Questo articolo è disponibile in PDF.
1. Cronologia degli eventi
Nel corso dell’ultimo mese, e cioè da quando è aumentato il focus sull’incidenza della pandemia di COVID-19 rispetto alla protezione dei dati personali, abbiamo assistito alla pubblicazione dei seguenti principaliprovvedimenti emessi da alcuni Organi istituzionali:
In data 16/03/2020 veniva pubblicato il documento dal titolo “Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak” con il quale il Chair dell’European Data Protection Board (EDPB), Andrea Jelinek, dichiarava “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”;
In data 19/03/2020 veniva pubblicato il documento dell’EDPB dal titolo “Statement on the processing of personal data in the context of the COVID-19 outbreak. Adopted on 19 March 2020”. In tale documento l’EDPB assume una posizione formale sulla questione che sembra comunque essere un chiarimento ampliato e del tutto in linea con quanto già espresso dal proprio Chair, Andrea Jelinek, con lo statement
Lo statement si articola sui seguenti quattro punti: 1. Lawfulness of processing; 2. Core principles relating to the processing of personal data; 3. Use of mobile location data; 4. Employment. In sintesi, con i precedenti contributi si evidenzia come sia alla luce del GDPR (Regolamento (UE)2016/679) sia in forza delle norme della Direttiva 2002/58/EC (meglio nota come “Direttiva e-Privacy” - Attualmente in discussione la “Proposta di regolamento del Parlamento europeo e del Consiglio relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche)”, COM/2017/010 final - 2017/03 (COD), disponibile qui: https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=CELEX%3A52017PC0010) non si possa prescindere dalle norme in materia di protezione dei dati personali ed eventuali interventi restrittivi in conseguenza della pandemia debbano essere adottati con leggi ad hoc.In data 30/03/2020 il Consiglio d’Europa (CoE) pubblica il documento dal titolo “Joint Statement on the right to data protection in the context of the COVID-19 pandemic by Alessandra Pierucci, Chair of the Committee of Convention 108 and Jean-Philippe Walter, Data Protection Commissioner of the Council of Europe”. Il punto centrale di questo statement è il seguente: “According to Convention 108+ (see Article 11) exceptions shall be “provided for by law, respect the essence of the fundamental rights and freedoms and constitutes a necessary and proportionate measure in a democratic society”".
In sostanza, facendo riferimento fondamentalmente alla Convention 108+, si insiste sulla necessità di interventi legislativi per eventuali restrizioni in tempo di pandemia. Inoltre, il documento in questione evidenzia 5 punti e precisamente: 1. Processing of health-related data; 2. Large-scale data processing; 3. Data processing by employers; 4. Mobile, computer data; 5. Data processing in educational systems.
- In data 6/04/2020 viene pubblicato l’intervento (in video e in testo) di Wojciech Wiewiórowski, Garante europeo della protezione dei dati, sul tema “EU Digital Solidarity: a call for a pan-European approach against the pandemic” con il quale, tra l’altro, si afferma: “Therefore, we are going to work with the European Commission to make sure that any measures taken at European or national level are:
- Temporary – they are not here to stay after the crisis.
- Their purposes are limited – we know what we are doing.
- Access to the data is limited – we know who is doing what.
- We know what we will do both with results of our operations and with raw data used in the process – we know the way back to normality.“
Inoltre, si legge
“Given these divergences, the European Data Protection Supervisor calls for a pan-European model “COVID-19 mobile application”, coordinated at EU level. Ideally, coordination with the World Health Organisation should also take place, to ensure data protection by design globally from the start.”
Com’è evidente, l’attenzione si sposta sulla necessità di un approccio paneuropeo. Si suggeriscono, quindi, misure nazionali che siano temporanee, con finalità e accesso ai dati limitati, consapevolezza su cosa si farà sia con i risultati delle nostre operazioni che con i dati grezzi. Si suggerisce, infine, una call per una app paneuropea.
- In data 7/04/2020 l’EDPB conferiva mandato al sottogruppo di esperti di tecnologia con il document “Request for mandate regarding geolocation and other tracing tools in the context of the COVID-19 outbreak - Technology ESG”.
- In data 7/04/2020 la Segretaria generale del Consiglio d’Europa, Marija Pejčinović Burić, ha pubblicato un documento dal titolo “Respecting democracy, rule of law and human rights in the framework of the COVID-19 sanitary crisis - A toolkit for member states” destinato ai governi di tutta Europa sul rispetto dei diritti umani, della democrazia e dello Stato di diritto durante la crisi del COVID-19.
- In data 8/04/2020 la Commissione europea pubblica la “COMMISSION RECOMMENDATION of 8.4.2020 on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data”.
Le finalità della raccomandazione sono dichiarate nei termini seguenti:
“This recommendation sets up a process for developing a common approach, referred to as a Toolbox, to use digital means to address the crisis. The Toolbox will consist of practical measures for making effective use of technologies and data, with a focus on two areas in particular: (1) A pan-European approach for the use of mobile applications, coordinated at Union level, for empowering citizens to take effective and more targeted social distancing measures, and for warning, preventing and contact tracing to help limit the propagation of the COVID-19 disease. This will involve a methodology monitoring and sharing assessments of effectiveness of these applications, their interoperability and cross-border implications, and their respect for security, privacy and data protection; and (2) A common scheme for using anonymized and aggregated data on mobility of populations in order (i) to model and predict the evolution of the disease, (ii) to monitor the effectiveness of decision-making by Member States’ authorities on measures such as social distancing and confinement, and (iii) to inform a coordinated strategy for exiting from the COVID-19 crisis.”
In sostanza, non solo viene recepito il suggerimento dell’EPDS che evidenziava la necessità di un approccio paneuropeo ma si aderisce anche allo sviluppo di uno schema comune per l’utilizzo di dati anonimi e aggregati sulla mobilità delle popolazioni.
- In data 8/04/2020 il Comitato dei Ministri del Consiglio d’Europa ha pubblicato la “Recommendation CM/Rec(2020)1 of the Committee of Ministers to member States on the human rights impacts of algorithmic systems (Adopted by the Committee of Ministers on 8 April 2020 at the 1373rd meeting of the Ministers’ Deputies)”.
Questa raccomandazione, breve ma con un allegato (Linee guida) molto esteso, ovviamente evidenzia gli aspetti connessi ai diritti umani.
1.1 Cosa emerge dai predetti documenti istituzionali?
Anzitutto la necessità di una legge ad hoc qualora uno Stato membro volesse adottare soluzioni specifiche che comportino limitazioni per il contenimento della pandemia. Le norme a sostegno di questa soluzione sono individuabili negli art. 15 della Direttiva 2002/58/EC (e-Privacy) e nell’art. 23 del GDPR. Si nota anche un rapido ma crescente aumento della consapevolezza istituzionale riguardo alla complessità del tema relativo all’impatto della pandemia sulla protezione dei dati personali. Dai documenti indicati, infatti, emerge un evidente e crescente trend evolutivo che al momento è fermo agli ultimi due provvedimenti dell'8 aprile (Commissione UE e Comitato dei Ministri). Infatti, il primo statement del Segretario dell’EDPB sembra solo un intervento per ricordare che - nonostante il crescente espandersi della pandemia - comunque devono essere rispettate le norme in materia di protezione dei dati personali. Sull’argomento il 19 marzo, alcune ore prima della pubblicazione dello statement dell’EDPB, veniva pubblicato il mio contributo dal titolo “Coronavirus, app e privacy: valido l’approccio giuridico del GDPR” con il quale si evidenziava – in estrema sintesi – che anche in tempi di pandemia continuano ad applicarsi le norme in materia di protezione dei dati personali previste dal GDPR e che, qualora fosse risultato necessario, eventuali sviluppi di soluzioni utili ad agevolare e controllare il contenimento del diffondersi dei contagi avrebbe dovuto essere oggetto di apposita legge. Con il secondo statement, l’EDPB assume una posizione istituzionale decisamente più marcata, indicando i punti da tenere in considerazione nel rapporto tra pandemia e Data Protection. Con il terzo statement istituzionale, il CoE sembra voler accentuare l’importanza della protezione dei dati personali, aderendo a quanto già dichiarato dall’EDPB ma aggiungendo ulteriori precisazioni. L’intervento dell’EDPS, da un lato, rimarca ulteriormente l’importanza della protezione dei dati personali, richiamando addirittura la lezione di Giovanni Buttarelli “Il GDPR afferma chiaramente che il trattamento dei dati personali deve essere finalizzato al servizio dell’umanità”. Allo stesso tempo, l’EDPS fa notare anche la necessità di una maggiore attenzione allo sviluppo di app per il contenimento della pandemia, evidenziando l’esigenza di una app paneuropea. I concetti già enunciati, sono recepiti, enucleati e amplificati dalla Commissione europea e dal Comitato dei Ministri del Consiglio d’Europa. Successivamente all’intervento dell’EPDS, veniva pubblicato altro mio contributo dal titolo “COVID19 e monitoraggio tramite app: un approccio consapevole basato su privacy e regole di protezione dei dati”, con il quale ribadivo che nello sviluppo di eventuali app avrebbe dovuto comunque essere rispettato il principio della protezione dei dati fin dalla progettazione (Privacy by Design) e protezione per impostazione predefinita (Privacy by Default) di cui all’art. 25(1) GDPR. Precisavo inoltre, a fronte di un dibattito sviluppatosi in rete sul tipo di soluzione tecnica da adottare (GPS, celle del gestore mobile, bluetooth, ecc.) che la tecnologia è neutra rispetto alle norme, così come meglio illustrato di seguito. L’ulteriore aspetto che emerge dai provvedimenti in questione riguarda lo sviluppo di app “anti” (o “pro”, a seconda dei punti di vista) COVID-19, finalizzate cioè ad agevolare il contenimento della pandemia. Nulla quaestio in ordine ai principi generali e all’utilizzo di un corretto approccio alle norme in materia di protezione dei dati personali con conseguente loro precisa applicazione. Le app anti-COVID19 ed il loro sviluppo diventano attualmente il focus con la necessità che portano in relazione al pieno rispetto delle norme in materia di protezione dei dati personali.
2. La neutralità della tecnologia
Come scegliere la tecnologia da utilizzare per le contact tracing apps ed essere conformi alle norme in materia di protezione dei dati personali? Ad avviso di chi scrive l’approccio non è corretto. In genere, è sempre primario il rispetto delle norme giuridiche, mentre quelle tecniche possono costituire un ausilio alla prime, salvo che non esista un’espressa previsione normativa che individui una precisa soluzione tecnica. Nel contesto della protezione dei dati personali, quindi, il riferimento principale sono le norme vigenti sia in ambito europeo (il GDPR) sia nazionale, ove esistenti (per l’Italia il D.Lgs. 196/2003, così come modificato dal D.Lgs. 101/2018). Ciò posto, nel GDPR è utilizzata l’espressione “misure tecniche e organizzative”, mai specificando però quale soluzione tecnica o tecnologia possa o debba essere adottata. Pertanto, è evidente che in questo contesto la tecnologia sia neutra rispetto alle norme in materia di protezione dei dati personali: vale a dire che si potrà adottare qualsiasi soluzione che sia utile ma nel pieno rispetto dei principi e delle norme giuridiche vigenti. Del resto, non potrebbe essere diversamente anche se ci si sofferma sul principio della protezione dei dati fin dalla progettazione e protezione per impostazione predefinita contenuto nell’art. 25 del GDPR. L’utente-interessato è al centro e va protetto, mentre la componente tecnica deve garantire sin dalla progettazione la protezione dei dati personali.
3. Tracing apps e contact tracing
Il tema delle apps COVID19 è in primo piano proprio in questi giorni per diverse ragioni. Il primo aspetto è di natura terminologica, poiché si discute di “tracing apps” e di “tracking apps”. A quale delle due espressioni ci si riferisce? Qual è la definizione corretta? Senza voler assurgere al ruolo di linguista, le risposte vanno ricercate nelle definizioni dei verbi inglesi “to trace” e “to track”. Con il verbo “to trace” si intende individuare all’indietro il percorso dal punto attuale a quello iniziale (es. individuare il luogo da cui una telefonata è stata effettuata). Con il verbo “to track” si intende, invece, seguire il percorso che farà un oggetto o un soggetto in avanti, cioè muovendosi da una certa posizione così seguendo il movimento (es. monitorare un telefono cellulare dalla sua posizione attuale fino a dove andrà). In realtà, proprio di recente Apple e Google hanno annunciato “uno sforzo congiunto per consentire che l’uso della tecnologia Bluetooth possa aiutare i governi e le agenzie sanitarie a ridurre la diffusione del virus, con la privacy e la sicurezza degli utenti al centro della progettazione” (TDR). Quindi, ci si è spostati verso l’espressione “contact tracing apps” individuando proprio la tecnologia “contact tracing” (contact tracing technology). Il “joint effort” di Apple e Google è sull’uso della tecnologia Bluetooth.L’idea di utilizzare il Bluetooth prospettata da Apple e Google, comunque, non costituisce una novità, posto che prima ne avevano già parlato alcuni ricercatori del MIT (https://news.mit.edu/2020/bluetooth-covid-19-contact-tracing-0409). In ogni caso, pare che la soluzione tecnica più accreditata sia il Bluetooth. In questa sede non si intende evidenziare la componente tecnica ma soffermarsi unicamente sugli effetti giuridici delle attività di contact tracing (o tracking). A questo proposito, vanno chiarite le finalità che si intendono perseguire: in generale, è necessario contenere la diffusione della pandemia mediante il monitoring delle persone infette, evitando che esse possano entrare in contatto con soggetti sani. In particolare, invece, non è chiaro se il monitoring riguarda: a) un arco temporale a ritroso (es. da quando ci sarà l’app si procede indietro di tot tempo fino ad un punto di origine), oppure b) in avanti (es. da quando ci sarà l’app si monitorano le persone nei loro spostamenti). Ciò è determinante in quanto cambia il significato dei termini utilizzati, e precisamente: considerati i significati dei termini tracing e tracking, forse sarebbe più opportuno definire come tracing l’attività indicata al punto a) e tracking quella indicata al punto b). In sintesi, sembrerebbe che si debba parlare di tracking app o di contact tracking piuttosto che di contact tracing. Chiarito questo aspetto puramente terminologico ma che aiuta certamente a comprender meglio il tipo di finalità da perseguire, è opportuno soffermarsi sul rapporto tra attività di contact tracing e protezione dei dati personali considerandone impatto ed effetti. Se le attività di contact tracing consistono nel monitorare una persona – anche se solo su base volontaria – mediante il proprio smartophone non c’è dubbio che ci si trovi di fronte a dati personali con conseguente applicazione della disciplina contenuta nel GDPR. È chiaro che, escludendo, l’esistenza di un dato personale o quanto meno la identificabilità di una persona fisica il GDPR non si applica. Ciò posto, nell’intero processo di contact tracing non è possibile escludere l’identificabilità di una persona fisica, posto che le attività di monitoring e di analisi procedono certamente da un dato personale (come tale associato ad una persona fisica) per concludersi con ulteriori dati personali. In sostanza, se Tizio è affetto da coronavirus, certamente sarò in possesso dei sui dati personali e se lo stesso Tizio entrasse in contatto con Caio che è soggetto sano, quest’ultimo sarebbe informato circa i rischi conseguenti ad un contatto con persona infetta. A questo punto, sebbene si eviti che Tizio e Caio possano sapere reciprocamente o unidirezionalmente dell’altro, le attività di monitoring non potranno prescindere da dati personali. Pertanto, l’idea di poter garantire il diritto alla protezione dei dati personali nell’intero processo di contact tracing (negli esatti termini appena descritti), costituisce un ossimoro, una negazione in se stessa, con conseguente impossibilità di realizzare pienamente l’applicazione delle norme giuridiche del GDPR.
4. Quali potranno essere le più idonee soluzioni?
A questo punto, considerate le proposte in campo, è lecito domandarsi quale potrà essere la soluzione attraverso la quale, mediante l’utilizzo delle tecnologie disponibili, si possa tentare di arginare la diffusione dei contagi monitorando le persone. Con il presente contributo non si intende affrontare questioni puramente tecniche verso la scelta di una o più proposte, anche perché sono stati già pubblicati numerosi contributi scientifici che evidenziano maggiori o minori criticità circa l’una o l’altra di queste (da ultimo proprio con riferimento al Bluetooth). Pertanto, l’approccio resterà quello giuridico per verificare quale possa essere l’incidenza – in linea di principio – di una soluzione tecnica in ambito protezione dei dati personali. Come si è detto, la soluzione tecnologica da individuare non può prescindere dalle disposizioni normative in materia di protezione dei dati personali. In particolare, bisogna procedere dalla definizione di dato personale contenuta nel GDPR (art. 4(1)) ossia “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Pertanto, si può escludere l’applicazione delle norme in materia di protezione dei dati personali soltanto nella ipotesi in cui non si abbia dato personale nella definizione enunciata dal GDPR ed appena prospettata. Molto spesso si focalizza l’attenzione sulla espressione identificata, non considerando che il GDPR considera anche la persona fisica “identificabile” e cioè quella che può essere identificata, direttamente o indirettamente. Le finalità relative allo sviluppo di queste app consistono in complesse attività di tracciamento e _monitoring_volte ad individuare i soggetti affetti da coronavirus o da esso guariti per poi anonimizzarne i relativi dati personali e creare avvisi al resto della popolazione o in zone ristrette oppure in base alla distanza da quella sorgente. Il punto nodale è quello di garantire l’anonimato sia alle persone affette o che sono state affette da coronavirus sia a quelle che non lo sono. È appena il caso di ricordare che con il documento WP216 del 10/04/2014 dal titolo “Parere 05/2014 sulle tecniche di anonimizzazione” il Working Party ex art. 29 illustrava le principali soluzioni, tra cui la privacy differenziale, e concludeva per affermare che la pseudonimizzazione non è un metodo di anonimizzazione. Inoltre, con tale documento si concludeva che le tecniche di anonimizzazione possono fornire garanzie di protezione della sfera privata e possono essere utilizzate per creare efficaci procedure di anonimizzazione, soltanto se la loro applicazione viene progettata in maniera adeguata. Si affermava, peraltro, che da un lato anonimizzazione e reidentificazione sono argomenti attivi di ricerca e vengono regolarmente pubblicate nuove scoperte in materia e, dall’altro lato, persino i dati resi anonimi, come le statistiche, possono essere utilizzati per arricchire i profili esistenti delle persone, determinando quindi nuovi problemi di protezione dei dati. In effetti, non a caso, nel 1997 la professoressa Latanya Sweeney 1997 con il contributo dal titolo “Computational Disclosure Control A Primer on Data Privacy Protection” dimostrò come i dati risultanti dopo l’applicazione di tecniche di anonimizzazione possono essere vulnerabili e quindi utilizzati per reidentificare le persone. Ciò solo per evidenziare che sebbene siano utilizzate soluzioni algoritmiche mediante le quali anonimizzare i dati non si può escludere che si identifichi una o più persone fisiche con processi di reverse tracing o reverse processing. A parere di chi scrive e senza intenzione di dissertare su eventuali soluzioni scientifiche né di sminuirne o delegittimarne la portata, alla luce della vigente normativa in materia di protezione dei dati personali è estremamente difficile escludere non solo l’identificazione ma anche la sola identificabilità di una persona fisica. Del resto, lo stesso EDPS in una intervista rilasciata il 9 aprile a ANSA Europe ha dichiarato “E’ impossibile che il tracciamento della persona singola resti anonimo anche se necessario per un monitoraggio efficace della diffusione del coronavirus: per questo bisogna affrontare la questione con la legge sulla protezione dei dati personali (GDPR)”.