20 Mag 2020

Caffè MIDA n. 5/2020

 

EPDB – Linee guida n. 4/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza COVID-19

 

Il Comitato Europeo per la protezione dei dati (EDPB), composto dai rappresentanti delle Autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati, ha adottato, lo scorso 21 Aprile, nell’ambito della 23esima sessione plenaria, le linee guida n.4/2020 che chiariscono le condizioni e i principi per l’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti durante il periodo di emergenza causato dalla pandemia di COVID-19.

Alla luce delle nuove linee guida, ogni misura adottata, sia dagli Stati membri che dalle Istituzioni dell’UE, che comporti il trattamento dei dati personali necessario per fronteggiare la pandemia, deve garantire i principi di efficacia, necessità e proporzionalità. L’obiettivo auspicato, infatti, è quello di sviluppare “un approccio comune europeo”, nonché “una cornice di interoperabilità” nel trattamento dei dati personali, nonché nella protezione degli stessi e garantire un clima di fiducia teso a favorire l’accettabilità delle misure prese da parte dei cittadini europei.

Già nella precedente dichiarazione, adottata lo scorso 19 marzo “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19”, l’EDPB ha ricordato come il Regolamento Generale sulla Protezione dei Dati 2016/679 (GDPR) abbia un’ampia portata e contempli anche ipotesi che possano essere ricondotte ad un contesto come quello relativo al COVID-19 (come l’art. 9 – Trattamento di categorie particolari di dati personali), consentendo, dunque, alle autorità sanitarie pubbliche e ai datori di lavoro di trattare dati personali nel contesto di un’epidemia, nel rispetto delle condizioni previste dal diritto nazionale.

UTILIZZO DEI DATI DI LOCALIZZAZIONE

Il Comitato chiarisce che riguardo l’utilizzo dei dati relativi alla localizzazione e ubicazione, occorre privilegiare il trattamento di dati anonimi anziché di dati personali.

Il dato anonimo è rappresentato da informazioni che non si riferiscono a una persona fisica identificata o identificabile, o da dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato (Considerando 26 GDPR 2016/679). I dati sono resi anonimi attraverso tecniche di anonimizzazione che, come si legge al punto 16 delle Linee guida, si rivelano efficienti al verificarsi di tre fattori: (i) individuabilità (singling out) (possibilità  di  isolare  una  persona  all’interno  di  un  gruppo  sulla  base  dei  dati); (ii) correlabilità (possibilità di correlare due  record  riguardanti  la  stessa  persona); (iii)  inferenza  (possibilità  di  dedurre,  con  probabilità  significativa,  informazioni  sconosciute relative a una persona).”

Dunque, quando i processi di anonimizzazione sono efficaci e i dati personali riferiti ad un individuo sono stati resi anonimi, dovrebbe essere impossibile re-identificare l’identità della persona. I dati anonimizzati non rientrano nel campo di applicazione del regolamento generale sulla protezione dei dati.

Il Comitato, inoltre, ricorda come l’anonimizzazione non vada confusa con la pseudonimizzazione. Il GDPR, all’articolo 4, punto5), stabilisce che per pseudonimizzazione s’intende “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.

La differenza sostanziale con il processo di anonimizzazione, dunque, risiede nella circostanza che il dato personale pseudonimizzato può essere ricostruito. Si legge, infatti, al punto 17 delle Linee guida che “mentre l’anonimizzazione consente di utilizzare i dati senza restrizioni, i dati pseudonimizzati rientrano nel campo di applicazione del regolamento generale sulla protezione dei dati”.

STRUMENTI PER IL TRACCIAMENTO DEI CONTATTI

Preliminarmente il Comitato afferma che l’utilizzo di app per il tracciamento dei dati può avvenire solo su base volontaria. A tal riguardo, inoltre, il Comitato osserva come “la circostanza per cui l’uso di app per il tracciamento dei contatti avvenga su base volontaria non implichi che il trattamento dei dati personali debba necessariamente basarsi sul consenso. Qualora autorità pubbliche forniscano un servizio sulla base di un mandato conferito dalla legge e conformemente ai requisiti stabiliti da tale legge, la base giuridica più pertinente risulta essere la necessità del trattamento per lo svolgimento di un compito di interesse pubblico, ossia l’articolo 6, paragrafo 1, lettera e), del Regolamento generale sulla protezione dei dati.”

Dunque, il fondamento giuridico di tale trattamento potrebbe rinvenirsi nell’articolo 6.1 lettera e) del GDPR: “il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. L’articolo 6.3, precisa, infatti, che la base su cui si fonda il trattamento di cui all’articolo 6.1 lettera e) è stabilita dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare.

Diversamente, se il trattamento dei dati si basa su una diversa base giuridica, come il consenso, il titolare dovrà garantire il soddisfacimento dei requisiti previsti per tale base giuridica.

Il Comitato afferma, inoltre, che per la creazione di una app per il tracciamento dei contatti, occorre prestare attenzione al principio di minimizzazione e ai principi della protezione dei dati fin dalla progettazione (data protection by design) e per impostazione predefinita (data protection by default). A tal proposito il Comitato chiarisce alcuni punti: 1) le app per il tracciamento dei contatti non necessitano dell’indicazione della posizione dei singoli utenti, ma occorre invece utilizzare i dati di prossimità; 2) poiché le app per il tracciamento possono funzionare senza l’identificazione diretta delle persone, è necessario adottare misure atte ad evitare la reidentificazione; 3) i dati raccolti, solo quelli pertinenti e strettamente necessari, dovrebbero essere conservati nelle apparecchiature terminali degli utenti; 4) la conservazione dei dati dovrebbe avvenire solo per la durata dell’emergenza da COVID-19.

Inoltre, in ossequio al principio di responsabilizzazione, il Comitato ritiene necessaria l’indicazione dei titolari del trattamento dell’app per il tracciamento dei contatti, che potrebbero essere individuati nelle Autorità sanitarie nazionali.

***

Sulla base delle indicazioni dell’EDPB, il Consiglio dei Ministri, ha approvato, in data 30 Aprile 2020, il Decreto Legge n. 28, disciplinando anche misure urgenti per l’introduzione del sistema di allerta COVID-19, in seguito al parere favorevole reso dal Garante italiano per la protezione dei dati.

All’articolo 6, comma 1, del D.L. 28/2020 si legge: “Al solo fine di allertare le persone che siano entrate in contatto stretto con altri soggetti risultati positivi….è istituita una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile”.

Il Ministero della Salute è individuato come responsabile del trattamento. In particolare, nel Decreto, si ritiene necessario garantire alcune condizioni, tra cui:

  • gli utenti ricevano, prima dell’attivazione dell’applicazione, l’informativa di cui agli artt. 13 e 14 del Regolamento UE 2016/679, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati;
  • i dati personali raccolti dall’applicazione non possono essere utilizzati per finalità diverse da quelle indicate nel Decreto, secondo i criteri stabiliti dal Ministero della Salute;
  • il trattamento effettuato per allertare i contatti è basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure pseudonimizzati;
  • i dati relativi ai contatti sono conservati per il tempo strettamente necessario.

Al comma 6 è, inoltre, disposto che l’utilizzo dell’applicazione e della piattaforma è interrotto alla data di cessazione dello stato di emergenza e comunque non oltre il 31 dicembre 2020. Entro questa data, dunque, tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi.

 

FONTI NORMATIVE

Regolamento Generale sulla Protezione dei Dati 2016/679 (GDPR)

Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19

Decreto Legge 30 Aprile 2020, n. 28 “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19”

 

DOTTRINA

Nicotra Massimiliano, Contact tracing, dati sanitari e COVID-19, Laboratorio di diritto dell’emergenza – Link Campus University, 15 maggio 2020

Sgambati Chiara, Contact tracing, linee guida Edpb: condizioni e principi da seguire, in agendadigitale.eu, 4 maggio 2020

Con il contributo di Margherita Esposito

Leave a Comment