Introduzione
L’Italia regolamenta il ”Sistema di allerta Covid-19”, piattaforma per una ”contact tracing app”, con l’art. 6 del DECRETO-LEGGE 30 aprile 2020, n. 28, recante ”Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19, pubblicato nella Gazzetta Ufficiale n. 111 del 30/04/2020 e in vigore dall’1/05/2020.
Si tratta di un’ulteriore tessera aggiunta al variopinto mosaico delle ”contact tracing app” che merita alcune considerazioni, anche in ragione del vasto dibattito registrato nelle ultime settimane.
- Lo scenario internazionale
In data 11 marzo 2020 l’Organizzazione Mondiale della Sanità (OMS) ha dichiarato che COVID-19 è una pandemia (”We have therefore made the assessment that COVID-19 can be characterized as a pandemic”). Purtroppo, nel prendere atto, abbiamo dovuto iniziare a convivere con questa nuova e triste realtà e con le relative conseguenze di questa, tra le quali anche quelle relative alla protezione dei dati personali.
Dal 16 marzo, infatti, alcuni soggetti istituzionali hanno iniziato a prendere posizione, pub- blicando dichiarazioni e documenti (una sintesi aggiornata è disponibile in questo contributo). Il ”contact tracing” e in particolare la realizzazione di una ”contact tracing app” sono stati, in tempo d pandemia e comunque sino ad oggi, i temi che hanno suscitato maggiore attenzione, determinando il proliferare delle più disparate opinioni e, sul piano istituzionale, i
seguenti interventi: - la Commissione Europea ha approvato la ”RACCOMANDAZIONE (UE) 2020/518 DELLA COMMISSIONE dell’8 aprile 2020 relativa a un pacchetto di strumenti comuni dell’Unione per l’uso della tecnologia e dei dati al fine di contrastare la crisi Covid- 19 e uscirne, in particolare per quanto riguarda le applicazioni mobili e l’uso di dati anonimizzati sulla mobilità”.
- il Comitato dei Ministri del Consiglio d’Europa ha adottato la ”Recommendation CM/Rec(2020)1 of the Committee of Ministers to member States on the human rights impacts of algorithmic systems”.
È fondamentale comprendere la natura giuridica e gli effetti delle raccomandazioni della Commissione europea.
Ai sensi dell’art. 288 del TFUE, ”Per esercitare le competenze dell’Unione, le istituzioni adottano regolamenti, direttive, decisioni, raccomandazioni e pareri. […] Le raccomandazioni e i pareri non sono vincolanti”.
La raccomandazione, pertanto, non è vincolante per lo Stato membro: essa consente alle istituzioni europee di rendere note le loro posizioni e di suggerire linee di azione senza imporre obblighi giuridici a carico dei destinatari.
Per gli atti vincolanti, invece, ai sensi dell’art. 291, paragrafo 1, del TFUE, ”Gli Stati membri adottano tutte le misure di diritto interno necessarie per l’attuazione degli atti giuridicamente vincolanti dell’Unione”.
Cosa prevede la raccomandazione della Commissione e quali obblighi per gli Stati Membri?
La raccomandazione della Commissione su citata prevede l’istituzione di un processo per lo sviluppo di un approccio comune, denominato «pacchetto di strumenti» (Toolbox), volto all’uso dei mezzi digitali per affrontare la crisi. Il pacchetto di strumenti si comporrà di misure pratiche finalizzate all’uso efficace delle tecnologie e dei dati, con particolare attenzione su due aspetti:
1) un approccio paneuropeo per l’uso delle applicazioni mobili, coordinato a li- vello dell’Unione, per consentire ai cittadini di adottare misure di distanziamento sociale efficaci e più mirate e per scopi di allerta, prevenzione e tracciamento dei contatti al fine di contribuire a limitare la propagazione della malattia Covid-19. Questo approccio comporterà il monitoraggio della metodologia e la condivisione delle valutazioni dell’efficacia di tali applicazioni, della loro interoperabilità e del- le loro implicazioni transfrontaliere, nonché del rispetto della sicurezza, della vita privata e della protezione dei dati legato al loro utilizzo; e
2) un piano comune per l’utilizzo di dati anonimizzati e aggregati sulla mobilità delle popolazioni al fine di: i) modellizzare e prevedere l’evoluzione della malattia;
ii) monitorare l’efficacia del processo decisionale delle autorità degli Stati membri riguardo a misure quali il distanziamento sociale e il confinamento, e iii) improntare una strategia coordinata per uscire dalla crisi Covid-19.
La raccomandazione prescrive che gli Stati membri dovrebbero adottare queste azioni con urgenza e in stretto coordinamento con gli altri Stati membri, la Commissione e le altre parti interessate, fatte salve le competenze degli Stati membri nel settore della sanità pubblica. Pertanto, in base al diritto dell’Unione la raccomandazione non è vincolante ma fornisce delle indicazioni e, peraltro, vengono fatte salve le competenze degli Stati membri in materia di sanità pubblica.
- Perché una legge ad hoc?
Il Consiglio dei Ministri ha approvato il Decreto-Legge 28/2020 con una norma ad hoc (art. 6) sui sistemi di allerta COVID-19.
Alla luce di quanto sin qui esposto, se la raccomandazione non è vincolante e, pertanto, non obbliga lo Stato membro alla adozione di misure specifiche, ci si domanda quale sia il motivo per introdurre nel nostro ordinamento giuridico la disciplina sulle contact tracing app. Al di là di profili politici che esulano da questo contributo, la risposta potrebbe rinvenirsi nell’impatto che sistemi automatizzati (e quindi non manuali) di tracciamento dei contatti (contact tracing) o di allerta COVID-19 come menzionati nella norma in questione, possano avere sui diritti fondamentali e, in particolare, anche su quelli relativi alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Come già affermato in un nostro precedente contributo pubblicato il 19 marzo 2020, per adottare delle limitazioni – sia ai sensi della Direttiva 2002/58/CE (art. 15), sia in base al GDPR (art. 23) – è necessaria una esplicita previsione normativa, una legge ad hoc. - Qual è la soluzione normativa approvata?
Il Governo ha fatto una scelta, indicando – sebbene non dettagliatamente – quale sarà il progetto del “Toolbox” e descrivendone alcuni punti.
In questa sede non si intende approfondire gli aspetti tecnici del sistema, ma – secondo i criteri indicati dalla Commissione europea – dovrà essere garantita la interoperabilità, proprio per la natura paneuropea del progetto, così come emerge dal documento ”Mobile applications to support contact tracing in the EU’s fight against COVID-19 – Common EU Toolbox for Member States”.
4.1 il sistema di allerta
Anzitutto va precisato che la rubrica dell’art. 6 del D.L. 28/2020 è dedicata al ”Sistema di allerta Covid-19” e non vi viene fatta alcuna menzione al ”contact tracing”.
Secondo l’OMS il ”contact tracing” è un processo di monitoraggio che si articola in 3 fasi distinte: - identificazione del contatto dichiarato positivo (in questo caso al COVID-19);
- elenco dei contatti entrati in contatto con la persona dichiarata positiva;
- prosecuzione del monitoring sui contatti che sono entrati in contatto con la persona dichiarata positiva.
Il contact tracing presuppone, pertanto, l’individuazione della o delle persona che sono entrate in contatto con il soggetto dichiarato positivo.
La rubrica e la prima parte del comma 1 del citato articolo 6 indicano la finalità ”di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19”. Si tratta, pertanto, di un sistema di allerta che non consente (non dovrebbe consentire) l’individuazione della o delle persone ”entrate in contatto stretto con soggetti risultati positivi”.
4.2 la piattaforma
Il comma 1 del citato art. 6 prevede l’istituzione di ”una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile”.
Dalla formulazione della norma sembrerebbe che con l’espressione ”piattaforma unica na- zionale” si sia scelto un sistema centralizzato invece di una soluzione decentralizzata. Potrebbe essere unicamente una scelta terminologica per fare riferimento all’accentramento del tratta- mento dei dati in capo al Ministero della salute, mentre tecnicamente verrà utilizzato un sistema decentralizzato (sono note le differenze tra sistemi PEPP-PT e DP-3T). Tuttavia, non è questa la sede per approfondire gli aspetti tecnici, ma la norma stabilisce (comma 2, lett. c) che ”il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi”; non sono forniti specifici dettagli tecnici su quale sistema di prossimità sarà utilizzato se non precisando (correttamente) che è esclusa la geolocalizzazione (certamente poiché non restituisce indicazioni precise sulla posizione).
Peraltro, la norma precisa che si tratta di ”un’apposita applicazione sui dispositivi di telefonia mobile”, con la conseguenza che non sarà fruibile su un tablet che non abbia anche un’utenza di telefonia mobile. Pertanto, un soggetto che non possiede uno smartphone ma unicamente un tablet senza utenza mobile non potrà fruire dell’app.
4.3 finalità del trattamento
Le finalità del trattamento, ai sensi dell’art. 6, comma 2, lett. a), saranno indicate nelle informazioni da fornire agli utilizzatori dell’app, prima della attivazione dell’applicazione.
Tuttavia, il comma 1 dell’articolo in esame, esordisce: ”Al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza COVID-19”.
Allo stesso comma 1 si legge: ”Il Ministero della salute […] per gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l’adozione di correlate misure di sanità pubblica e di cura”.
Le finalità, quindi, sembrano essere più di una e ciò è del tutto comprensibile, posto che l’app è parte di un intero sistema con processi complessi con altrettanti trattamenti e finalità.
Tuttavia, il comma 3 recita: ”I dati raccolti attraverso l’applicazione di cui al comma 1 non possono essere trattati per finalità diverse da quella di cui al medesimo comma 1 […]”.
Pertanto, la precisazione della esistenza di una sola finalità è espressamente voluta.
In realtà, sembrava che tale precisazione fosse necessaria unicamente in un’ottica di tra- sparenza e per indicare genericamente il perimetro dell’intero progetto dell’app.
Al successivo comma 2, lett. c), si legge ”il trattamento effettuato per allertare i contatti”, mentre il comma 3 recita ”I dati raccolti attraverso l’applicazione di cui al comma 1 non possono essere trattati per finalità diverse da quella di cui al medesimo comma 1”.
A questo punto il giurista attento resta disorientato perché non gli sfugge che quanto indicato al comma 1 non può certamente costituire l’unica finalità di un solo trattamento per un progetto così ampio e complesso.
Tuttavia, è onere del titolare del trattamento effettuare il censimento dei trattamenti e delle relative finalità per predisporre le informazioni da fornire agli interessati (che non sembrano essere solo gli utilizzatori dell’app).
4.4 titolare e responsabili del trattamento
Il comma 1 dell’art. 6 esplicitamente indica e qualifica il Ministero della salute come titolare del trattamento (“Il Ministero della salute, in qualità di titolare del trattamento”).
Tuttavia, nel medesimo comma 1 si legge il riferimento all’art. 28 del GDPR (rubricato ”Responsabile del trattamento”), indicando così il coinvolgimento di altri soggetti nel ruolo di responsabile del trattamento. La norma in esame, in effetti, individua soggetti precisi, anche coinvolti ”per gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l’adozione di correlate misure di sanità pubblica e di cura”.
Anche in questo caso, il titolare del trattamento dovrà nominare responsabili del tratta- mento tutti i soggetti coinvolti nel o nei trattamenti afferenti l’intero progetto dell’app.
4.5 valutazione di impatto e misure organizzative
La formulazione del comma 2, a nostro sommesso avviso, potrebbe lasciare spazio a dubbi interpretativi, poiché subito si precisa la necessità di una valutazione di impatto anche con onere del prior checking (consultazione preventiva) ex art. 36, par. 5, del GDPR. Il riferimen- to puntuale al paragrafo 5 dell’art. 36 del GDPR è certamente apprezzabile. Tuttavia, l’onere della consultazione preventiva è soltanto conseguente al risultato della DPIA; il risultato stesso,quindi, non è predeterminato ma scaturisce da una analisi approfondita dei trattamenti. Pro- babilmente però, per un progetto così complesso (ma questa è una nostra illazione), sarebbero comunque scaturiti valori per i quali fare ricorso al prior checking.
Successivamente alla DPIA, secondo il comma 2, il Ministero della salute (titolare del trattamento) si fa carico di adottare ”misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati”, quindi sente il Garante e all’esito assicura quanto indicato nei punti dalla a) (informativa) alla f). Va evidenziato, però, che nel GDPR si rinviene sempre l’espressione “misure tecniche e orga- nizzative adeguate” e mai le stesse vengono qualificate “idonee”. Questo importante aspetto terminologico, nel complesso della norma in esame, risulta comunque irrilevante perché si do- vrà applicare sempre quanto previsto dal GDPR anche per evitare un conflitto di norme nel quale, secondo il principio di gerarchia delle fonti, prevale sempre quella di rango primario (in questo caso il Regolamento 2016/679).
A ciò si aggiunga che la norma in esame cita espressamente l’art. 2-quinquiesdecies del codice privacy, rubricato “Trattamento che presenta rischi elevati per l’esecuzione di un com- pito di interesse pubblico”, ai sensi del quale – nella medesima fattispecie – il Garante può prescrivere, con provvedimenti di carattere generale adottati d’ufficio, misure e accorgimenti a garanzia dell’interessato. Pertanto, sul punto potrebbe, non essendo un obbligo, intervenire il Garante.
Peraltro, il titolare del trattamento, ai sensi dell’art. 25, par. 1, del GDPR “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trat- tamento mette in atto misure tecniche e organizzative adeguate”. Quindi le misure dovranno esistere già prima della DPIA.
Ciò evidentemente va letto e interpretato con una logica programmatica e di impegno al rispetto delle norme vigenti, ma non certamente come mera elencazione degli adempimenti cui è tenuto il titolare del trattamento.
- Aspetti da assicurare ai sensi dell’art. 6, comma 2, lett. dalla
a) alla f):
Il comma 2 descrive sei punti ritenuti cruciali nell’ambito del progetto e, quindi, imprescin- dibili. In realtà, bisogna sempre fare riferimento alle norme vigenti e, pertanto, al GDPR e al codice privacy.
5.1 informativa
Nella lettera a) del comma 2 si legge ”gli utenti ricevano, prima dell’attivazione dell’ap- plicazione, ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679, informazioni chiare e trasparenti al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate e sui tempi di conservazione dei dati”.
La prima domanda riguarda il richiamo all’art. 14 del GDPR: posto che se l’applicazione è su base volontaria e su criteri di totale anonimizzazione degli utilizzatori ci si domanda come potranno essere informati soggetti dei quali i dati non sono stati ottenuti dagli stessi.
Inoltre, non sembra che le informazioni fornite possano avere o la finalità ”di raggiungere una piena consapevolezza”.
In effetti, in un nostro precedente contributo si precisava che ”la consapevolezza è quindi frutto di un percorso di formazione della coscienza il cui punto di arrivo culmina con l’assimilazione dei valori primari appartenenti alla persona e, al contempo, diviene punto di partenza per una equilibrata e profonda conoscenza dei temi in materia di protezione dei dati personali”. Probabilmente si voleva intendere consapevolezza quale sinonimo di ”rendere edotto” l’inte- ressato in considerazione del focus che viene ristretto a ”finalità”, ”operazioni di trattamento”, ”tecniche di pseudonimizzazione” e ”tempi di conservazione dei dati”. La ratio probabilmente era di porre in evidenza questi aspetti all’interessato rispetto, tuttavia, alle altre informazioni
che vanno comunque fornite.
5.2 protezione dei dati per impostazione predefinita
La lettera b) fa riferimento al comma 2 dell’art. 25 del GDP che è rubricato ”Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”, ove nel paragrafo 1 si disciplina il principio della protezione dei dati fin dalla progettazione (Data protection by design o Privacy by design), mentre nel paragrafo 2 quello della protezione dei dati per impostazione predefinita (Data protection by default o Privacy by default).
Dal tenore letterale della lettera b) in esame sembrerebbe che l’unico principio da rispettare sarebbe quello individuato al paragrafo 2 dell’art. 25 del GDPR e non anche quello della protezione dei dati fin dalla progettazione. Una simile interpretazione esporrebbe il titolare del trattamento alla sanzione per la la violazione di tale principio ai sensi dell’art. 83 del GDPR.
È indubbio che l’app e l’intero progetto debbano rispettare tutti i principi indicati nel GDPR e quindi anche quello della protezione dei dati fin dalla progettazione.
Ci si domanda, quindi, quale sia il senso di una simile precisazione.
5.3 prossimità dei dispositivi
La precisazione contenuta nella lettera c) è aderente a quanto indicato nei documenti degli Organi europei.
5.4 riservatezza, integrità, disponibilità e resilienza
Con la lettera d) si precisa che devono essere adottate dal titolare del trattamento le misure di sicurezza anche in una prospettiva vicina alle norme tecniche contenute nella famiglia 27000 e comunque nel rispetto dell’art. 32(1)(b) GDPR.
5.5 conservazione dei dati
La lettera e) indica la limitazione temporale per la conservazione dei dati anche sui di- spositivi degli interessati. La durata del trattamento viene determinata dal Ministero della salute.
5.6 esercizio dei diritti
La lettera f) precisa non solo che l’esercizio dei diritti da parte degli interessati resta impregiudicato, ma aggiunge che può avvenire con modalità semplificate.
5.7 conseguenze per il mancato utilizzo dell’app
Il comma 4 espressamente dichiara l’assenza di conseguenze pregiudizievoli per coloro i quali non utilizzassero l’app.
5.8 termine dell’utilizzo
Il comma 6 precisa che sia l’utilizzo dell’app e della piattaforma, sia ”ogni trattamento di dati personali” saranno interrotti con la cessazione dello stato di emergenza e comunque al più tardi al 31/12/2020.
- E l’etica?
Il tema dell’etica è stato del tutto ignorato.
Si ritiene, invece, che sia estremamente importante adottare un approccio etico anche in questo contesto.
Si è già detto in altri contributi che il GDPR va letto anche con un approccio eticamente orientato soprattutto nella parte relativa ai considerando e ai principi.
Il Prof. Luciano Floridi con il contributo “Soft ethics, the governance of the digital and the General Data Protection Regulation“ ha descritto un framework nel quale agiscono soft ethics e hard ethics. La soft ethics ha un ruolo di rilievo nella parte interpretativa e applicativa del GDPR.
Tuttavia, in altri nostri contributi, si è descritto un approccio etico che tenga conto dei principi espressi (es. trasparenza, Protezione dei dati fin dalla progettazione e per impostazione predefinita, ecc.) ai quali attribuire anche un valore ermeneutico eticamente orientato ma al contempo non dissociato da quello giuridico. Questa chiave interpretativa potrà costituire il valore aggiunto rispetto ad una mera e miope lettura delle norme giuridiche. - Servirà l’app a debellare COVID-19?
L’app non è uno strumento per debellare COVID-19, ma un supporto automatizzato alle attività di contact tracing che normalmente si fanno manualmente in situazioni analoghe.
In effetti, l’art. 6 del D.L. 28/2020 istituisce il Sistema di allerta Covid-19 e non una soluzione anti-COVID-19.