Cosa è successo fino ad oggi. Eventi e dei documenti
Nel corso dell’ultimo mese, e cioè da quando è aumentato il focus sull’incidenza della pandemia di COVID-19 rispetto alla protezione dei dati personali, abbiamo assistito alla pubblicazione dei seguenti principaliprovvedimenti emessi da alcuni Organi istituzionali:
- In data 16/03/2020 veniva pubblicato il documento dal titolo “Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak” con il quale il Chair dell’European Data Protection Board (EDPB), Andrea Jelinek, dichiarava “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.“
- In data 19/03/2020 veniva pubblicato il documento dell’EDPB dal titolo “Statement on the processing of personal data in the context of the COVID-19 outbreak. Adopted on 19 March 2020“. In documento l’EDPB assume una posizione formale sulla questione che sembra comunque essere un chiarimento ampliato e del tutto in linea con quanto già espresso dal proprio Chair, Andrea Jelinek, con lo statement precedente.
Lo statement si articola sui seguenti quattro punti: 1. Lawfulness of processing; 2. Core principles relating to the processing of personal data; 3. Use of mobile location data; 4. Employment.
In sintesi, con i precedenti contributi si evidenzia come sia alla luce del GDPR (Regolamento (UE)2016/679) sia in forza delle norme della Direttiva 2002/58/EC (meglio nota come “Direttiva e-Privacy” – Attualmente in discussione la “Proposta di regolamento del Parlamento europeo e del Consiglio relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche)”, COM/2017/010 final – 2017/03 (COD), disponibile qui: https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=CELEX%3A52017PC0010) non si possa prescindere dalle norme in materia di protezione dei dati personali ed eventuali interventi restrittivi in conseguenza della pandemia debbano essere adottati con leggi ad hoc.
- In data 30/03/2020 il Consiglio d’Europa (CoE) pubblica il documento dal titolo “Joint Statement on the right to data protection in the context of the COVID-19 pandemic by Alessandra Pierucci, Chair of the Committee of Convention 108 and Jean-Philippe Walter, Data Protection Commissioner of the Council of Europe“. Il punto centrale di questo statement è il seguente: “According to Convention 108+ (see Article 11) exceptions shall be “provided for by law, respect the essence of the fundamental rights and freedoms and constitutes a necessary and proportionate measure in a democratic society””.
In sostanza, facendo riferimento fondamentalmente alla Convention 108+, si insiste sulla necessità di interventi legislativi per eventuali restrizioni in tempo di pandemia. Inoltre, il documento in questione evidenzia 5 punti e precisamente: 1. Processing of health-related data; 2. Large-scale data processing; 3. Data processing by employers; 4. Mobile, computer data; 5. Data processing in educational systems.
- In data 6/04/2020 viene pubblicato l’intervento (in video e in testo) di Wojciech Wiewiórowski, Garante europeo della protezione dei dati, sul tema “EU Digital Solidarity: a call for a pan-European approach against the pandemic” con il quale, tra l’altro, si afferma: “Therefore, we are going to work with the European Commission to make sure that any measures taken at European or national level are:
- Temporary – they are not here to stay after the crisis.
- Their purposes are limited – we know what we are doing.
- Access to the data is limited – we know who is doing what.
- We know what we will do both with results of our operations and with raw data used in the process – we know the way back to normality.“
Inoltre, si legge “Given these divergences, the European Data Protection Supervisor calls for a pan-European model “COVID-19 mobile application”, coordinated at EU level. Ideally, coordination with the World Health Organisation should also take place, to ensure data protection by design globally from the start.”
Com’è evidente, l’attenzione si sposta sulla necessità di un approccio paneuropeo.
Si suggeriscono, quindi, misure nazionali che siano temporanee, con finalità e accesso ai dati limitati, consapevolezza su cosa si farà sia con i risultati delle nostre operazioni che con i dati grezzi. Si suggerisce, infine, una call per una app paneuropea.
- In data 7/04/2020 l’EDPB conferiva mandato al sottogruppo di esperti di tecnologia con il document “Request for mandate regarding geolocation and other tracing tools in the context of the COVID-19 outbreak – Technology ESG”.
- In data 7/04/2020 la Segretaria generale del Consiglio d’Europa, Marija Pejčinović Burić, ha pubblicato un documento dal titolo “Respecting democracy, rule of law and human rights in the framework of the COVID-19 sanitary crisis – A toolkit for member states” destinato ai governi di tutta Europa sul rispetto dei diritti umani, della democrazia e dello Stato di diritto durante la crisi del COVID-19.
- In data 8/04/2020 la Commissione europea pubblica la “COMMISSION RECOMMENDATION of 8.4.2020 on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data“.
Le finalità della raccomandazione sono dichiarate nei termini seguenti:
“This recommendation sets up a process for developing a common approach, referred to as a Toolbox, to use digital means to address the crisis. The Toolbox will consist of practical measures for making effective use of technologies and data, with a focus on two areas in particular:
(1) A pan-European approach for the use of mobile applications, coordinated at Union level, for empowering citizens to take effective and more targeted social distancing measures, and for warning, preventing and contact tracing to help limit the propagation of the COVID-19 disease. This will involve a methodology monitoring and sharing assessments of effectiveness of these applications, their interoperability and cross-border implications, and their respect for security, privacy and data protection; and
(2) A common scheme for using anonymized and aggregated data on mobility of populations in order (i) to model and predict the evolution of the disease, (ii) to monitor the effectiveness of decision-making by Member States’ authorities on measures such as social distancing and confinement, and (iii) to inform a coordinated strategy for exiting from the COVID-19 crisis.”
In sostanza, non solo viene recepito il suggerimento dell’EPDS che evidenziava la necessità di un approccio paneuropeo ma si aderisce anche allo sviluppo di uno schema comune per l’utilizzo di dati anonimi e aggregati sulla mobilità delle popolazioni.
- In data 8/04/2020 il Comitato dei Ministri del Consiglio d’Europa ha pubblicato la “Recommendation CM/Rec(2020)1 of the Committee of Ministers to member States on the human rights impacts of algorithmic systems (Adopted by the Committee of Ministers on 8 April 2020 at the 1373rd meeting of the Ministers’ Deputies)“.
Questa raccomandazione, breve ma con un allegato (Linee guida) molto esteso, ovviamente evidenzia gli aspetti connessi ai diritti umani.
- In data 14/04/2020 l’EDPB ha pubblicato il testo della lettera indirizzata a Olivier Micol, Head of Unit European Commission DG for Justice and Consumers, Unit C.3 – Data protection con la quale fondamentalmente si condivide l’approccio paneuropeo e coordinato. I punti si possono sintetizzare come segue (traduzione a cura del Garante privacy): a) la Commissione chiede all’EDPB il parere sul progetto di Linee-guida in materia di app a supporto della lotta contro la pandemia dovuta al COVID-19; b) Il Comitato accoglie con favore l’iniziativa della Commissione mirante a definire un approccio coordinato a livello europeo; c) il Comitato ritiene che vada nella giusta direzione l’indicazione fornita nelle linee-guida quanto alla necessità fondamentale di consultare le autorità di protezione; d) necessario il rispetto dei criteri di responsabilizzazione, documentando attraverso una valutazione di impatto sulla protezione dei dati tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default; inoltre, il codice sorgente dovrebbe essere reso pubblico così da permettere la più ampia valutazione possibile da parte della comunità scientifica; e) (a oggi) il Comitato può prendere in esame soltanto l’obiettivo generale che si intende perseguire con le app in questione, al fine di verificarne la conformità con i principi di protezione dati, nonché i meccanismi previsti per l’esercizio dei diritti e delle libertà da parte degli interessati; f) Il Comitato accoglie con grande favore la proposta della Commissione di prevedere l’adozione di tali app su base volontaria, attraverso una scelta compiuta dai singoli nel segno di una responsabilità collettiva; g) Il Comitato osserva come la volontarietà dell’utilizzo dell’app per il tracciamento dei contatti non significhi che il trattamento di dati personali da parte di soggetti pubblici debba fondarsi necessariamente sul consenso. Qualora un servizio sia fornito da un soggetto pubblico che operi sulla base di un mandato conferito dalla legge e conformemente ai requisiti fissati in tale legge, il fondamento giuridico più idoneo per il trattamento dei dati risulta essere la necessità del trattamento stesso per l’adempimento di un compito nell’interesse pubblico; h) Il Comitato concorda pienamente con la raccomandazione di evitare l’utilizzo del sistema di emergenza qui descritto una volta cessato lo stato di crisi, e in via generale di cancellare o anonimizzare i dati raccolti.
- In data 15/04/2020 la Commissione europea annuncia e pubblica la roadmap comune (con il Consiglio europeo) europea sul coronavirus. Questo documento, fra le misure di accompagnamento, indica al punto 2 “Create a framework for contact tracing and warning with the use of mobile apps, which respects data privacy” precisando – fra l’altro – che “The use of such mobile applications should be voluntary for individuals, based on users’ consent and fully respecting European privacy and personal data protection rules”.
- In data 16/04/2020 la Commissione europea annuncia e pubblica il documento “EU toolbox for the use of mobile applications for contact tracing and warning”. In tale documento, relativamente alla privacy, si legge: “The common approach aims to exploit the latest privacy-enhancing technological solutions that enable at-risk individuals to be contacted and, if necessarily, to be tested as quickly as possible, regardless of where she is and the app she is using. It explains the essential requirements for national apps, namely that they be:
- voluntary;
- approved by the national health authority;
- privacy-preserving – personal data is securely encrypted; and
- dismantled as soon as no longer needed.
The added value of these apps is that they can record contacts that a person may not notice or remember”.
- Contact tracing tra consapevolezza e sovranità digitale inconsapevole
Il lungo e articolato elenco di documenti istituzionali denota fondamentalmente una graduale crescente acquisizione di consapevolezza da parte di tutti gli Organi istituzionali sul tema del contact tracing e dell’impatto sulle norme in materia di protezione dei dati personali. Sembra si sia giunti alla consapevolezza di un concreto impatto delle soluzioni contact tracing sui dati personali e sulla privacy degli individui, nonché alla esistenza dei relativi rischi.
Sul tema è dominante la posizione della Commissione europea, probabilmente rafforzata anche dal coinvolgimento attivo del Consiglio europeo, che interviene con la joint roadmap. Altrettanto importante è il ruolo da un lato dell’EDPS e dall’altro dell’EDPB specificamente in materia di protezione dei dati personali.
È chiaro che sussiste una preoccupazione in ordine alla protezione dei dati personali e che gli Organi istituzionali non possono prescindere dal rispetto del GDPR, della Convenzione 108+, della Carta dei diritti fondamentali dell’Unione europea, dei trattati e del c.d. soft law. Il Comitato europeo per la protezione dei dati personali (EDPB) e le autorità nazionali di protezione dei dati – supervisory authorities – svolgono un ruolo decisivo di collaborazione agli Organi istituzionali nel fornire adeguato supporto in questa materia.
Il tema del contact tracing e delle app da sviluppare per il contenimento della pandemia da COVID19 specificamente riguardo all’impatto sui dati personali degli individui è estremamente delicato e qui non si intende proporre soluzioni tecniche o commentare quelle note.
Tuttavia, se da un lato, e precisamente da quanto emerge dai numerosi documenti pubblicati, è chiara la consapevolezza dell’impatto che il tema del contact tracing può avere riguardo alla privacy e alla protezione dei dati personali, sembra altrettanto palese il tentativo – probabilmente inconsapevole – di orientarsi verso una sovranità digitale europea o quanto meno un indirizzo in tal senso. Infatti, la joint roadmap della Commissione europea, le posizioni del Consiglio d’Europa in ordine all’impatto sui diritti umani, i documenti dell’EDPS e dell’EDPB su privacy e protezione dei dati personali, sono tutti a favore di una soluzione paneuropea per la quale sono state fornite indicazioni specifiche per l’adozione di possibili soluzioni.
Tuttavia, se l’Europa (consapevolmente o non) si è orientata verso una sovranità digitale, l’impatto del contact tracing su privacy e protezione dei dati personali dovrebbe far riflettere sulla incidenza della scelta di una specifica tecnologia.
Non va trascurato che il riferimento principale restano sempre e comunque le norme vigenti sia in ambito europeo (il GDPR e le altre menzionate) sia nazionale, ove esistenti (per l’Italia il D.Lgs. 196/2003, così come modificato dal D.Lgs. 101/2018).
Ciò posto, all’interprete attento non sfugge che nel GDPR è utilizzata l’espressione “misure tecniche e organizzative“, mai specificando però quale soluzione tecnica o tecnologia possa o debba essere adottata.Del resto, il legislatore europeo non avrebbe potuto indicare la o le soluzioni tecnologiche ma unicamente le finalità per la protezione dei dati personali.
Pertanto, è evidente che in questo specifico contesto la tecnologia sia neutra rispetto alle norme in materia di protezione dei dati personali: vale a dire che si potrà adottare qualsiasi soluzione che comporti il pieno rispettodei principi e delle norme giuridiche vigenti.
Il criterio delle misure tecniche e organizzative, richiesto dal GDPR, si può esplicare in soluzioni differenti a seconda del principio che si intende applicare, tanto che detto criterio potrebbe esplicarsi in soluzioni diverse, ma sempre finalizzate al raggiungimento del medesimo proposito, ad esempio nell’ipotesi dell’art. 25 (protezione dei dati fin dalla progettazione e protezione per impostazione predefinita) oppure in quello dell’art. 32 (sicurezza del trattamento).
L’utente-interessato è sempre al centro e va comunque protetto, mentre la componente tecnica deve garantire la protezione dei dati personali.
Contact tracing e etica
Il tema del contact tracing e delle relative app in relazione all’impatto sulla privacy e sulla protezione dei dati personali comporta anche risvolti etici.
Il tema dell’etica offre l’occasione per menzionare il recente contributo del prof. Luciano Floridi dal titolo “Mind the app – considerations on the ethical risks of COVID-19 apps” il quale conclude esprimendo una certa preoccupazione per quelli che potrebbero essere gli effetti della scelta e progettazione di una contact tracing app; si legge nel suo contributo “An app will not save us. And the wrong app will be worse than useless, as it will cause ethical problems and potentially exacerbate health-related risks, e.g. by generating a false sense of security, or deepening the digital divide. A good app must be part of a wider strategy, and it needs to be designed to support a fair future. If this is not possible, better do something else, avoid its positive, negative and opportunity costs, and not play the political game of merely signalling that something (indeed anything) has been tried”.
Sulla privacy il prof. Luciano Floridi afferma “For once, the difficult problem is not privacy. Of course, it is trivially true that there are and there might always be privacy issues. The point is that, in this case, they can be made much less pressing than other issues. However, once (or if you prefer, even if) privacy is taken care of, other difficulties appear to remain intractable”.
Nel condividere l’idea di centralità e imprescindibilità dell’etica, purtroppo del tutto ignorata dagli Organi istituzionali nei documenti su menzionati, non è possibile considerarla comunque quale elemento esterno in una prospettiva orientata ai temi privacy e protezione dei dati personali. La protezione dei dati personali non può prescindere dall’etica e da un approccio etico procedendo proprio dalla applicazione delle norme giuridiche. Il GDPR va applicato (e quindi rispettato) anche con un approccio eticamente orientato che tenga conto dell’impatto delle soluzioni (tecnologiche e non) adottate da tutti i soggetti (titolari, responsabili, autorità, ecc.) e del rispetto dei principi enunciati (ex artt. 5, 25, ecc.). Peraltro, lo stesso prof. Floridi con il contributo “Soft ethics, the governance of the digital and the General Data Protection Regulation“ ha avuto modo di descrivere ampiamente come la c.d. soft ethics (per la parte interpretativa e applicativa del GDPR in particolare) sia fondamentale e parte del framework dallo stesso illustrato.
Pertanto, anche il contesto contact tracing e le relative app, nella valutazione del loro impatto su privacy e dati personali, non potranno sottrarsi anche a valutazioni di carattere etico.
