LE AUDIZIONI DEL GARANTE PRIVACY E DEL MINISTRO PER L'INNOVAZIONE TECNLOGICA E LA DIGITALIZZAZIONE DINNANZI ALLA COMMISSIONE TRASPORTI

n data 8 aprile 2020, la Commissione Trasporti della Camera dei Deputati ha svolto audizioni sull’uso delle nuove tecnologie e della rete, per contrastare l’emergenza epidemiologica da COVID-19. Tra i soggetti intervenuti, sono stati ascoltati anche Antonello Soro, Presidente dell’Autorità Garante per la protezione dei dati personali (i.e. il Garante) e Paola Pisano, Ministro per l’innovazione tecnologica e la digitalizzazione.  Le testimonianze rese confermano l’impostazione adottata anche dalla Commissione Europea con la Raccomandazione “on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data”, rilasciata il medesimo giorno (disponibile qui).

Quali chiarimenti dal Garante

Tra le tematiche affrontate, risultano di particolare rilevanza, le indicazioni fornite dal Garante in relazione all’utilizzo di strumenti che possano comportare la compressione del diritto alla protezione dei dati personali, nell’intento di contrastare l’emergenza in corso (come nel caso della raccolta di dati di localizzazione e/o interazione tra dispositivi). Il Garante, infatti, ha fornito la propria interpretazione su numerosi aspetti critici che accompagnano l’uso di tali strumenti.

Anzitutto, il Garante ha ricordato l’importanza di privilegiare misure meno invasive nonché l’utilizzo di dati anonimi, caldeggiando – nel caso di utilizzo di dati personali – la previa disposizione di una norma di rango primario e la necessità di assicurare il controllo delle attività in capo a una autorità pubblica.  Peraltro, nel caso in cui si rendesse necessario il coinvolgimento di soggetti privati, il Garante ricorda l’importanza che tali soggetti rispondano ai requisiti di trasparenza, controllabilità e affidabilità. Il trattamento dei dati, inoltre, dovrebbe essere il risultato di una adesione volontaria dei cittadini all’utilizzo della tecnologia loro proposta: ricorda il Garante che il consenso è valido se liberamente prestato (e, ne consegue, non potrà dirsi tale qualora l’uso di una applicazione comporti l’accesso o meno a determinati beni / servizi).

Non di minore importanza, è poi la necessità di un intervento unito, onde evitare che strategie locali possano arrecare danno all’efficacia della strategia adottata.

Il Garante si è poi soffermato sulle misure e le precauzioni che possono garantire un trattamento a norma, tra cui:

• tecnologie che permettano l’individuazione dei soli contatti significativi dell’utente risultato positivo;
• utilizzo di dati pseudonimizzati che permettano la identificazione dell’utente solo in caso risulti positivo;
• conservazione in locale dei dati, così da evitare la creazione di banche dati;
• coinvolgimento del fattore umano onde evitare elaborazioni distorte o inesatte;
• cancellazione dei dati al termine della emergenza.

Il ruolo del Garante, come ricordato dal Presidente stesso, è quello di garantire che misure opportune di privacy by design siano osservate e, ex post, di verifica in caso di trattamenti non conformi al quadro normativo.  L’intento del Garante è comunque quello di collaborare con le altre Autorità europee per sviluppare una soluzione condivisa.

Quale lo stato delle attività della task force

Il Ministro Pisano ha aggiornato la Commissione sullo stato di avanzamento delle attività della task force di esperti chiamati a selezionare i progetti più adeguati per contrastare l’emergenza epidemiologica. In base a quanto dichiarato, sembra che siano state predisposte due relazioni tecniche (una con focus privacy e una con focus tecnologico): la relazione finale verrà poi presentata all’attenzione del Presidente Conte e del resto del Governo.

La soluzione tecnologica che verrà individuata dovrebbe comportare la sola memorizzazione temporanea degli identificativi anonimi dei cellulari con cui il device dell’utente entri in contatto, potendo operare solo a condizione che sia stato effettuato il download della app. La soluzione adottata dovrebbe infatti consentire la creazione di un registro dei contatti, contenente tre tipologie informazioni:

• identificativo del device con cui il cellulare dell’utente dell’app è entrato in contatto;
• distanza tra i device entrati in contatto;
• durata del contatto tra i device.

Qualsivoglia soluzione tecnologica venga preferita, il Ministro Pisano ha evidenziato la necessità che vengano osservate alcune misure a garanzia dei cittadini, in particolare:

1. la partecipazione dovrebbe essere volontaria;
2. dovrebbe essere assicurata la correttezza delle caratteristiche del servizio e l’assenza di scopi incompatibili con la finalità di prevenzione sanitaria;
3. l’intero sistema di contact tracing dovrebbe essere gestito da soggetti pubblici e in modalità open source;
4. i dati trattati dovrebbero essere resi sufficientemente anonimi, in modo tale da impedire l’identificazione dell’interessato;
5. dovrebbero essere adottate misure tecniche e organizzative che minimizzino la reidentificazione degli interessati;
6. tutti i dati dovrebbero essere cancellati una volta raggiunta la finalità perseguita, ad eccezione di quelli aggregati utilizzati per fini statistici;
7. la soluzione dovrebbe essere comunque efficace sul piano epidemiologico.

Co-authored: Ilaria Boschi.