Regolamento) considera, invece, i dati relativi all’ubicazione come elementi identificativi di una singola  persona, conferendovi un rilievo particolare nelle complesse operazioni di profilazione nonché nei processi automatizzati (tra i quali potrebbe rilevare appunto la geolocalizzazione) volti alla valutazione di determinati aspetti relativi a una persona fisica (artt. 4, n. 1) e 22, cons. 71 e 72).

Inoltre, tanto il GDPR quanto la Direttiva e-privacy richiedono che il trattamento di dati personali relativi all’ubicazione trovi il proprio fondamento di liceità nel consenso dell’interessato[3].

Tuttavia - come ricordato anche nelle recenti dichiarazioni dello European Data Protection Board (lo EDPB) - l’attuale cornice normativa, dando voce all’articolo 52 della Carta dei diritti fondamentali dell’unione Europea, consente al legislatore nazionale di stabilire disposizioni limitative della privacy laddove  costituiscano “una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica[4].

Analogamente, l’articolo 23 del GDPR consente di limitare la portata di taluni obblighi e diritti, ivi inclusi i principi cardine applicabili al trattamento, “qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare” (...) “importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell'Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale”.

Nel conteso emergenziale, in Italia, l’articolo 14 del Decreto Legge n. 14 del 9 marzo 2020 ha previsto la possibilità per i soggetti partecipanti al sistema di protezione civile di trattare dati personali sensibili o giudiziari per le finalità di contrasto all’epidemia e di relativa prevenzione ed assistenza sanitaria[5]. Tale disposizione non autorizza, tuttavia, il tracciamento degli interessati restando necessaria una norma ad hoc che possa costituire la base giuridica per il trattamento dei dati sotteso alle iniziative di contact tracing[6] e che, soprattutto, dotata di efficacia temporalmente limitata, fornisca adeguate garanzie in conformità al principio di proporzionalità[7].

Riassumendo, quindi, il monitoraggio dei cittadini per finalità di contrasto del contagio risulterebbe lecito a condizione che i) gli Stati membri prevedano le deroghe con un atto avente forza di legge e ii) le modalità derogatorie siano in ogni caso compatibili con una società democratica[8].

In tale contesto, secondo quanto affermato dal Garante Privacy, il trattamento dei dati personali deve, in ogni caso, costituire il risultato del bilanciamento tra l’invadere il meno possibile la sfera personale e l’adozione di misure che siano però sufficienti ai fini di prevenzione[9].

Da monito anche le parole della presidente dell’EDPB, Andrea Jellinek, secondo la quale le autorità pubbliche dovrebbero cercare, in ogni caso, di trattare tali dati in modo anonimo e aggregato, così da non consentire l’identificazione, anche successiva, degli individui cui si riferiscono[10].

La soluzione italiana: una App per tracciare i contagi

Una volta analizzato il quadro normativo, vediamo, a livello nazionale, quali sono le “mosse” intraprese dal Governo e dagli operatori, pubblici e privati.

La possibilità di ricorrere all’utilizzo della geolocalizzazione nella lotta al Covid-19 è salita alla ribalta della cronaca nazionale (oltre che mondiale) a seguito dell’iniziativa assunta dalla Regione Lombardia, quando il vicepresidente della Regione e assessore per la ricerca Fabrizio Sala, di concerto con l’assessore al Welfare Giulio Gallera, hanno reso noto di aver analizzato gli spostamenti “da cella a cella” dei telefoni cellulari degli abitanti per comprendere la quantità, la modalità e la frequenza di spostamento degli stessi all’interno del territorio monitorato.

La Regione ha così acquisito dati (che ha tenuto immediatamente a precisare raccolti in forma anonima e aggregata) con l’ausilio delle compagnie di telecomunicazioni Vodafone e Tim[11].

In parallelo, sempre più forti si stanno facendo le istanze di soggetti, pubblici e privati, di spingere l’analisi dei dati oltre l’”anonimato”, al fine di avere un monitoraggio molto più accurato in merito all’espansione del virus ed alle concrete modalità di contagio.

La maggior parte delle proposte prevedono, sulla falsariga del modello adottato in Corea del Sud, l’uso di app mobili che, con l’ausilio della tecnologia GPS o Bluetooth, consentono la creazione di una vera e propria mappa del contagio.

Il Governo italiano, perciò, ha deciso di intervenire con un piano che ha previsto inizialmente una “call” per la sottoposizione di soluzioni tecnologiche idonee a contenere l’epidemia[12]..

Lo step successivo del “piano” si è concretizzato nella istituzione – con decreto a firma del Ministro per l’Innovazione tecnologica e la digitalizzazione, di concerto con il Ministero della Salute, l’Istituto Superiore di Sanità e l’Organizzazione Mondiale della Sanità – di una task force di 74 esperti[13] per l’esame delle soluzioni tecnologiche data driven idonee a supportare il Governo nella definizione delle politiche di contenimento dell’epidemia[14].

Tra le proposte al vaglio della task force, interessante risulta l’app Pj19, ideata e progettata dalla società italiana Vetrya, in collaborazione con il Consorzio Nazionale Interuniversitario per le Telecomunicazioni (CNIT). L’applicazione, da installare su smartphone, consente di ricavare i dati sulla diffusione del Covid-19 attraverso un sistema di mapping basato su intelligenza artificiale[15]. I dati vengono poi forniti alle strutture competenti per l’analisi, senza passare per gli operatori di telecomunicazioni.

L’app Private-Kit, sviluppata dal Massachusestts Institute of Technology di Boston adotta, invece, una combinazione di tecnologia GPS e Bluetooth[16]. L’applicazione registra tutti gli spostamenti e li salva sulla memoria del telefono a intervalli di cinque minuti. L’accesso ai dati, conservati in maniera anonima e criptata, sarà consentito soltanto agli operatori sanitari, nel caso in cui l’interessato manifesti i sintomi del Coronavirus e si rechi in una struttura ospedaliera. I dati verranno poi caricati all’interno di un server che li aggrega, inviando, al contempo, un segnale a tutti gli utenti che utilizzano l’app. Infine, è stata elaborata una funzionalità che permette di incrociare i dati salvati sullo smartphone con quelli a disposizione del sistema sanitario e notifica all’utente se è entrato in contatto con una persona che è risultata positiva (sempre e rigorosamente in modo anonimo).

La scelta delle soluzioni da implementare non può, in ogni caso, sottrarsi ad una preliminare valutazione in merito all’idoneità a conseguire gli obiettivi prefissati, in particolar modo tenendo a mente il principio di proporzionalità[17].

Alcune regioni, come Lombardia[18] e Umbria[19], stanno già sperimentando delle soluzioni autonome.

In tale contesto, è lecito, tuttavia, domandarsi se la task force valuterà l’estensione di soluzioni locali (come quella lombarda) anche al resto del territorio (sulla falsa riga del modello spagnolo dell’app “Asistencia-Covid 19”), oppure deciderà di aprire a soluzioni diverse, magari ancor più innovative, sempre di impronta pubblicistica. Del resto, data l’estrema delicatezza del tema, potrebbe apparire più cautelativa l’adozione di uno strumento unico e uniforme su tutto il territorio nazionale, anche al fine di scongiurare soluzioni lesive del principio di eguaglianza in senso sostanziale, che potrebbero ripercuotersi negativamente sui diritti delle persone residenti in specifiche zone del paese. Lo stesso Garante Privacy incoraggia fortemente l’adozione di una soluzione unica a livello nazionale, in modo da garantire che i dati siano raccolti e trattati da un’autorità pubblica[20]: i soggetti privati coinvolti, oltre a possedere requisiti idonei di affidabilità e trasparenza, dovrebbero ricoprire esclusivamente il ruolo di “collettori” di un patrimonio informativo da affidare esclusivamente alla pubblica autorità[21].

Tuttavia, non è da escludere che la task force possa optare per un modello alternativo, similare alla soluzione sud coreana, improntato alla gestione privatistica della raccolta dei dati tesi al monitoraggio dell’epidemia tramite diverse app realizzate da privati fra le quali i cittadini possono liberamente scegliere.

Conclusioni

Sicuramente il diritto alla salute e il diritto alla privacy devono convivere in armonia fra loro e la loro convivenza non può che fondarsi sul reciproco rispetto dei principi posti a fondamento di entrambe le normative.

Non a caso, l’EDPB –  in una lettera indirizzata a Roberto Viola, Direttore Generale di DG Connect (l’ente della Commissione Europea che si occupa, tra l’altro, di economia digitale, ricerca e innovazione) – ribadisce con forza alcuni punti fondamentali che in questa sede appare opportuno riassumere[22]:

  • il GDPR incorpora già tutti gli strumenti per tutelare i dati personali e per fronteggiare al contempo anche una crisi sanitaria come quella attuale;
  • i dati anonimizzati non sono soggetti all’applicazione del GDPR, ma l’anonimizzazione deve essere effettiva. Non basta, infatti, rimuovere i dati identificabili come il numero di telefono o l’IMEI;
  • anche se i dati sono anonimizzati, la loro sicurezza e confidenzialità devono essere sempre garantite;
  • è opportuno restringere il numero di soggetti terzi coinvolti nel trattamento, verificando che forniscano adeguate garanzie di sicurezza, soprattutto quando si fa riferimento alle compagnie telefoniche, incaricate del trasferimento dei dati personali agli enti pubblici o privati;
  • i dati devono essere cancellati non appena l’emergenza sarà terminata. Le app utilizzate per il monitoraggio, infatti, rappresentano una soluzione straordinaria e come tale devono essere trattate; non devono pertanto considerarsi leciti usi volti a perseguire scopi ulteriori rispetto a quelli della raccolta;
  • la trasparenza verso i cittadini e il coinvolgimento stretto del Garante sono i moniti più importanti.

 

Solo in questo modo sarà possibile sfruttare appieno i vantaggi che la tecnologia può offrire in un contesto di emergenza come quello odierno, senza però cedere alla tentazione della “scorciatoia tecnologica”, come puntualizzato da Antonello Soro, presidente del Garante Privacy, evitando quindi processi di monitoraggio indiscriminato di massa[23].