Sei preoccupato per il COVID-19? Visita l'hub di risorse gratuite che abbiamo preparato per sapere come supportare i tuoi team in remoto per mantenere alta la produttività.

Coronavirus e tutela dei dati personali: come tracciare i contatti mantenendo la privacy?

Pubblicato il giorno 8/5/2020 da Chiara Casse e Gianluca Gilardi

Coronavirus e tutela dei dati personali

L’esplosione della crisi pandemica del Covid-19 ha avuto un profondo impatto sulla società, da un punto di vista sanitario, politico, economico, sociale e – non da ultimo – sotto il profilo della conformità dei dati dei cittadini, relativi allo stato di salute e non, ai sensi del GDPR.

Se l’attenzione pubblica alla tutela del trattamento dei dati personali nell’epoca dei Big Data si era già acuita a valle dello scandalo Cambridge Analytica, la crisi in atto in queste settimane sembra quasi aver tracciato un profondissimo solco tra due elementi: da una parte, i possibili strumenti – anche tecnologici – per implementare delle efficaci misure di contrasto al propagarsi del fenomeno pandemico; dall’altra le esigenze di tutela della riservatezza dei cittadini in un contesto di democrazie mature come quelle Europee. Esigenze che nell’immaginario del pubblico (ed anche di una buona parte dei mezzi di comunicazione) vengono condensate sotto l’etichetta “GDPR“.

Invero, le esperienze di alcune nazioni dell’Estremo Oriente e del Sud-Est asiatico hanno suggerito – sbagliando, come vedremo – che non potesse esserci un contemperamento tra un uso massiccio di dati veicolati da strumenti “anche” tecnologici (non dimentichiamo che il contact tracing manuale fa parte dei protocolli sanitari di gestione di eventi pandemici da molto, molto prima che Covid-19 facesse la sua comparsa) da un lato ed il rispetto dei principi e norme sanciti dal GDPR dall’altro.

Che tale “insanabile contrasto” sia più apparente che sostanziale è dimostrato, tra l’altro, dall’esistenza di progetti molto famosi, tra cui quello del gruppo DP3T e quello del joint effort Apple/Google, mirati alla creazione di strumenti e soluzioni tecnologiche che siano pienamente conformi al GDPR. Soluzioni che, nel rispetto dei principi privacy by design e privacy by default ai sensi dell’art. 25 e del GDPR, mirano a realizzare quel bilanciamento tra diritti fondamentali che recita l’articolo 35 della Carta dei diritti fondamentali dell’Unione Europea.

L’Autorità Garante ha preso posizione sulla tutela dei dati personali

L’Autorità Garante per la protezione dei dati personali – prendendo posizione nel dibattito sui possibili usi dei Big (personal) Data – ha già più volte pubblicamente ricordato che misure volte a limitare il diritto alla protezione dei dati, se proporzionate e temporanee, “rappresentano il prezzo da pagare al fine di tutelare l’incolumità di tutta la collettività e, in particolar modo, delle sue frange più vulnerabili”. E che, in astratto, la tutela della protezione dei dati personali non crea alcuna preclusione all’adozione di misure anche limitative delle libertà delle persone, purché queste siano ispirate ai principi di proporzionalità, ragionevolezza e correttezza oltre che al criterio della gradualità. Con le dovute garanzie a tutela dei diritti e delle libertà delle persone, “dati pure molto delicati, quali quelli sul contagio, possono essere trattati anche senza il consenso degli interessati quando questo è necessario per motivi di interesse pubblico, come nel caso di gravi minacce per la salute a carattere transfrontaliero”.

Con specifico riferimento alle tecnologie di contact tracing, l’Autorità Garante ha inoltre osservato che il fine perseguito dalla mappatura a ritroso dei contatti avuti dai soggetti risultati positivi al Covid-19 risulta “particolarmente apprezzabile perché non già repressivo… ma solidaristico”. L’individuazione di quanti sono entrati in contatto con soggetti risultati contagiati permetterebbe infatti di valorizzare la “componente solidaristica” del diritto alla salute, componente volta non a reprimere eventuali trasgressioni della quarantena imposta ai soggetti contagiati, quanto piuttosto a prevenire il contagio quale interesse collettivo.

Le attività di tracciamento dei contatti sono previste nella fase di revoca delle misure di contenimento

Le attività di tracciamento dei contatti sono espressamente previste all’interno della “Tabella di marcia comune europea verso la revoca delle misure di contenimento della COVID-19” presentata dalla presidente della Commissione europea e dal presidente del Consiglio europeo il 15 aprile 2020. Tra le soluzioni indicate dall’Unione Europea al fine di raggiungere la revoca graduale delle misure di confinamento attualmente in vigore, figura infatti anche la necessità di procedere all’individuazione di un framework comune per il contact tracing effettuato tramite app: “le applicazioni mobili che avvisano i cittadini dell’aumento del rischio dovuto al contatto con una persona risultata positiva alla Covid-19 sono particolarmente utili nella fase di revoca delle misure di contenimento, quando sempre più persone entrano in contatto e il rischio di infezione aumenta di conseguenza”.

Se questo è il chiaro indirizzo politico a livello Europeo, il dubbio che questi strumenti ed i correlati Big Data debbano di per sé ed ineluttabilmente entrare in rotta di collisione con le regole stabilite dal GDPR per la tutela dei dati personali è stato fugato dall’European Data Protection Board (EDPB), che ha chiarito come lo stesso GDPR preveda comportamenti specifici in caso di epidemie che governi, autorità pubbliche e aziende private stanno rispettando e che lo stesso non ostacoli le misure prese per combattere la pandemia in corso; che anzi fornisca proprio le basi legali che permettono ai datori di lavoro e alle autorità sanitarie pubbliche di usare i dati personali nel contesto di un’epidemia senza bisogno di ottenere il consenso dell’interessato, ai sensi degli art. 6 e 9 del GDPR.

Punti indispensabili per una corretta conformità al GDPR

Da un punto di vista operativo, l’EDPB ha indicato una serie di punti specifici indispensabili per una corretta conformità al GDPR, tra cui:

1) Le app dovranno garantire la sicurezza dei dati ed il rispetto delle misure a tutela dei dati personali degli interessati, in particolare per quanto riguarda le modalità di raccolta, conservazione e comunicazione/diffusione dei dati;

2) Le app dovranno cessare di funzionare una volta cessata la pandemia, ed i dati raccolti rimossi o anonimizzati se non già anonimi;

3) La preferenza per una determinata app dovrà tenere conto anche delle tecnologie dalla stessa utilizzata, con particolare favore per modelli decentralizzati;

4) Le app dovranno garantire il rispetto degli standard di sicurezza indicati dall’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA);

5) La natura del trattamento dovrà essere volontaria e temporanea, nonché in linea con i principi e le linee guida fornite dalla Commissione e dalle Autorità competenti;

6) I titolari del trattamento dovranno essere individuati nelle Autorità Sanitarie nazionali o, alternativamente, nell’autorità nazionale competente designata ai sensi dell’art. 9 della Decisione 1082/2013 o altra autorità sanitaria individuata dagli Stati Membri.

Maneggiare grandi quantità di informazioni richiede massima attenzione nel trattamento dei dati personali

Come si è visto con questa rapida carrellata, il trattamento – anche massivo – di grandi basi di dati non è di per sé incompatibile con il rispetto del GDPR. Certamente il trattamento di grandi quantità di informazioni innalza esponenzialmente il livello di attenzione che deve caratterizzare le attività dei titolari dei trattamenti stessi, anche in situazioni non necessariamente emergenziali.

Nell’attuale contesto sono posti in capo ai datori di lavoro pesanti oneri nel contemperare le esigenze di tutela della salute dei lavoratori (predisponendo le opportune misure e controlli sanitari) ed il rispetto della privacy degli stessi, oneri che certamente possono essere meglio gestiti con strumenti (anche software) e processi ad hoc e che richiedono un accurato ripensamento della procedure, e tramite la scelta di tools in grado di supportare efficacemente gli aspetti di conformità (anche) ai sensi del GDPR.

Sei alla ricerca di soluzioni per la tua azienda? Scopri l’elenco dei software GDPR di Capterra 

Gianluca Gilardi è stato membro e socio dello Studio Legale Sutti dove si è occupato principalmente di IP&TMT e Privacy fino al 2013. Dal 2013 si occupa di digital forensics in particolar modo in materia di tutela della proprietà intellettuale, know-how e segreti aziendali per i clienti di TF Group Srl e dal 2018 è Amministratore Unico di LT42, legal tech company multidisciplinare italiana specializzata in prodotti tecnologici e servizi con un focus sul settore della compliance aziendale.

Questo articolo potrebbe far riferimento a prodotti, programmi o servizi che potrebbero non essere disponibili nel tuo paese o potrebbero essere soggetti a restrizioni nel rispetto delle disposizioni legislative vigenti. Ti suggeriamo di contattare direttamente il provider per richiedere maggiori informazioni sulla disponibilità del prodotto e sulla sua compliance con le leggi locali.