App “Immuni”, arriva il parere favorevole del Garante per la Privacy
In piena emergenza epidemiologica causata dalla diffusione del Covid-19, il Governo italiano ha emanato una serie di provvedimenti d’urgenza, alcuni dei quali limitativi dei diritti fondamentali delle persone. Tra le misure pensate per contrastare la diffusione del virus, tristemente noto come Coronavirus, e verificare il rispetto delle disposizioni restrittive adottate dal Governo, vi è quella della raccolta dei dati sulla ubicazione o sulla interazione dei dispositivi mobili dei soggetti risultati positivi, con altri dispositivi, al fine di analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi.
Trattandosi di misure che coinvolgono la protezione dei dati personali, il Governo ha così chiesto al Garante per la protezione dei dati personali un’audizione informale per avere da questo indicazioni utili sull’elaborazione della normativa che sia compatibile con le norme previste in materia di privacy.
In prima battuta il Garante nella sua valutazione si sofferma ad individuare le due diverse finalità dei dati che dovrebbero essere così raccolti, cioè i dati relativi all’ubicazione e all’interazione dei dispositivi mobili. In particolare, il Garante ritiene che, per quanto riguarda la prima tipologia di dati, essi servirebbero per verificare la posizione del soggetto, risultato positivo al Covid-19, sottoposto ad obbligo di permanenza domiciliare, utilizzando la geolocalizzazione del telefono per accertare l’effettivo rispetto del divieto di allontanamento dal domicilio. Per quanto riguarda, invece, la seconda tipologia di dati, essi servirebbero ad acquisire informazioni sulle interazioni del soggetto, poi risultato positivo, con altri soggetti, per verificarne, nel periodo in cui il virus aveva capacità virale, gli eventuali contatti con soggetti terzi.
Ciò detto sulle finalità, il Garante ritiene che sussistano diverse modalità di tecnologie utilizzabili per raggiungere le finalità, ma che si dovrebbero scegliere quelle che sono meno invasive possibili pur essendo sufficienti a raggiungere l’obiettivo di contenere i contagi (nel rispetto del c.d. principio di gradualità).
In quest’ottica, appare conforme l’uso di trend di mobilità delle persone che siano acquisiti e conservati in modalità anonime, cioè senza possibilità di identificare gli interessati cui si riferiscono detti dati di mobilità. L’uso di dati identificativi, invece, potrebbe essere ammesso soltanto ove sia espressamente previsto da un’apposita disposizione normativa che stabilisca anche adeguate garanzie a tutela degli interessati.
Il Garante, inoltre, fa notare che l’uso della geolocalizzazione del telefono andrebbe a sostituire quei controlli effettuati dalle forze dell’ordine con un controllo elettronico, dando, però, per scontato che chi decide di violare gli obblighi di permanenza domiciliare porti con sé il telefono. In tal modo, il Garante evidenzia comunque il rischio che l’adozione di tale tecnologia possa comunque risultare poco utile al raggiungimento della finalità prefissata.
Altra misura finalizzata alla verifica del rispetto degli obblighi di distanziamento sociale potrebbe essere, secondo il Garante, l’utilizzo di droni da parte dell’autorità di pubblica sicurezza. L’utilizzo di questi strumenti, potenzialmente lesivi del diritto alla riservatezza, richiederebbe secondo il Garante un rigoroso rispetto del canone di proporzionalità in quanto essi effettuano una raccolta assai ampia di dati personali. Anche se, il Garante prosegue evidenziando che difficilmente l’uso dei droni potrebbe avvenire nel rispetto della misura della proporzionalità proprio in considerazione della massiccia acquisizione di dati personali che gli stessi effettuano.
Ad ogni modo, tenuto conto che sussiste già una norma di riferimento che disciplina l’utilizzo dei droni per esigenze di controllo del territorio per finalità di pubblica sicurezza, contrasto del terrorismo e del crimine organizzato, il Garante suggerisce di provvedere ad effettuare una precisazione normativa nel caso in cui si adottasse questa tecnologia.
Più complessa è invece la ipotesi di utilizzo dei dati relativi all’ubicazione e all’interazione dei dispositivi mobili per effettuare una mappatura a ritroso dei contatti personali tenuti, nel periodo d’incubazione del virus, da soggetti poi risultati contagiati.
Tale mappatura avverrebbe attraverso l’incrocio di tipologie di dati diversi, come quelli sulle transazioni commerciali, sulle celle telefoniche, quelli sull’interazione con altri dispositivi mobili desunti dal ricorso a tecnologie bluetooth.
In questo caso, i dati acquisiti verrebbero utilizzati per finalità solidaristiche – nell’interesse del diritto alla salute della collettività – individuando le persone entrate potenzialmente in contatto con un malato Covid-19 e sottoponendoli ad accertamenti o, comunque, adottando le misure utili a prevenire il contagio.
Il Garante per la protezione dei dati personali nota un forte limite nell’utilizzo dei dati raccolti dai dispositivi elettronici per ricostruire la catena epidemiologica. Il limite è dato dal fatto che non tutti i soggetti nel momento in cui si spostano, lo fanno portando con sé il cellulare, né tutti i soggetti posseggono uno smartphone con, oltretutto, determinate funzionalità. Pertanto, l’utilizzo di questi sistemi tecnologici per la finalità di tracciamento di cui si è detto sopra, imporrebbe la sussistenza di un obbligo a carico di tutte le persone di uscire sempre con il proprio smartphone, ma ciò sarebbe evidentemente difficilmente realizzabile e soprattutto sarebbe difficilmente coercibile. E’, infatti, assai difficile pensare che si possa imporre un obbligo in tal senso, dunque secondo il Garante si dovrebbe ricorrere a sistemi fondati sulla volontaria adesione dei singoli che acconsentano il tracciamento della propria posizione.
Poiché, poi, il consenso per essere lecito dovrebbe essere libero e non condizionato ad esempio alla possibilità di usufruire di determinati servizi o beni, il Garante ritiene che una corretta soluzione potrebbe essere quella della volontaria attivazione da parte del singolo cittadino di una app finalizzata alla raccolta dei dati sull’interazione dei dispositivi per esigenze di sanità pubblica.
Per quanto riguarda la fase successiva alla raccolta dei dati, cioè quella della conservazione degli stessi e del loro utilizzo per allertare i potenziali contagiati, cioè i soggetti che siano entrati in contatto per il solo periodo di potenziale contagiosità con coloro i quali sono poi risultati positivi al coronavirus, il Garante ha fornito alcune precisazioni.
In particolare, tenendo presente i criteri di necessità, proporzionalità e minimizzazione rimarcati dalla giurisprudenza europea, secondo il Garante si dovrebbe ritenere preferibile una tecnologia che adotti la misura più selettiva possibile, che garantisca cioè il minor ricorso possibile a dati identificativi, sia in fase di raccolta sia in fase di conservazione.
A tal fine, sarebbero idonee quelle tecnologie che mantengono il diario dei contatti esclusivamente nella disponibilità dell’utente, sul suo dispositivo, ragionevolmente per il solo periodo massimo di potenziale incubazione. Un valido strumento sarebbe, secondo il Garante, l’utilizzo del bluetooth, rispetto ai dati ricavabili dall’uso delle celle telefoniche, in considerazione del fatto che il primo sistema permette di selezionare i contatti soltanto tra coloro i quali hanno effettivamente avuto un contatto ravvicinato con il soggetto poi risultato infetto (cosa non fattibile con l’uso delle celle telefoniche).
Il Garante prosegue, poi, evidenziando come il soggetto che risultasse positivo dovrebbe fornire l’identificativo del proprio dispositivo (cioè l’IMEI dello smartphone) all’Asl, che sarebbe poi tenuta a trasmetterlo al server centrale per consentirgli così di ricostruire, tramite un calcolo algoritmico, i contatti tenuti con altre persone le quali si siano, parimenti, avvalse dell’app bluetooth. Queste ultime persone riceverebbero poi, meglio direttamente dall’Asl (che attraverso sistemi automatici da parte dell’App) una segnalazione di potenziale contagio con l’invito a sottoporsi ad accertamenti. In tal modo, il tracciamento sarebbe affidato a un flusso di dati pseudonimizzati, suscettibili di reidentificazione solo in caso di rilevata positività ed inoltre il fatto che la comunicazione a coloro i quali sono stati in contatto con il contagiato avvenga dall’Asl (e non automaticamente dall’App) permetterebbe di realizzare un intervento umano nel processo che eviterebbe di lasciare ogni decisione in maniera automatizzata agli algoritmi (con maggiori garanzie di tutela per gli interessati).
Anche in tali circostanze, comunque, la stessa comunicazione tra server centrale ed App dei potenziali contagiati avverrebbe senza consentirne la reidentificazione, così minimizzando l’impatto della misura sulla privacy individuale.
La soluzione ipotizzata ridurrebbe, verosimilmente allo stretto necessario, la sua incidenza sulla riservatezza. Tuttavia, benché non massivo, il trattamento di dati personali comunque realizzato richiederebbe, secondo il Garante, una norma di rango primaria.
In conclusione, il Garante evidenzia come la normativa che disciplina questi sistemi tecnologici per le finalità di cui si è detto dovrebbe essere limitata nel tempo, così da essere revocata non appena terminato lo stato di necessità. Inoltre, sarebbe necessario sancire l’obbligo di cancellazione dei dati decorso il periodo di potenziale utilizzo, salva la conservazione in forma aggregata o comunque anonima per soli fini statistici o di ricerca, e l’illiceità di qualsiasi riutilizzo dei dati per fini diversi da quelli di tracciamento dei contatti.