FAQ – Trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria

1. I dentisti possono raccogliere informazioni sullo stato di salute del paziente in relazione al COVID 19?

Tutti i professionisti sanitari possono raccogliere le informazioni che ritengono necessarie nell’ambito delle attività di cura dei loro pazienti, ivi comprese quelle legate alla presenza di sintomi da COVID-19. Come ogni altro operatore sanitario, i dentisti sono inoltre tenuti a osservare le disposizioni emergenziali, in continua evoluzione, in merito alle misure di profilassi volte a prevenire e a limitare il contagio da COVID-19.
Resta fermo che l’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano invece agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

 

2. L’azienda sanitaria può inviare via e-mail, ai soggetti in isolamento domiciliare, informazioni sulle regole da rispettare durante la quarantena?

L’azienda può indicare le regole che i soggetti in isolamento devono seguire durante il periodo di quarantena con le modalità che ritiene più efficaci, nel rispetto della riservatezza degli interessati. Nel caso in cui utilizzi la posta elettronica per comunicare contemporaneamente a tutti i soggetti le disposizioni che sono tenuti a osservare, dovrà avere cura di inserire l’indirizzo dei destinatari dell’e-mail nel campo denominato “copia conoscenza nascosta” (ccn), al fine di evitare che tutti i destinatari della predetta comunicazione vengano a conoscenza dell’indirizzo e-mail degli altri soggetti posti in isolamento.

 

3. É lecito che l’operatore sanitario, durante l’esecuzione di un tampone per COVID 19, chieda al paziente l’identità della persona positiva con cui ha avuto un contatto stretto?

Si, in quanto l’operatore di sanità pubblica, al fine di determinare le misure di contenimento di contagio più opportune, è chiamato a ricostruire la filiera dei contati stretti del soggetto risultato positivo al COVID 19.

 

4. Le strutture sanitarie possono creare un servizio di call center per dare informazioni ai familiari sullo stato di salute dei pazienti COVID 19 che non sono in grado di comunicare con loro?

Le strutture sanitarie, in conformità al principio di accountability, possono individuare le modalità che ritengono più opportune ed efficaci per fornire informazioni sullo stato di salute ai familiari dei pazienti COVID 19 che non sono in grado di comunicare in via autonoma. In tale contesto, nulla osta che la struttura di ricovero dedichi un numero verde per fornire tali informazioni, prevedendo adeguate misure per identificare le persone effettivamente legittimate a conoscere le informazioni sullo stato di salute del familiare ricoverato.

 

5. Nel caso di decesso di un paziente COVID 19 positivo, le strutture sanitarie possono comunicare ai servizi funebri la causa del decesso?

Le disposizioni adottate nel corso dell’emergenza epidemiologica da COVID 19, hanno previsto che nei casi di sospetto o accertato decesso da Covid 19, gli operatori del servizio funebre debbano adottare particolari precauzioni, analoghe a quelle già previste per il decesso di persone con malattie infettive e diffusive, al fine di evitare l’ulteriore contagio. Nulla osta, pertanto, che, a tal fine, la struttura sanitaria ove è avvenuto il decesso comunichi all’impresa funebre lo stato di positività al COVID 19 del defunto.

 

6. Durante l’emergenza da COVID 19, il medico può inviare all’assistito la ricetta relativa alle prescrizioni dei farmaci evitando che l’interessato debba ritirala in studio?

Al fine di evitare che i cittadini si rechino presso gli studi dei medici di base per ritirare le ricette, l’ordinanza della protezione civile del 19 marzo 2020 ha previsto che il medico possa trasmettere all’assistito la ricetta per posta elettronica, via SMS o telefonicamente.
Nel caso di invio tramite e-mail, il promemoria della ricetta sarà allegato al messaggio e non inserito come testo nel corpo del messaggio stesso.
Nel caso di comunicazione telefonica o tramite sms, sarà invece sufficiente comunicare all’assistito il solo Numero della Ricetta Elettronica prescritta.

 

7.  Durante l’emergenza da COVID 19, è possibile inviare direttamente al farmacista la ricetta per l’acquisto di un farmaco?

Si, con decreto del Ministero dell’economia e delle finanze, sentito il Garante, è stato previsto che l’assistito che abbia ricevuto dal medico gli estremi della ricetta per posta elettronica, via sms o telefonicamente, possa comunicarla, con le stesse modalità, alla farmacia.
Le disposizioni adottate nel periodo emergenziale prevedono anche che l’assistito possa delegare il medico a inviare la ricetta direttamente alla farmacia, tramite posta elettronica o attraverso lo stesso sistema che genera la ricetta.

 

8.  È possibile diffondere i dati identificativi delle persone positive al COVID 19 o che sono state poste in isolamento domiciliare?

La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.
Pertanto, le aziende sanitarie e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia.

 

9. Nel periodo emergenziale, può essere rilevata la temperatura corporea dei passeggeri negli aeroporti?

Si, le disposizioni adottate per l’emergenza sanitaria da COVID 19, hanno previsto la possibilità di effettuare controlli della temperatura corporea a tutti i passeggeri di voli europei e internazionali in arrivo negli aeroporti italiani, al fine di individuare le eventuali misure necessarie ai fini del contenimento dell’Epidemia da Coronavirus.

 

10.  Quali aspetti bisogna considerare nel promuovere screening sierologici per il Covid-19 nei confronti di lavoratori appartenenti a categorie a rischio come, ad esempio, gli operatori sanitari e le forze dell’ordine?

Gli screening sierologici per il Covid-19 possono essere promossi dai Dipartimenti di prevenzione della regione nei confronti delle categorie di soggetti considerati a maggior rischio di contagio e diffusione del Covid-19. Tra tali categorie di soggetti vi sono gli operatori sanitarie e le forze dell’ordine. La partecipazione di tali soggetti ai test può avvenire solo su base volontaria.
I risultati possono essere utilizzati dalla struttura sanitaria che ha effettuato il test per finalità di diagnosi e cura dell’interessato e per disporre le misure di contenimento epidemiologico previste dalla normativa d’urgenza in vigore (es. isolamento domiciliare), nonché per finalità di sanità pubblica da parte del dipartimento di prevenzione regionale.Tali trattamenti di dati devono essere tenuti distinti da quelli effettuati nell’ambito dell’effettuazione di test sierologici per Covid-19 per finalità di sicurezza e salute sul luogo di lavoro.

 Fonte: Garante Privacy

FAQ del Garante privacy su scuola, lavoro, sanità, ricerca ed enti locali. Chiarimenti e indicazioni per pubbliche amministrazioni e imprese private

Il datore di lavoro può rilevare la temperatura corporea di dipendenti, fornitori, clienti all’ingresso della propria sede? E può rendere nota l’identità di un lavoratore contagiato ai colleghi? La scuola può comunicare alle famiglie degli alunni l’identità dei parenti di studenti risultati positivi al Covid-19? Gli enti locali possono pubblicare i dati dei destinatari dei benefici economici? Le aziende sanitarie, le prefetture, i comuni possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento?

Sono queste solo alcune delle domande cui rispondono le Faq messe a punto dal Garante per la protezione dei dati personali sulle problematiche connesse all’emergenza Coronavirus in vari ambiti: sanità, lavoro, scuola, ricerca, enti locali. I documenti sono stati predisposti per chiarire dubbi e fornire indicazioni per un corretto trattamento dei dati personali da parte di pubbliche amministrazioni e imprese private.

Le Faq, disponibili da oggi sul sito dell’Autorità www.garanteprivacy.it, contengono indicazioni di carattere generale ispirate alle risposte fornite e a reclami, segnalazioni, quesiti ricevuti dall’Ufficio in questo periodo.

Il Garante ha chiarito, in particolare, il ruolo che anche nell’attuale emergenza sanitaria deve essere svolto dal medico competente nel contesto lavorativo pubblico e privato, e ha inoltre specificato che il datore di lavoro non deve comunicare i nominativi dei contagiati al rappresentate dei lavoratori per la sicurezza.

Per quanto riguarda la scuola, l’istituto è tenuto a fornire alle istituzioni competenti le informazioni necessarie, affinché possano ricostruire la filiera delle persone entrate in contatto con una persona contagiata, ma spetta alle autorità sanitarie competenti informare i contatti del contagiato, al fine di attivare le misure di profilassi.

Riguardo alle strutture sanitarie, queste possono individuare le modalità che ritengono più opportune ed efficaci per fornire informazioni, sullo stato di salute, ai familiari dei pazienti Covid-19 che non sono in grado di comunicare autonomamente. La struttura di ricovero può, quindi, ad esempio, dedicare un numero verde per fornire tali informazioni, purché preveda adeguate misure per identificare le persone effettivamente legittimate a conoscere le informazioni sullo stato di salute del familiare ricoverato.

L’Autorità, poi, ha ribadito che aziende sanitarie, prefetture, comuni e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi delle persone contagiate dal Covid-19 o di chi è stato posto in isolamento, anche qualora la finalità sia quella di contenere la diffusione dell’epidemia.

Il Garante ha, infine, fornito specifici chiarimenti in ordine alle semplificazioni introdotte dalla normativa emergenziale per il trattamento di dati personali nell’ambito delle sperimentazioni cliniche dei farmaci per l’emergenza epidemiologica da Covid-19 e delle ricerche mediche svolte dagli Istituti di ricovero e cura a carattere scientifico (Ircss) finanziate dal Ministero della salute.

Roma, 4 maggio 2020

Fonte: Garante Privacy

Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19

29 Aprile 2020

Registro dei provvedimenti n. 79 del 29 aprile 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vice presidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei Ministri;

Visti gli articoli 36, par. 4, e 57, par. 1, lett. c), del Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento).

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;
Viste le osservazioni del segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;

PREMESSO

1. La Presidenza del Consiglio dei Ministri ha richiesto il parere del Garante su una proposta normativa per il tracciamento dei contatti fra soggetti mediante apposita applicazione su dispositivi di telefonia mobile nell’ambito delle strategie di contenimento dell’epidemia Covid-19.

L’intervento normativo – si legge nella relazione illustrativa – è volto a disciplinare il trattamento di dati personali nel contesto dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del Covid-19 per finalità di tracciamento dei contatti tra i soggetti che, a tal fine, abbiano volontariamente installato un’apposita applicazione sui dispositivi mobili.

Al comma 1 si precisa che il titolare del trattamento è il Ministero della salute e che il trattamento riguarda il tracciamento effettuato tramite l’utilizzo di un’applicazione, installata su base volontaria e destinata alla registrazione dei soli contatti tra soggetti che abbiano parimenti scaricato l’applicazione. Ciò, al solo fine di adottare le adeguate misure di informazione e prevenzione sanitaria nel caso di soggetti entrati in contatto con utenti che risultino, all’esito di test o diagnosi medica, contagiati. Si prevede, in particolare, che il Ministero si coordini, anche ai sensi dell’articolo 28 del Regolamento, con i soggetti operanti nel Servizio nazionale della protezione civile e i soggetti cc.dd. “attuatori” di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3 febbraio 2020, nonché con l’Istituto superiore di sanità, le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale, nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all’emergenza epidemiologica da COVID-19. Si chiarisce, infine, che la modalità di tracciamento dei contatti tramite la piattaforma informatica di cui al predetto comma è complementare alle ordinarie modalità in uso nell’ambito del Servizio sanitario nazionale.

Al comma 2 si prevede che, all’esito di una valutazione di impatto effettuata ai sensi dell’articolo 35 del Regolamento il Ministero della salute adotti misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante, assicurando, in particolare, che: gli utenti ricevano, prima dell’attivazione dell’applicazione, un’idonea informativa; i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al Covid-19, individuati secondo criteri stabiliti dal Ministero della salute; il trattamento effettuato per il tracciamento dei contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati, con esclusione di ogni forma di geolocalizzazione dei singoli utenti; siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento; i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo, stabilito dal Ministero della salute, strettamente necessario al tracciamento e cancellati in modo automatico alla scadenza del termine; i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento possano essere esercitati anche con modalità semplificate.

Il comma 3 prevede che i dati raccolti attraverso l’applicazione non possono essere utilizzati per finalità diverse da quella di cui al medesimo comma 1, salvo in forma aggregata o anonima per finalità scientifiche o statistiche.

Il successivo comma 4 stabilisce che il mancato utilizzo dell’applicazione non comporta conseguenze in ordine all’esercizio dei diritti fondamentali dei soggetti interessati ed è assicurato il rispetto del principio di parità di trattamento, mentre il comma 5 prevede che la piattaforma informatica utilizzata è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o in controllo pubblico.

Infine il comma 6 chiarisce che ogni trattamento di dati personali dovrà cessare al termine del periodo di emergenza secondo la tempistica espressamente indicata, con conseguente cancellazione dei dati trattati.

RILEVATO

2. La norma tiene conto di molte delle indicazioni fornite dal Presidente del Garante nell’audizione tenuta in data 8 aprile u. presso la IX Commissione trasporti e comunicazioni della Camera dei deputati (in www.gpdp.it, doc. web n. 9308774), dal Segretario generale in riscontro alle ipotesi avanzate all’interno del Gruppo di lavoro “data-driven” per l’emergenza Covid-19, istituito presso la Presidenza del Consiglio dei ministri (nota del 7 aprile 2020, doc. web. n. 9316821).

Essa appare conforme, per quanto dalla stessa disciplinato e nelle sue linee generali, ai criteri indicati dalle Linee guida del Comitato europeo per la protezione dei dati del 21 aprile scorso (doc. web n. 9321621)a proposito dei sistemi di contact tracing, che possono sintetizzarsi nei termini seguenti, raffrontandovi la disposizione in esame:

a) volontarietà: in ragione del rilevante impatto individuale del tracciamento, l’adesione al sistema deve essere frutto di una scelta realmente libera da parte dell’interessato. La mancata adesione al sistema non deve quindi comportare svantaggi né rappresentare la condizione per l’esercizio di diritti. Si apprezza, in tal senso, la previsione di cui al comma 4 dell’articolo, che appare sufficientemente esaustiva, salvo la necessità di precisare, per fugare ogni possibile dubbio interpretativo, che il mancato utilizzo dell’applicazione non comporta conseguenze pregiudizievoli, adottando dunque una locuzione più ampia di quella riferita al solo esercizio dei diritti fondamentali;

b) previsione normativa: il presupposto può individuarsi nell’esigenza di svolgimento di un compito di interesse pubblico, in particolare per esigenze di sanità pubblica, in base a “previsione normativa o disposizione legislativa” dell’Unione europea o degli Stati membri. Sotto questo profilo, in particolare, la scelta di una norma di rango primario soddisfa i requisiti di cui all’articolo 9, par. 2, lett. i) del Regolamento e agli articoli 2-ter e 2-sexies del Codice, con garanzie ulteriori che potranno essere stabilite con il previsto provvedimento del Garante da adottare ai sensi dell’articolo 2-quinquiesdecies del medesimo Codice;

c)  trasparenza: è necessario assicurare il pieno rispetto degli obblighi di trasparenza previsti dal Regolamento nei confronti degli interessati. In linea con tale esigenza  è la previsione di cui all’articolo 1, comma 2, lett. a), della norma che assicura agli interessati un’idonea informazione sul trattamento e in particolare sulla pseudonimizzazione dei dati, mentre si raccomanda all’Amministrazione interessata di sottoporre la valutazione di impatto cui è tenuta al più ampio regime di conoscibilità e di prevedere, anche nella norma, il carattere libero e aperto del software da rilasciare con licenza open source;

d) determinatezza ed esclusività dello scopo: il tracing dev’essere finalizzato esclusivamente al contenimento dei contagi, escludendo fini ulteriori, ferme restando le possibilità di utilizzo a fini di ricerca scientifica e statistica, purché nei soli termini generali previsti dal Regolamento;.

e) selettività e minimizzazione dei dati: i dati raccolti devono poter tracciare i contatti stretti e non i movimenti o l’ubicazione del soggetto. Devono essere raccolti solo i dati strettamente necessari ai fini della individuazione dei possibili contagi, con tecniche di anonimizzazione e pseudonimizzazione affidabili. Anche la conservazione deve limitarsi al periodo strettamente necessario, da valutarsi sulla base delle decisioni dell’autorità sanitaria su parametri oggettivi come il periodo di incubazione. A tal riguardo le disposizioni dello schema di norma su tali aspetti è opportuno che siano ulteriormente articolate in sede di attuazione dal Ministero della salute ai sensi del comma 2, anche con riferimento alla sorte dei dati raccolti sul dispositivo di chi, in un momento successivo all’installazione dell’applicazione, abbia poi deciso di disinstallarla;

f) non esclusività del processo algoritmico e possibilità di esercitare in ogni momento i diritti di cui agli articoli da 15 a 22 del Regolamento;

g) interoperabilità con altri sistemi di contact tracing utilizzati in Europa. Tali caratteristiche di interoperabilità potranno essere assicurate in sede applicativa e, ancor prima, nell’ambito dei provvedimenti di competenza del Ministero;

h) reciprocità di anonimato tra gli utenti dell’app, i quali devono peraltro non essere identificabili dal titolare del trattamento, dovendo la identificazione ammettersi al limitato fine dell’individuazione dei contagiati. La norma, alla lettera e), non specifica chiaramente se si intenda optare per la conservazione dei dati in forma centralizzata ovvero decentrata. In ogni caso, la centralizzazione richiederebbe in sede attuativa  la previsione di misure di sicurezza rafforzate, adeguate alla fattispecie.

RITENUTO

3. In estrema sintesi, dunque, il sistema di contact tracing prefigurato non appare in contrasto con i principi di protezione dei dati personali in quanto:

a) è previsto da una norma di legge sufficientemente dettagliata quanto ad articolazione del trattamento, tipologia di dati raccolti, garanzie accordate agli interessati, temporaneità della misura;

b) si fonda sull’adesione volontaria dell’interessato, escludendo ogni forma di condizionamento della determinazione individuale e, quindi, di disparità di trattamento basate sulla scelta di consentire o meno il tracciamento;

c) è preordinato al perseguimento di fini di interesse pubblico indicati con sufficiente determinatezza ed escludendo il trattamento secondario dei dati così raccolti per fini diversi, salva la possibilità (nei termini generali previsti dal Regolamento) di utilizzo, in forma anonima o aggregata, a fini statistici o di ricerca scientifica;

d) appare conforme ai principi di minimizzazione e ai criteri di privacy by design e  by default, nella misura in cui prevede la raccolta dei soli dati di prossimità dei dispositivi, il  loro trattamento in forma pseudonima, sempre che non sia possibile in forma del tutto anonima, escludendo il ricorso  a dati di geolocalizzazione e limitandone la conservazione al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine;

e) si conforma al principio di trasparenza nei confronti dell’interessato, garantendone la dovuta informazione;

f) ammette l’ulteriore precisazione delle caratteristiche di dettaglio del trattamento e delle misure di sicurezza adeguate da parte del Ministero della salute ai sensi del comma 2 e, per quanto concerne il vaglio di questa Autorità, mediante l’atto di cui all’art. 2-quinquiesdecies del Codice. In tali sedi potranno, inoltre, essere previste le modalità di intervento umano sulla decisione algoritmica, così da soddisfare anche i requisiti di cui all’articolo 22, par. 2, lett. b) – del Regolamento.

L’Autorità auspica che tale misura sia idonea anche a superare il proliferare di iniziative analoghe in ambito pubblico, difficilmente compatibili con il quadro giuridico vigente.

4. Quanto al testo della norma, il Garante non ha particolari perfezionamenti da suggerire, salvo – per le ragioni esplicitate al punto 2 – richiamare l’attenzione sull’opportunità di sostituire, al comma 4, la locuzione “conseguenza in ordine all’esercizio dei diritti fondamentali dei soggetti interessati” con il più ampio “conseguenza pregiudizievole” e di integrare il comma 3 con i riferimenti normativi pertinenti (artt. 5, par. 1, lett. a) e 9, par. 2, lett. j), del Regolamento) e sostituendola parola utilizzati con “trattati”.

In conclusione, quindi, il Garante esprime parere favorevole sullo schema di norma in esame, auspicando, ove condivisi, i mirati interventi integrativi e specificativi dell’Amministrazione interessata in sede applicativa, nei termini prospettati ai punti 2 e 3, e riservandosi ogni valutazione dei profili tecnici del progetto in sede di esame ai sensi dell’articolo 2-quinquiesdecies del Codice.

IL GARANTE

ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, esprime parere favorevole, nei termini di cui in motivazione, sulla proposta normativa concernente il tracciamento dei contatti fra soggetti tramite apposita applicazione sui dispositivi di telefonia mobile, con le osservazioni di cui ai punti 2, 3 e 4.

Roma, 29 aprile 2020

IL PRESIDENTE Soro
IL RELATORE Soro
IL SEGRETARIO GENERALE Busia

Fonte: Garante Privacy

Commissione Ue su app per tracciamento. Dichiarazione di Antonello Soro, Presidente dell’Autorità garante per la privacy

Commissione Ue su app per tracciamento. Dichiarazione di Antonello Soro, Presidente dell’Autorità garante per la privacy

“I principi indicati dalla Commissione Europea sono perfettamente in linea con le indicazioni contenute nel parere – di cui è stato relatore il Garante italiano – reso dall’Edpb, il Comitato che riunisce le Autorità garanti europee, due giorni fa alla stessa Commissione. La Commissione, in particolare, indica come preferibili app basate sulla volontaria adesione del singolo e su sistemi di prossimità, come il bluetooth, in quanto maggiormente selettivi e, dunque, di minore impatto sulla privacy”.

Roma, 16 aprile 2020

Fonte: Garante Privacy

23esima sessione plenaria (EDPB) – Linee-guida sul trattamento di dati relativi alla salute per finalità di ricerca e Linee-guida sulla geolocalizzazione e altri strumenti di tracciamento, nel contesto dell’emergenza legata al COVID-19

21 Aprile 2020

23esima sessione plenaria (EDPB) – Linee-guida sul trattamento di dati relativi alla salute per finalità di ricerca e Linee-guida sulla geolocalizzazione e altri strumenti di tracciamento, nel contesto dell’emergenza legata al COVID-19

In occasione della 23ma sessione plenaria, il Comitato europeo per la protezione dei dati ha adottato due Linee-guida sul trattamento di dati relativi alla salute per finalità di ricerca nel contesto dell’emergenza legata al COVID-19, e sull’utilizzo della geolocalizzazione e di altri strumenti di tracciamento nel contesto dell’emergenza legata al COVID-19.

Le Linee-guida sul trattamento di dati relativi alla salute per finalità di ricerca nel contesto dell’emergenza legata al COVID-19 mirano a far luce sulle questioni giuridiche più pressanti in merito all’utilizzo di dati relativi alla salute: in particolare, la base giuridica del trattamento, i trattamenti ulteriori di dati relativi alla salute per finalità di ricerca scientifica, la messa in atto di adeguate garanzie e l’esercizio dei diritti degli interessati.

Nelle Linee-guida si chiarisce come il RGPD contenga numerose disposizioni in merito al trattamento dei dati relativi alla salute per finalità di ricerca scientifica, che trovano applicazione anche nel contesto della pandemia dovuta al COVID-19 soprattutto per quanto concerne il requisito del consenso e le norme nazionali rispettivamente applicabili. Il Regolamento prevede la possibilità di trattare alcune categorie particolari di dati personali (come i dati relativi alla salute) se ciò risulta necessario per perseguire scopi di ricerca scientifica.

Vengono inoltre affrontate alcune questioni giuridiche in rapporto ai trasferimenti internazionali di dati relativi alla salute per finalità di ricerca connesse alla lotta al COVID-19, in particolare in assenza di una decisione di adeguatezza o di altre garanzie adeguate.

Andrea Jelinek, la Presidente del Comitato, ha dichiarato quanto segue: “Attualmente la lotta al COVID-19 è pieno svolgimento, e gli studiosi sperano di arrivare quanto prima a risultati utili. Il Regolamento non pone alcun ostacolo alla ricerca scientifica, bensì consente il trattamento di dati relativi alla salute nel rispetto dei principi di liceità per supportare l’obiettivo finale dell’individuazione di un vaccino o di terapie contro il COVID-19”.

Le Linee-guida sulla geolocalizzazione e altri strumenti di tracciamento nel contesto dell’emergenza legata al COVID-19 vogliono chiarire le condizioni e principi da rispettare ai fini di un impiego proporzionato degli strumenti che utilizzano i dati di localizzazione e il tracciamento dei contatti, in rapporto a due ambiti specifici:

1. Utilizzo dei dati di localizzazione a supporto della risposta alla pandemia tramite la definizione di modelli della diffusione del virus, al fine di valutare l’efficacia complessiva di misure di isolamento e quarantena;

2. Utilizzo del tracciamento dei contatti per informare le persone che sono probabilmente entrate in contatto ravvicinato con soggetti successivamente confermati positivi, al fine di interrompere tempestivamente la trasmissione del contagio.

Le Linee-guida sottolineano che tanto il Regolamento quanto la direttiva e-privacy contengono specifiche disposizioni sull’utilizzo di dati anonimi o personali a supporto delle autorità pubbliche e di altri soggetti, a livello nazionale ed europeo, nelle attività di monitoraggio e contenimento della diffusione del COVID-19. Tutte le misure adottate dagli Stati membri o dall’Ue che comportino il trattamento di dati personali per il contrasto del COVID-19 devono essere ispirate ai principi generali di efficacia, necessità e proporzionalità.

Il Comitato ribadisce e sottolinea quanto già espresso nella lettera di risposta alla Commissione europea (14 aprile), ossia che l’impiego di app per il tracciamento dei contatti dovrebbe avvenire su base volontaria e non comportare il tracciamento degli spostamenti individuali, facendo invece perno sulle informazioni di prossimità relative agli utenti.

La Presidente del Comitato ha poi aggiunto: “Le app non potranno mai sostituire il personale medico e sanitario. Dati e tecnologie sono strumenti importanti, ma dobbiamo ricordare che hanno limiti intrinseci. Le app possono solo integrare l’efficacia di misure di salute pubblica e la dedizione degli operatori sanitari, che sono necessarie per contrastare il COVID-19. In ogni caso, non si può chiedere alle persone di scegliere fra una risposta efficace alla crisi e la tutela di diritti fondamentali”.

Il Comitato ha adottato anche una Guida per le app di tracciamento dei contatti, allegata alle Linee-guida vere e proprie. Questa Guida vuole fornire indicazioni generali ai progettisti e agli sviluppatori delle app di tracciamento, sottolineando che ogni valutazione deve essere compiuta caso per caso.

In via eccezionale, alla luce dell’urgenza dell’attuale situazione e della necessità di disporre rapidamente di orientamenti specifici, le Linee-guida non saranno sottoposte a consultazione pubblica.

Fonte: Garante Privacy

Soro: “Pochi rischi per la privacy, i cittadini devono collaborare. E stop al fai-da-te delle Regioni”

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(Di Giovanna Vitale, La Repubblica, 18 aprile 2020)

Presidente Soro, la app scelta dal governo è sicura? Affidandosi a uno smartphone, i nostri dati sensibili non rischiano di diventare di dominio pubblico o essere utilizzati in modo poco ortodosso?

“Intanto una premessa: io non conosco la app su cui è caduta la scelta del governo. Nella fase della selezione, però, l’ufficio del Garante ha avuto una intensa interlocuzione con il ministero dell’Innovazione, al quale abbiamo fornito indicazioni molto chiare rispetto sia alla tutela dei dati personali, sia alla migliore tecnologia per garantirla. Un orientamento peraltro condiviso dalla Commissione europea e mi pare recepito da Immuni, che punta a privilegiare il sistema bluetooth con la pseudonimizzazione dei dati identificativi”.

Quali sono queste indicazioni?

“Le regole fissate dall’Europa per il tracciamento: no alla geolocalizzazione, sì alla tecnologia bluetooth, anonimato e volontarietà”.

Se l’app viene installata su un telefono che è associato a una sim, come si garantisce l’anonimato?

“Il sistema di tracciamento con la pseudonimizzazione dei dati identificativi funziona così: ogni 15 minuti il bluetooth rilascia un codice alfanumerico. Questa sequenza di codici resta immagazzinata su ogni singolo telefonino. Viene decodificata solo quando si individua un positivo e allora occorre ricostruire la catena epidemiológica dei suoi contatti”.

E come si fa a ricostruirla?

“Incrociando tutti i codici identificativi (e anonimi) che nell’ultimo periodo sono entrati in contatto con la persona infetta. A quel punto sulla app del potenziale contagiato, identificato con un codice alfanumerico, comparirà un avviso che segnala il rischio. La app, ricordo, è stata ceduta allo Stato: il gestore è pubblico. Non solo. Noi abbiamo anche chiesto che una volta che tali dati abbiano esaurito il loro ciclo vengano distrutti”.

Come si farà a convincere la gente a scaricare la app?

“Lo scopo del tracciamento coincide con l’esigenza di sottoporre ad accertamenti quanti siano entrati in contatto con un soggetto positivo o, comunque, di adottare le misure utili a prevenire il contagio. Ma il sistema funziona solo se verrà adottato da almeno il 60% degli italiani. Ai quali bisogna far capire che il diritto alla salute è un interesse collettivo: solo se lo perseguiamo tutti, in modo solidale, riusciremo a centrare l’obiettivo. Da qui anonimato e volontarietà come principi cardine”.

Ma basta una app per tenere sotto controllo il virus?

“No, sono necessarie una serie di azioni complementari, a partire dai test diagnostici dei potenziali contagiati. Si possono infatti raccogliere tutti i dati del mondo sui potenziali infetti, ma se poi non si hanno le risorse, o persino i reagenti, per accertarne renettiva positività non si va molto lontano. Inoltre non tutti dispongono di uno smartphone, specie gli anziani: il che rende il tracing uno strumento importante ma non l’unico”.

Quale pensa che sia il rischio principale?

“Ciò che mi preoccupa è il fatto che tutte le Regioni stanno adottando specifiche app regionali che contrastano con la strategia che occorre seguire in queste circostanze. Ovvero uniformare al massimo i comportamenti per inserire il da ta tracing in una strategia più generale che ci consenta di scongiurare nuovi focolai. Ma se ogni regione adotta la sua app e si fa il suo tracciamento, il potere persuasivo viene meno e il rischio di trattamento scorretto dei dati aumenta a dismisura”.

Fonte: Garante Privacy

“Le app degli spostamenti solo su base volontaria” – Intervista ad Antonello Soro

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(Di Valentino Di Giacomo, Il Mattino, 17 aprile 2020)

“Bisognerebbe adottare – e presto – una disciplina uniforme a livello nazionale che impedisca disparità di trattamento tra cittadini su base territoriale e assicuri garanzie equivalenti per tutti. C’è stata, invece, una proliferazione di iniziative”. Antonello Soro guida da otto anni l’autorità per la protezione dei dati personali. Il Garante della privacy ha letto l’inchiesta pubblicata ieri dal Mattino sui meccanismi adottati in Campania per tracciare i possibili spostamenti di chi ha contratto il Covid-19, ma teme che di questo passo non si riuscirà a tenere il conto delle tante iniziative regionali, con seri rischi sul profilo della sicurezza dei nostri dati. Fughe in avanti che potrebbero pregiudicare gli obiettivi comuni.

Attualmente la mappatura attiva in Campania avviene in forma anonima, senza associare i dati degli spostamenti a un nominativo. Lo ritiene un buon metodo?

“Il sistema cui fa riferimento l’articolo del vostro giornale sembra diverso dal “contact tracing” vero e proprio, in quanto funzionale alla localizzazione di coloro ai quali siano imposte misure di permanenza domiciliare e non, invece, alla ricostruzione della catena dei contagi. Anche tale soluzione deve però mantenersi entro il perimetro normativo, garantendo la proporzionalità e non eccedenza del trattamento dei dati”.

Resta il problema che una guida univoca a livello nazionale per affrontare questo tema non esista ancora. Teme che, come in Campania, possa svilupparsi un fai-da-te regionale che possa creare ancor più confusione?

“Ad ora ci sono tante iniziative. A ciascuna di esse, mi chiedo, è seguita effettivamente un’autonoma valutazione d’impatto privacy, l’individuazione di server sicuri nei quali allocare i dati in maniera protetta, impedirne usi a fini diversi e cancellarli non appena ne cessi l’utilità? Di fronte a una pandemia che esige un coordinamento almeno in ambito europeo, sarebbe contraddittorio differenziare – addirittura a livello regionale – le modalità di azione”.

Il Governo, su impulso del ministero dell’Innovazione, ha istituito una Commissione straordinaria denominata “Data Drive” al fine di sviluppare un’app che possa servire a tracciare gli spostamenti. Quali spunti ha dato il Garante?

“L’Autorità partecipa ai lavori della Commissione, in una posizione del tutto distinta da quella degli esperti di nomina ministe riale, per esprimere le esigenze di protezione dati sin dalla fase di scelta della soluzione da adottare. In quella sede, abbiamo in particolare indicato come preferibili le misure basate sulla volontaria adesione del singolo, sulla conservazione “in locale” del diario dei contatti, sui dati blue tooth (pseudonimizzati), in quanto maggiormente selettivi e, dunque, di minore impatto sulla privacy”.

Il cittadino può quindi rifiutare di essere mappato pur avendo contratto il virus e rappresentando un potenziale pericolo per la collettività? Non ritiene debba essere obbligatorio pur pregiudicando alcune libertà individuali?

“L’indicazione fornita alla Commissione è che siano preferibili soluzioni fondate sulla volontaria adesione del singolo, anche perché misure basate sui dati raccolti dai dispositivi mobili (che presuppongono dunque la costante presenza del telefono accanto a noi) sono diffìcilmente coercibili. Il contact tracing necessita dell’adesione di circa il 60% della popolazione: se si riesce a sensibilizzare tale quota di cittadini, il risultato potrebbe essere a un tempo rispettoso della privacy e proficuo per il contenimento dei contagi”.

L’Ue sta provando anche a creare un’unica app per l’intera Unione Europea. Avremmo uguali garanzie a quelle che abbiamo in Italia circa la tutela della privacy? Sarebbe una buona soluzione?

“L’ipotesi di un’app paneuropea non comporterebbe in alcun modo una riduzione delle garanzie di protezione dati. La disciplina della materia è, infatti, ormai di fonte direttamente europea e dunque gli Stati mèmbri applicano tutti la stessa disciplina, salvo limitati margini di dif ferenziazione. Peraltro, con riferimento al contact tracing, il Comitato europeo per la protezione dati ha condiviso un approccio assolutamente conforme a quello da noi indicato”.

Diritto alla salute e diritto alla privacy: saremo costretti a scegliere o esiste una terza via?

“La potenziale contrapposizione tra privacy e salute pubblica è il riflesso della più generale tensione tra libertà individuali e interessi collettivi, che solo la democrazia può rendere equilibrio, se non addirittura in sinergia. La sfida di oggi è nel garantire che i diritti individuali siano limitati nella (sola) misura necessaria a salvaguardare quante più vite umane possibili. La disciplina di protezione dati già comprende al suo interno le limitazioni necessarie a garantire istanze solidaristiche quali quelle espresse dalle esigenze di salute pubblica, secondo i criteri della proporzionalità, precauzione e temporaneità”.

Fonte: Garante Privacy

Audizione informale, in videoconferenza, del Presidente del Garante per la protezione dei dati personali sull’uso delle nuove tecnologie e della rete per contrastare l’emergenza epidemiologica da Coronavirus

Commissioni IX (Trasporti, Poste e Telecomunicazioni) della Camera dei Deputati

(8 aprile 2020)

1. Diritti, deroghe, limiti

La gravissima emergenza che il Paese sta affrontando ha imposto l’adozione- con norme di vario rango- di misure limitative di molti diritti fondamentali, necessarie per contenere auspicabilmente, il numero dei contagi.

La protezione dei dati personali – fondamentale diritto “di libertà”, sancito dalla Carta di Nizza – non poteva fare, naturalmente, eccezione, benché le limitazioni sinora adottate siano nel complesso contenute.

Alcune deroghe al regime ordinario di gestione dei dati sono state previste sin dalle primissime ordinanze intervenute pochi giorni dopo la deliberazione dello stato di emergenza, con prevalente riferimento all’ambito di comunicazione dei dati sanitari.

L’art. 14 d.l. 14/2020 ha sostanzialmente replicato tale disposizione, elevandone la fonte e rimarcandone il carattere temporaneo, senza tuttavia allo stato attuale riferirsi a raccolte di dati particolarmente “innovative”.

Nuove e più invasive raccolte di dati potrebbero fondarsi su esigenze di sanità pubblica che -al pari del “soccorso di necessità”- costituiscono autonomi presupposti di liceità, in presenza di una previsione normativa conforme ai principi di necessità, proporzionalità, adeguatezza, nonché del rispetto del contenuto essenziale del diritto.

2. Mappe epidemiologiche e sorveglianza

Va valutata entro questa cornice l’ipotesi della raccolta dei dati sull’ubicazione o sull’interazione dei dispositivi mobili dei soggetti risultati positivi, con altri dispositivi, al fine di analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi.

Anzitutto, dal momento che sono ipotizzabili misure molto diverse tra loro, si dovrebbe privilegiare un criterio di gradualità e dunque valutare se le misure meno invasive possano essere sufficienti a fini di prevenzione epidemiologica.

In tale prospettiva non pone particolari problemi l’acquisizione di trend, effettivamente anonimi, di mobilità. L’art. 9 della direttiva e-privacy legittima il trattamento, anche in assenza del consenso dell’interessato, dei dati relativi all’ ubicazione, purché anonimi.

Tale soluzione consente di realizzare, ad esempio, mappe descrittive dell’andamento dell’epidemia, utilissime a fini prognostici e statistici, meno a scopi diagnostici in senso proprio.

Per altro verso, l’uso di dati identificativi sull’ubicazione o sull’interazione con altri dispositivi può risultare funzionale a diversi scopi.

In ogni caso, esso richiede – anche ai sensi dell’art. 15 della direttiva e-privacy – una disposizione normativa sufficientemente dettagliata e contenente adeguate garanzie.

I vari utilizzi possibili di tali dati possono essere finalizzati, in via teorica (e ragionando nei termini assunti dal dibattito pubblico di queste settimane):

a) o alla verifica della posizione del soggetto sottoposto ad obbligo di permanenza domiciliare perché positivo, utilizzando dunque la geolocalizzazione del telefono (che si presuppone, ma non è detto, segua passo passo il soggetto) per accertare l’effettivo rispetto del divieto di allontanamento dal domicilio, oppure:

b) all’acquisizione, a ritroso, dei dati sull’interazione del soggetto poi risultato positivo con altri soggetti, per verificarne, nel periodo in cui aveva capacità virale, gli eventuali contatti desumibili tramite varie tecniche: celle telefoniche, gps, bluetooth.

Le due ipotesi differiscono nella finalità: elemento, questo, indubbiamente rilevante per la valutazione della complessiva legittimità del trattamento.

La prima ipotesi infatti, nell’utilizzare la localizzazione del telefono come fosse una sorta di braccialetto elettronico atipico, presuppone la sostituzione, con l’occhio elettronico, dei controlli “umani”, dando però per acquisito che chi decida di violare gli obblighi di permanenza domiciliare porti con sé il telefono, il che è evidentemente contro-intuitivo.

Tra le altre misure utilizzate a fini di verifica del rispetto degli obblighi di distanziamento sociale vi è il ricorso, da parte dell’autorità di pubblica sicurezza, ai droni.

Anche tali strumenti vanno utilizzati nel rispetto del canone di proporzionalità, soprattutto in ragione delle loro potenzialità particolarmente invasive della riservatezza.

Se utilizzata dalle forze di polizia, non per segnalare “impersonali” assembramenti, ma per monitorare il rispetto puntuale degli obblighi di permanenza domiciliare, infatti, tale misura difficilmente potrà garantire il rispetto del canone di proporzionalità, potendo prestarsi a una raccolta assai ampia di dati personali.

Sarebbe auspicabile, sul punto, una precisazione normativa, considerando anche che la norma di riferimento richiama genericamente le (non del tutto sovrapponibili) esigenze di controllo del territorio per finalità di pubblica sicurezza, contrasto del terrorismo e del crimine organizzato (cfr. art. 5, c.3-sexies d.l, n. 7/2015, convertito, con modificazioni, dalla l. 43/2015, come novellato dal dl 113/2018, convertito con modificazioni dalla l. 132/2018).

3. Il contact tracing

Più complessa è la seconda ipotesi, relativa alla mappatura a ritroso dei contatti tenuti, nel periodo d’incubazione, da soggetti risultati contagiati. Tale ricostruzione dei contatti può avvenire, almeno astrattamente, attraverso l’incrocio di tipologie di dati diversi: quelli sulle transazioni commerciali, sulle celle telefoniche, quelli sull’interazione con altri dispositivi mobili desunti dal ricorso a tecnologie bluetooth.

Va premesso che ciascuna tipologia di questi dati ha, naturalmente, una diversa significatività a fini epidemiologici, tanto maggiore quanto più idonea a selezionare i contatti più rilevanti perché più ravvicinati e, dunque, maggiormente suscettibili di aver determinato, almeno potenzialmente, un contagio.

Come vedremo più avanti, la scelta della tipologia di dati più efficace incide anche sul complessivo giudizio di proporzionalità, in quanto la maggiore selettività riduce il perimetro di incidenza della misura al solo stretto necessario, con effetti socialmente apprezzabili in termini di tutela della salute, individuale e collettiva.

In termini generali, comunque, il fine perseguito da tale misura risulta particolarmente apprezzabile perché non già repressivo (come invece nel caso della sorveglianza del soggetto in quarantena obbligatoria mediante la sua geolocalizzazione), ma solidaristico.

Lo scopo perseguito coinciderebbe, infatti, con l’esigenza di sottoporre ad accertamenti quanti siano entrati potenzialmente in contatto con un soggetto risultato positivo al virus o, comunque, di adottare le misure utili a prevenire il contagio.

Si perseguirebbe, dunque, quella componente solidaristica del diritto alla salute quale interesse collettivo, valorizzata dalla giurisprudenza costituzionale sugli obblighi vaccinali.

L’utilizzo di tale tecnologia avrebbe, del resto, poche valide alternative ai fini della ricostruzione della catena epidemiologica.

La semplice intervista del paziente può essere, infatti, lacunosa o comunque scontare la mancata conoscenza di molti soggetti con i quali si possa essere entrati in contatto nei più vari contesti (in farmacia, al supermercato ecc.).

Un elemento di fragilità delle soluzioni basate sui dati acquisiti da telefono attiene, però, al suo presupporre che tutti si spostino con il telefono addosso. E se questo avviene quasi sistematicamente per le fasce più giovani della popolazione, non avviene altrettanto sicuramente per gli anziani, che dovrebbero invece essere i primi a dover essere contattati in caso di temuto contagio, per essere curati con la massima tempestività.

Le soluzioni “tecnologiche” sono, infatti, validissime alleate dell’azione di prevenzione epidemiologica ma necessitano, evidentemente, di misure complementari di diversa natura, idonee a superare i limiti imposti, tra le altre cose, dal divario digitale.

Tale considerazione, sui limiti intrinseci alle opzioni tecnologiche, ha un duplice ordine di implicazioni.

In primo luogo, la valutazione dell’efficacia attesa dalla misura non può prescindere da un’analisi inerente le azioni complementari e, dunque, la fase- che dovrebbe ragionevolmente conseguirne- dell’accertamento sanitario dei soggetti individuati, tramite data tracing, quali potenziali contagiati.

Si possono raccogliere, infatti, tutti i dati possibili sui potenziali portatori (sani o meno che siano), ma se poi non si hanno le risorse (e persino i reagenti!) per accertarne l’effettiva positività, non si va molto lontano.

In secondo luogo, la necessità di ricostruire la catena dei contagi mediante i dati di dispositivi elettronici rende problematica l’imposizione di un obbligo generalizzato di uso di tali sistemi. Ciò, infatti, presupporrebbe la possibilità (non solo economica ma anche cognitiva) di utilizzo di smartphone e di loro funzionalità che non sono, oggettivamente, a tutti accessibili.

Inoltre, un simile obbligo di utilizzo sarebbe difficilmente coercibile salvo ricorrere a un vero e proprio braccialetto elettronico.

Se anche si ritenesse, come pure si sta ipotizzando, di far attivare il bluetooth direttamente da una app, come imporre, infatti, di uscire di casa solo se ‘accompagnati’ dal proprio smartphone, tra l’altro abbastanza carico?

Queste considerazioni inducono a preferire il ricorso a sistemi fondati sulla volontaria adesione dei singoli che consentano il tracciamento della propria posizione. Tuttavia, per garantire la reale libertà (e quindi la validità) del consenso al trattamento dei dati, esso non dovrebbe risultare in alcun modo condizionato.

Pertanto, non potrebbe ritenersi effettivamente valido, perché indebitamente e inevitabilmente condizionato, il consenso prestato al trattamento dei dati acquisiti con tali sistemi, se prefigurato come presupposto necessario, ad esempio, per usufruire di determinati servizi o beni (si pensi al sistema cinese).

L’efficacia diagnostica di tale soluzione dipende, in ogni caso, dal grado di adesione che essa incontri tra i cittadini, in quanto la rilevazione potrebbe per definizione avvenire solo limitatamente alla parte della popolazione che consenta di “farsi tracciare”.

La percentuale minima per l’efficacia è stimata nell’ordine del 60%.

E se a Singapore tale soluzione ha visto l’adesione di pressoché tutta la popolazione, ciò sembra imputabile prevalentemente alla specifica cultura e al grado molto avanzato di innovazione digitale di quel Paese.

Ciò non esclude però che un’adeguata sensibilizzazione sull’opportunità di ricorrere a tale tecnica, anche solo a fini egoistici- ovvero per essere informati di essere stati potenzialmente e inconsapevolmente contagiati tramite un contatto con soggetti positivi- possa invece consentire un’ampia adesione dei cittadini.

In tal senso, quindi, la volontaria attivazione di una app funzionale alla raccolta dei dati sull’interazione dei dispositivi, ben potrebbe rappresentare il presupposto di uno schema normativo fondato su esigenze di sanità pubblica, con adeguate garanzie per gli interessati (art. 9, p.2, lett.i) Reg. (Ue) 2016/679).

La seconda fase del trattamento (quella, cioè, successiva alla rilevazione dei dati) consiste essenzialmente nella conservazione degli stessi, in vista del loro eventuale, successivo utilizzo per allertare i potenziali contagiati.

Tale opera di “personalizzazione” dovrebbe avvenire limitatamente ai soggetti risultati poi positivi e a coloro ai quali, con essi, siano entrati in contatto significativo, per il solo periodo di potenziale contagiosità.

Sotto il profilo dell’impatto sulla riservatezza, determinato dalla conservazione in sé dei dati, in vista del loro successivo utilizzo, è certamente preferibile la soluzione della registrazione del “diario dei contatti” sullo stesso dispositivo individuale nella disponibilità del soggetto. Si eviterebbe così la conservazione di dati personali in banche dati dei gestori, che riproporrebbe le criticità rilevate dalla giurisprudenza della Cgue sulla data retention.

I criteri di necessità, proporzionalità e minimizzazione rimarcati dalla giurisprudenza europea indicano, comunque, l’esigenza di contenere tali limitazioni della privacy nella misura strettamente necessaria a perseguire fini rilevanti, con il minor sacrificio possibile per gli interessati.

Seguendo questo criterio, dovremmo allora ritenere anzitutto preferibile la misura più selettiva, che garantisca cioè il minor ricorso possibile a dati identificativi, sia in fase di raccolta sia in fase di conservazione.

In tal senso, ai fini della raccolta, il bluetooth, restituendo dati su interazioni più strette di quelle individuabili in celle telefoniche assai più ampie, parrebbe migliore nel selezionare i possibili contagiati all’interno di un campione più attendibile perché, appunto, limitato ai contatti significativi (così parrebbero orientati Singapore e Germania).

In particolare, sarebbero apprezzabili quelle tecnologie che mantengono il diario dei contatti esclusivamente nella disponibilità dell’utente, sul suo dispositivo, ragionevolmente per il solo periodo massimo di potenziale incubazione.

Il soggetto che risultasse positivo dovrebbe fornire l’identificativo Imei del proprio dispositivo all’asl, che sarebbe poi tenuta a trasmetterlo al server centrale per consentirgli così di ricostruire, tramite un calcolo algoritmico, i contatti tenuti con altre persone le quali si siano, parimenti, avvalse dell’app blue tooth.

Queste ultime riceverebbero poi una segnalazione (nella forma di un alert sul sistema) di potenziale contagio, con l’invito a sottoporsi ad accertamenti che, naturalmente, sarà efficace nella misura in cui sia responsabilmente seguito.

In tal modo, il tracciamento sarebbe affidato a un flusso di dati pseudonimizzati, suscettibili di reidentificazione solo in caso di rilevata positività.

Anche in tali circostanze, comunque, la stessa comunicazione tra server centrale ed app dei potenziali contagiati avverrebbe senza consentirne la reidentificazione, così minimizzando l’impatto della misura sulla privacy individuale.

In alternativa all’alert intra-app, si potrebbe ipotizzare che sia direttamente l’asl ad avvisare e, quindi, sottoporre ad accertamento le persone le quali, dalle rilevazioni bluetooth, risultino essere entrate in contatto significativo con il soggetto positivo.

La conservazione dei dati di contatto, da parte del server, dovrebbe comunque limitarsi al tempo strettamente indispensabile alla rilevazione dei potenziali contagiati.

L’anamnesi rimessa al medico consentirebbe, poi, di realizzare quell’intervento umano sul processo algoritmico richiesto dal Regolamento 2016/679 per evitare l’esclusiva soggezione umana a decisioni automatizzate, correggendone anche, così, possibili distorsioni e inesattezze.

In ogni caso, è auspicabile che la complessa filiera del contact tracing possa  realizzarsi interamente in ambito pubblico.

Ove, tuttavia, ciò non fosse possibile e anche solo un segmento del trattamento dovesse essere affidato a soggetti privati, essi dovrebbero possedere idonei requisiti di affidabilità, trasparenza e controllabilità, rigorosamente asseverati.

Potrebbe infine essere utile prevedere specifici reati propri, suscettibili di realizzazione da parte di coloro che, potendo avere accesso ai dati per qualunque ragione anche operativa, li utilizzino per altre finalità.

La soluzione ipotizzata ridurrebbe, verosimilmente allo stretto necessario, la sua incidenza sulla riservatezza. Tuttavia, benché non massivo, il trattamento di dati personali comunque realizzato richiederebbe, auspicabilmente, una norma di rango primario, (anche un decreto-legge, che assicura la tempestività dell’intervento, pur non omettendo il sindacato parlamentare né quello successivo di costituzionalità, diversamente dalle ordinanze).

Ove non si procedesse a un intervento legislativo ad hoc, sarebbe opportuno quantomeno integrare l’art. 14 dl 14/20, anche con misure di garanzia da prevedersi eventualmente con fonte subordinata.

La norma avrebbe anche una rilevante funzione performativa, fornendo una cornice generale di regole e garanzie cui uniformarsi anche a livello locale. Si eviterebbero così le autonome iniziative, differenziate da zona a zona che- in quanto spesso scoordinate e poco verificabili – rischiano di indebolire l’efficacia complessiva della strategia di contrasto. Quest’esigenza di uniformità vale sia a livello interno che sovranazionale. E’, in questo senso, assolutamente condivisibile l’auspicio del Garante europeo per la protezione dei dati, in favore dell’adozione di un unico progetto di data tracing in ambito europeo.

Naturalmente, come prescritto dalla Consulta per le disposizioni emergenziali, è fondamentale l’efficacia temporalmente limitata della norma, da revocare non appena terminato lo stato di necessità o, comunque, ove la prassi ne dimostri la scarsa utilità (in tal senso, sarebbero opportuni controlli periodici).

Ed è essenziale sancire (con il presidio di sanzioni adeguate) l’obbligo di cancellazione dei dati decorso il periodo di potenziale utilizzo (salva la conservazione in forma aggregata o comunque anonima per soli fini statistici o di ricerca) e l’illiceità di qualsiasi riutilizzo dei dati per fini diversi da quelli di tracciamento dei contatti, nei termini suindicati.

Così circoscritto, il ricorso al contact tracing potrebbe anche concorrere all’eventuale formazione del “passaporto sanitario digitale”.

Ci riferiamo, in particolare, alle varie iniziative suscettibili di adozione nella fase di ripresa delle attività, per la valutazione del grado individuale di rischio epidemico.

Vanno studiate, dunque, modalità e ampiezza delle misure da adottare in vista della loro efficacia, gradualità e adeguatezza, senza preclusioni astratte o tantomeno ideologiche, ma anche senza improvvisazioni o velleitarie deleghe, alla sola tecnologia, di attività tanto necessarie quanto complesse.

La chiave è nella proporzionalità, lungimiranza e ragionevolezza dell’intervento, oltre che naturalmente nella sua temporaneità.

Il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole dal modello coreano a quello cinese, scambiando la rinuncia a ogni libertà per l’efficienza e la delega cieca all’algoritmo per la soluzione salvifica.

Fonte: Garante Privacy

Newsletter 06/04/2020 – Sanità e ripartizione dei fondi: Garante Privacy chiede adeguate garanzie

6 Marzo 2020

Sanità e ripartizione dei fondi: il Garante Privacy chiede adeguate garanzie
Parere del Garante sul progetto del Ministero della salute che prevede la profilazione socio-sanitaria della intera popolazione italiana

Il progetto del Ministero della salute che prevede la ripartizione dei fondi economici per il Sistema sanitario nazionale (Ssn) attraverso la profilazione socio-sanitaria dell’intera popolazione italiana manca al momento di una base giuridica adeguata e di sufficienti tutele per le persone.  L’aggiornamento dei parametri di ripartizione del Fondo sanitario nazionale potrebbe, in ogni caso, essere già realizzato attraverso le analisi effettuate nell’ambito del Programma Statistico Nazionale.

Queste alcune delle valutazioni che il Garante per la privacy ha espresso al Consiglio di Stato, in merito a un quesito sottoposto allo stesso Consiglio di Stato dal Ministero della salute relativo ai nuovi criteri di ripartizione del Fondo Sanitario Nazionale (Fsn), che prevedono il trattamento di dati personali, anche sulla salute, di tutti i cittadini assistiti dal Ssn.

Il Ministero della salute intende procedere alla distribuzione delle risorse economiche dello Stato tra le Regioni, passando da un modello basato sull’età della popolazione, ad uno fondato sull’effettiva necessità del territorio, la cui realizzazione presuppone la profilazione dello stato di salute dell’intera popolazione. Per raggiungere tale obiettivo, il Dicastero ha così proposto di raccogliere e interconnettere molteplici banche dati, sia interne al Ministero che di altre amministrazioni, come l’Istat e l’Anagrafe tributaria, in modo da definire il “profilo sanitario individuale” di ogni singolo utente del sistema sanitario, da collegare poi a quello reddituale (“status sociale”). Tale profilazione (“stratificazione”) dell’intera popolazione italiana, evidenzierebbe, secondo il Ministero, i reali bisogni economici sanitari delle regioni e costituirebbe, quindi, l’elemento centrale per una più equa distribuzione del fondo sanitario sul territorio.

Nel proprio parere, il Garante ha riconosciuto l’importanza di una migliore ripartizione del Fondo sanitario nazionale, basata su un’effettiva definizione dei diversi bisogni regionali, ma ha richiamato l’attenzione sulla necessità che i trattamenti di dati personali connessi a tale nuovo sistema di ripartizione siano effettuati nel pieno rispetto della disciplina sulla protezione dei dati personali. Il progetto ministeriale prevede infatti la creazione di un profilo individuale di ogni assistito, basato sulle patologie croniche e sulla situazione reddituale individuale, che, attraverso l’uso di algoritmi, saranno utilizzati per suddividere tutta la popolazione in gruppi (stratificazione).

L’Autorità ha rilevato, infatti, che il nuovo modello di ripartizione potrà essere attivato solo superando alcune criticità.

A partire dal fatto che l’attuale normativa di settore non consente al Ministero della salute l’interconnessione dei flussi del Nuovo sistema informativo sanitario (NSIS) per la ripartizione del fondo sanitario e che manca un’adeguata base normativa anche per l’acquisizione di dati raccolti da altre amministrazioni (come quelli del registro delle cause di morte presso l’Istat, quelli dell’anagrafe tributaria, oppure quelli delle esenzioni per patologia contenuti nelle anagrafi regionali).

Il Garante ha inoltre posto l’accento sul rischio che questi dati siano utilizzati dal Ministero per finalità ulteriori, come la “medicina predittiva” o “di iniziativa”, un modello assistenziale orientato a proporre agli assistiti interventi diagnostici mirati, sulla base del profilo sanitario individuale. Anche questi ultimi trattamenti di dati richiederebbero, come i precedenti, un’apposita base giuridica e la necessità di effettuare ulteriori riflessioni anche sui risvolti etici relativi alla profilazione sanitaria e sociale di massa. Sul punto, il Garante ha rimarcato che l’utilizzo dei dati dell’intera popolazione italiana dovrebbe essere suffragato, fin dalla progettazione, da una compiuta analisi circa i rischi per i diritti e le libertà fondamentali degli interessati, alla luce dei principi di responsabilizzazione e di protezione dei dati personali, nonché dalla relativa valutazione di impatto.

In un’ottica di piena collaborazione istituzionale, l’Autorità ha comunque segnalato, nel suo parere al Consiglio di Stato, che, in attesa di un intervento normativo specifico in materia, l’aggiornamento dei parametri di ripartizione del Fondo sanitario nazionale potrebbe essere già utilmente realizzato attraverso le analisi effettuate nell’ambito del Programma Statistico Nazionale.

L’equità della ripartizione delle risorse economiche sul territorio nazionale può essere quindi realizzata nel rispetto del diritto alla protezione dei dati personali, attraverso un intervento normativo puntuale, con riferimento al quale il Garante ha già da tempo manifestato la propria disponibilità per l’individuazione delle garanzie opportune.

Fonte: Garante Privacy