31 luglio 2020: scadenza inderogabile GDPR per il matching tra Data Tracing, Contact Tracing e Telemedicina

31 luglio 2020 è la data della scadenza dello stato di emergenza decretato dal Governo italiano a fronte della pandemia COVID-19. Questa è la data che segna anche il termine finale invalicabile per le deroghe al GDPR. Nel momento dell’emergenza, il GDPR tiene egregiamente perché il legislatore europeo lo ha dotato degli anticorpi necessari per regolare queste situazioni grazie a valvole di sicurezza come l’art. 9, comma 2, lett. i . Il grande problema attiene al dopo. Esiste il concreto rischio di non tornare più al mondo di prima ed essere catapultati in un mondo nuovo, un mondo che non avremmo avuto la possibilità di scegliere. In questo senso il COVID-19 potrebbe uccidere anche il GDPR se le eccezioni concesse diventassero regole .

Le deroghe non devono diventare un punto di non ritorno. Il Garante Privacy è stato chiaro le deroghe non devono diventare un punto di non ritorno La scadenza deve essere definita in partenza e dovrà coincidere con la fine dello stato di emergenza proclamato dal Governo a febbraio. Spetterà all'Autorità garante il compito di vigilare e quando necessario irrogare sanzioni. Che possono arrivare al 4% del fatturato Intervista ad Antonello Soro, di Paolo Russo, La Stampa - 25 marzo 2020 . Stesso monito dal Comitato UE sulla protezione dati EDPB nella Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19 adottata il 19 marzo 2020 in cui si dice l'emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza . Ancora l’EDP Supervisor nella lettera di raccomandazioni alla Commissione UE del 25 marzo 2020 insiste sull’importanza della Data Retention declinata in modo chiaro, trasparente, soprattutto in merito alla cancellazione di tutte le informazioni non appena sia terminata l’urgenza. Preme particolarmente all’EDP Supervisor evidenziare che siffatti sviluppi tecnologici non consentono di tornare indietro una volta che l’emergenza sia scomparsa. La prima deroga al GDPR è apparsa con il Parere del Garante Privacy del 2 febbraio 2020 di approvazione di trattamenti in forma semplificata per tutti i soggetti riferibili alla Protezione Civile transitata poi anche alle Forze dell’Ordine controllo autocertificazioni . Successivamente la Regione Lombardia, dopo un mese di trattamenti non dichiarati, ha reso noto l’utilizzo dei dati aggregati ed anonimi delle mappe sulla mobilità della popolazione ricavati dal traffico dei cellulari. L’aggravarsi della viralizzazione ha prodotto reazioni di contenimento diverse da regione a regione con iniziative tecnologiche scisse da una regia centrale governativa. Nel frattempo, il Garante Privacy ha cercato di fornire raccomandazioni in tempo reale rilasciando varie interviste sul data tracing relativo alla mobilità della popolazione rilevata grazie al traffico telefonico, sulle ipotesi di contact tracing tipo modello sudcoreano e su eventuali app abbinate di telemedicina. Il data tracing e il contact tracing. La terribile emergenza sanitaria che sta colpendo il mondo costringe gli Stati ad assumere decisioni veloci nell’interesse della sanità pubblica. Decisioni che impongono una scelta difficile tra salute e privacy. Il data tracing e il contact tracing costituiscono una delle questioni oggetto di questa scelta difficile. Il COVID-19 o coronavirus è altamente virale e quindi ad oggi l’unico modo per combatterlo risiede nella distanza sociale e nell’individuazione precoce degli asintomatici e dei positivi. L’Organizzazione mondiale della sanità OMS ha stilato la regola delle tre T trace, test, treat . La tecnologia in questo senso assume un valore molto positivo grazie ai meccanismi di monitoraggio e di tracciabilità delle persone che rendono possibile risalire alla rete di contatti avuti dall’infetto e così sottoporli a test oppure metterli direttamente in quarantena preventiva. Il data tracing - ovvero il monitoraggio della diffusione del virus - si ottiene in diversi modi, ad esempio si può ricorrere alle mappe della mobilità delle persone restituite dalla serie degli agganci alle celle di comunicazione mobile sotto forma di dati aggregati anonimi modello lombardo . Il contact tracing ovvero il monitoraggio dei contatti avuti dall’infetto - si può ottenere con la geolocalizzazione via gps dei cellulari scaricando una app dedicata es. StopCovid-19 della WebTek , modello umbro oppure tramite l’utilizzo di codici crittati che i cellulari si scambiano via bluetooth modello Singapore . In particolare, si sta parlando molto del modello sudcoreano che insieme a quello cinese hanno dimostrato di essere i più efficaci per debellare il virus. Il modello Corea del Sud si basa su una app per il monitoraggio degli spostamenti dei positivi unito a test a tappeto. Una menzione specifica per il basso impatto privacy merita il sopra ricordato modello Singapore che mediante il download volontario dell’app Trace Together consente l’individuazione di tutti i contatti avuti dall’infetto grazie a dei codici crittati scambiati dai cellulari via bluetooth ogni volta che si incontra un altro dispositivo in cui è stata scaricata la stessa app. Si compone così all’interno del dispositivo ovvero in locale un registro crittografato degli incontri tra cellulari che resta segreto salvo che uno dei dispositivi incontrati corrisponda a un soggetto risultato positivo. A quel punto, ove venga prestato consenso dall’interessato, il registro allocato nel cellulare viene trasmesso al sistema sanitario nazionale che provvede a spedire un messaggio di alert a tutti i dispositivi incontrati risultanti dal registro. In sostanza, finché non viene riscontrata la positività al virus, i codici scambiati restano in locale sul dispositivo e nessuno può accedervi. App di telemedicina e matching con il contact tracing. Attenzione alle derive di sorveglianza biometrica di massa. Teleconsulto ed autodiagnosi sono strumenti utili per i pazienti domiciliari ed a maggior ragione fruibili per i forzati del COVID-19. Pertanto, la telemedicina in sé ormai messa in sicurezza da tempo non desta preoccupazioni privacy. Il problema nasce in questo momento di emergenza in cui si potrebbe addivenire a delle soluzioni tecnologiche che creano l’abbinamento di questa tecnologia con quella di contact tracing lasciando in piedi una volta scomparsa l’emergenza mostruose derive di sorveglianza biometrica di massa. Supponiamo l’esistenza di una app in grado di gestire insieme sulla stessa piattaforma misure di contenimento del virus data tracing e contact tracing con misure di telemedicina. L’utente scarica l’app sul cellulare e da quel momento risulta tracciato nel programma di contact tracing sia come possibile infetto sia come contatto dell’infetto. Il cellulare dell’utente viene raggiunto da un avviso in cui si invita a porsi in quarantena perché dal monitoraggio degli incontri digitali è risultato essere entrato in contatto con un soggetto positivo o meglio col cellulare di un soggetto positivo. Al tempo stesso, l’avviso comunica anche che è stato allertato il sistema sanitario per un tampone a domicilio. Una volta eseguito il tampone, l’utente risulta negativo ma per sicurezza deve continuare la quarantena e comunicare ogni 3 giorni le proprie condizioni di salute in teleassistenza. La piattaforma digitale cui appartiene la app gestisce contestualmente sia le identità individuate con geolocalizzazione negative, asintomatiche, positive sia il relativo stato di salute. Situazione inammissibile per la disciplina data protection in tempi ordinari ma anche in tempi di emergenza. Allora dobbiamo concludere per l’inconciliabilità delle due tecnologie? La risposta dello stesso Garante Privacy è negativa. Soro spiega che si può ammettere anche un simile binomio purché la raccolta di informazioni non ecceda rispetto alle necessità e avvenga dentro un processo ben normato, controllato e soprattutto a termine Intervista ad Antonello Soro, di Paolo Russo, La Stampa - 25 marzo 2020, Un'app per la salute grazie a precise deroghe alla privacy . Il coronavirus stressa il GDPR 2016/679. In Europa la questione privacy è avvertita maggiormente rispetto al resto del mondo e in molti si sono chiesti se questa emergenza si limiterà soltanto a stressare il GDPR 2016/679 oppure addirittura ne allenterà l’applicazione ordinaria. Nel regolamento UE sono già state previste delle ipotesi di flessibilità di fronte ad eventi catastrofici come questo ed in particolare l’art. 9 comma 2 lett. i stabilisce il paragrafo 1 non si applica se si verifica uno dei seguenti casi i il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica . La necessità del trattamento dei dati personali e di salute in emergenza, la necessità del monitoraggio della mobilità della popolazione e la necessità di tracciare i contatti avuti dall’infetto, hanno stressato il GDPR che però ad oggi sembra tenere bene grazie all’art. 9, co.2, lett.i . La posizione assunta dal Garante Privacy interno. Proprio sulla scorta di questa norma il Garante Privacy interno ha espresso il Parere 2 febbraio 2020 con cui si concede un trattamento semplificato senza informativa e senza consenso solo per i soggetti pubblici dei dati personali e particolari a tutti i soggetti impegnati nell’assistenza sanitaria inerenti alla Protezione Civile. Tuttavia si impone il paletto della scadenza di tale regime non appena terminata l’emergenza Si evidenzia, tuttavia, la necessità che, alla scadenza del termine dello stato di emergenza, siano adottate da parte di tutte le Amministrazioni coinvolte negli interventi di protezione civile di cui all’ordinanza, misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali in capo a tali soggetti . Sempre sulla scorta dell’art. 9, comma 2, lett. i si ammette il data tracing consistente nell’utilizzo delle mappe della mobilità della popolazione fornite dalle telco con il paletto della versione in dati aggregati ed anonimi. Si ammette ancora sempre sulla scorta di questa norma il contact tracing consistente nella tracciabilità di tutti i contatti che ha avuto il soggetto risultato positivo con il paletto della proporzionalità, del termine di scadenza inderogabile e della minimizzazione by default. Soro in un’intervista rilasciata a Andrea Iannuzzi, La Repubblica , 26.03.2020 ammette il contact tracing a patto che sia stabilito in partenza il termine di scadenza , che gli strumenti digitali rechino di default il rispetto del principio di minimizzazione, che si usino dati pseudonimizzati o anonimi ricorrendo alla reidentificazione solo ove necessario per contattare i soggetti potenzialmente contagiati. Inoltre, il tutto deve essere disciplinato da un decreto-legge no regolamenti regionali o d.p.c.m. in cui siano ben chiari e controllabili la finalità ovvero unicamente il contenimento e il contrasto al COVID-19, le modalità di raccolta ovvero unicamente in forma pseudonimizzata e il termine. Infine, siffatti interventi devono rispettare i principi di proporzionalità, lungimiranza e ragionevolezza . La lungimiranza in particolare è la misura di sicurezza privacy per il futuro contro derive di sorveglianza biometrica di massa anche dopo l’emergenza. La posizione assunta dall’EDPB e dall’EDPS. Il nostro Garante risulta perfettamente in linea con l’orientamento espresso dall’EDPB nella Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19 adottata il 19 marzo 2020. Il Comitato UE innanzitutto raccomanda di trattare i dati sull’ubicazione solo in forma anonima cartografia . Ove ciò non sia possibile, richiamata la direttiva e-privacy, sostiene che quando non è possibile elaborare solo dati anonimi, la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica articolo 15 . Qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l’obbligo di predisporre garanzie adeguate . Come devono essere queste adeguate garanzie secondo l’EDPB? Tali misure devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Inoltre, esse sono soggette al controllo giurisdizionale della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo. In presenza di situazioni di emergenza, le misure in questione devono essere rigorosamente limitate alla durata dell’emergenza . Ovviamente anche il Comitato UE così come il nostro Garante indica quale faro di riferimento il principio della proporzionalità si applica anche il principio di proporzionalità. Si dovrebbero sempre privilegiare le soluzioni meno intrusive, tenuto conto dell’obiettivo specifico da raggiungere. Misure invasive come il tracciamento ossia il trattamento di dati storici di localizzazione in forma non anonimizzata possono essere considerate proporzionate in circostanze eccezionali e in funzione delle modalità concrete del trattamento. Tuttavia, tali misure dovrebbero essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità . L’EDP Supervisor Wiewiorowski nella lettera 25.03.20 di raccomandazioni sul monitoraggio della diffusione del covid-19 rivolta alla Commissione Ue rivendica la tenuta del GDPR e di tutte le altre normative privacy europee Regulation EU 2018/1725, ePrivacy Directive 2002/58/EC evidenziandone la flessibilità capace di consentire misure adeguate di fronte alle pandemie. Flessibilità che dev’essere declinata secondo tre principi fondamentali anonimizzazione sicurezza in particolare nell’accesso ai dati, data retention . In merito all’anonimizzazione si precisa l’obbligo di adottare una profonda anonimizzazione che non consista nella banale eliminazione dei dati anagrafici ma si spinga ad applicare tecniche specifiche si veda WP29 Opinion 05/2014 on Anonymisation Techniques 10 Aprile 2014 . In merito alla sicurezza si evidenzia la necessità di costruire canali di trasmissione blindati con le società telco e consentire l’accesso ai dati solo a esperti e soggetti appositamente certificati. Inoltre, se la Commissione si affida a terzi per elaborare le informazioni, tali terzi devono applicare misure di sicurezza equivalenti ed essere vincolati da rigorosi obblighi di riservatezza e divieti di ulteriore utilizzo. In merito alla data retention si raccomanda che i dati ottenuti dagli operatori di telefonia mobile siano cancellati non appena conclusa l'attuale emergenza. Evidenzia infine con forza il carattere straordinario delle deroghe al GDPR e che mai dovranno essere considerate regole ordinarie. Clicca qui per consultare la sezione dedicata al decreto Coronavirus