Un’app per la salute grazie a precise deroghe alla privacy – Intervista ad Antonello Soro

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Paolo Russo, “La Stampa” – 25 marzo 2020)

Prima di rispondere alle domande sui rischi sottesi all’utilizzo di App che traccino i nostri movimenti per fermare l’epidemia, il Garante della privacy, Antonello Soro ci tiene a mettere alcuni punti sulle i. “Ho letto interviste sprezzanti in merito al diritto alla privacy. Abbiamo detto mille volte che quel diritto, anche nella sua declinazione digitale di protezione dei dati, soggiace a delle limitazioni a fronte di un interesse collettivo, a maggior ragione in questa fase drammatica. L’equilibrio tra diritti individuali e della collettività è sancito dalla Costituzione”. “Però – aggiunge – le deroghe non devono diventare un punto di non ritorno”.

Ma non c’è comunque il rischio che un Grande Fratello finisca per controllare ogni nostro movimento?

“Sento parlare molto di modello coreano. Se significa definizione di un protocollo di tracciamento precoce dei positivi e delle persone che sono venute a contatto con loro, oltre che un controllo sul rispetto della quarantena, non avrei obiezioni. Purché a questo seguano poi test mirati, ma diffusi su tutti coloro che sono stati esposti a rischio di contagio e si garantiscano al contempo le adeguate protezioni al personale sanitario. Ma serve un governo unitario delle operazioni. Non è il momento delle improvvisazioni”.

A chi si riferisce?

“Alle iniziative estemporanee di alcuni Comuni e Regioni dove si ipotizzano esperimenti scoordinati e incontrollati, che possono generare confusione”.

A chi spetterebbe la regia e la gestione dei dati?

“Potrebbe essere la Protezione civile affiancata da un team di esperti. Ma spetterà al governo decidere. L’importante è che la regia sia unica e che competa a una autorità pubblica, dotata delle giuste competenze necessarie ad analizzare e utilizzare al meglio i dati. Anche per gestire la successiva fase dei test mirati”.

Si parla anche di un coinvolgimento di big player con Google e Facebook, che in passato hanno utilizzato in modo un po’ spregiudicato queste informazioni.

“Dipende dal ruolo che avranno. Un conto è consentire al regista pubblico di utilizzare le loro piattaforme per raccogliere informazioni secondo procedure e norme di garanzia ben definite. Un altro è offrire loro un’altra occasione per raccogliere dati sensibili. In tal caso andremmo proprio nella direzione sbagliata”.

Chi ci assicura che queste deroghe al diritto alla privacy cessino finita l’emergenza?

“La scadenza deve essere definita in partenza e dovrà coincidere con la fine dello stato di emergenza proclamato dal governo a febbraio. Spetterà all’Autorità garante il compito di vigilare e quando necessario irrogare sanzioni. Che possono arrivare al 4% del fatturato. So che molti dicono “ma tanto già oggi le grandi piattaforme utilizzano come vogliono i nostri dati”. Credo che la spinta dell’emergenza aiuterà a individuare, anche a livello internazionale, forme più efficaci di regolazione contro lo strapotere dei big player del web”.

Le informazioni raccolte serviranno anche a offrire servizi di assistenza e telemedicina a chi è in quarantena. Chi garantisce che dati sensibili sulla nostra salute non vengano poi utilizzati per altro?

“Conta sempre chi deve raccoglierli e poi utilizzarli. Se spetta a una autorità pubblica trasparente va bene. Se vengono affidati a una gestione casuale, magari per diffonderli in Rete no. Ci sono alcuni consiglieri comunali che hanno messo on line nome e cognome dei contagiati creando discriminazioni inaccettabili”.

In conclusione è così difficile in momenti come questi far convivere due diritti come quello alla salute e alla privacy?

“No, se rispettiamo un principio fondamentale della democrazia, la proporzionalità. Che è garantito quando un sistema anche invasivo è comunque finalizzato all’interesse generale di tutela della salute. Purché la raccolta di informazioni non ecceda rispetto alle necessità e avvenga dentro un processo ben normato, controllato e soprattutto a termine”.

Fonte: Garante Privacy

Parere sulle modalità di consegna della ricetta medica elettronica

Registro dei provvedimenti n. 58 del 19 marzo 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito Regolamento);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

CONSIDERATI i termini per il rilascio dei pareri di cui all’art. 36, par. 4 del Regolamento (art. 156, comma 5 del Codice e Regolamento del Garante n. 2/2019);

CONSIDERATA l’emergenza epidemiologica da COVID-19 con riferimento alla quale lo schema di decreto sottoposto al parere dell’Autorità prevede che, fino al perdurare dello stato di emergenza epidemiologica da COVID-19, per quanto concerne la ricetta dematerializzata di cui al decreto 2 novembre 2011, restano ferme le disposizioni definite dalle Ordinanze della Protezione Civile;

RITENUTO che le suddette ragioni di urgenza non permettono allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, il quale prevede che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno»;

VISTA la documentazione in atti;

PREMESSO

Con nota del 26 febbraio 2020 (prot. n. 31705), il Ministero dell’Economia e delle Finanze (Mef) ha trasmesso, ai sensi dell’art. 36, par. 4 del Regolamento, uno schema di decreto che modifica il d.m. 2 novembre 2011, estendendo la disciplina relativa alla dematerializzazione delle ricette mediche ad ulteriori categorie di prescrizioni.

Successivamente, con nota del 17 marzo 2020 (prot. n. 39766), il Ministero dell’Economia e delle Finanze ha trasmesso una nuova versione dello schema di decreto che apporta ulteriori modifiche al predetto decreto ministeriale del 2 novembre 2011 individuando i canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica, le cui modalità attuative saranno stabilite in un successivo decreto del medesimo Dicastero da adottarsi di concerto con il Ministero della salute, sentito il Garante.

Con riguardo alle disposizioni in materia di ricetta dematerializzata, nell’ultima versione dello schema di decreto inviata al Garante, il Mef, in ragione all’emergenza epidemiologica da COVID-19, ha disposto che, fino al perdurare del predetto stato di emergenza, sono valide le specifiche disposizioni definite dalle Ordinanze della Protezione Civile.

RILEVATO

La prima versione dello schema di decreto inviato al Garante prevede la modifica del decreto 2 novembre 2011, concernente la dematerializzazione delle ricette mediche, estendendo la prescrizione dematerializzata a tre nuove categorie di prescrizioni.

La versione dello schema di decreto in esame inviata il 17 marzo 2020 ha individuato anche i canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica (c.d. “promemoria dematerializzato”), le cui modalità attuative saranno stabilite in un successivo decreto dello stesso Dicastero, da adottare di concerto con il Ministero della salute, sentito il Garante. Tale ultima versione ha anche previsto che, fino al perdurare dello stato di emergenza epidemiologica da COVID-19, restano ferme le disposizioni definite dalle Ordinanze della Protezione Civile, concernenti la ricetta dematerializzata di cui al decreto 2 novembre 2011.

Le due versioni di schemi di decreto trasmesse all’Autorità sono state formulate anche sulla base dei rilievi e delle indicazioni fornite dall’Ufficio nel corso di alcune riunioni e interlocuzioni, aventi anche carattere d’urgenza, e tengono conto dell’attività tecnica condotta con le regioni, con il Ministero della salute, con l’Agenzia italiana del farmaco (Aifa) e con l’Agenzia per l’Italia digitale (Agid).

L’ultima versione dello schema di decreto trasmessa si compone di 3 articoli, relativi al quadro definitorio (art. 1), alle modifiche al richiamato decreto del 2 novembre 2011 (art. 2) e alle misure emergenziali per la ricetta dematerializzata (art. 3).

In particolare, l’art. 2 dello schema di decreto in esame apporta modifiche al d.m. 2 novembre 2011, estendendo la dematerializzazione della ricetta ai:

– farmaci con piano terapeutico Aifa, al fine di consentire alle Regioni l’esecuzione dei controlli finalizzati alla verifica del rispetto delle condizioni indicate nel piano terapeutico (art. 2 che introduce l’art. 1 -bis al d.m. 2 novembre 2011);

– farmaci distribuiti attraverso modalità diverse dal regime convenzionale (art. 2 che introduce l’art. 1 -ter al d.m. 2 novembre 2011);

– farmaci con ricetta medica limitativa (art. 2 che introduce l’art. 1 -quater al d.m. 2 novembre 2011).

Lo schema di decreto interviene inoltre sulle modalità di consegna all’assistito del “promemoria dematerializzato” da parte il medico prescrittore. L’art. 2 dello schema di decreto, introducendo l’art. 3-bis al d.m. 2 novembre 2011, consente, infatti, al medico prescrittore, al momento della generazione della ricetta elettronica, di rilasciare, su richiesta dell’assistito, il “promemoria dematerializzato” attraverso i seguenti canali:

– nel portale del Sistema di Accoglienza Centrale (SAC) (www.sistemats.it, anche tramite i sistemi di accoglienza regionali);

– nel Fascicolo Sanitario Elettronico, di cui all’art. 12 del decreto legge 179/2012;

– tramite posta elettronica;

– tramite short message service (SMS).

Con decreto del Ministero dell’Economia e delle Finanze, di concerto con il Ministero della salute, sentito il Garante, saranno individuate le modalità attuative dei suddetti canali.

A fronte dell’emergenza epidemiologica da COVID-19, il Ministero ha manifestato l’esigenza di individuare -nell’immediato- modalità alternative alla stampa del promemoria cartaceo della ricetta dematerializzata (c.d. “promemoria dematerializzato”) valide fino al termine dello stato di emergenza deliberato dal Consiglio dei Ministri in data 31 gennaio 2020. In tale contesto, nella versione dello schema di decreto inviata il 17 marzo 2020, è stato previsto, anche a seguito delle interlocuzioni d’urgenza con l’Ufficio del Garante, che, fino al perdurare dello stato di emergenza epidemiologica da COVID-19, con specifico riferimento alle disposizioni concernenti la ricetta dematerializzata di cui al decreto 2 novembre 2011, restano ferme le disposizioni definite dalle Ordinanze della Protezione Civile.

OSSERVA

La dematerializzazione della ricetta medica per le prescrizioni a carico del Servizio Sanitario Nazionale è stata introdotta con decreto del Ministero dell’Economia e delle Finanze del 2 novembre 2011. A disciplina vigente, il medico rilascia all’assistito il promemoria cartaceo della ricetta dematerializzata provvisto del Numero Ricetta Elettronica (NRE) e del codice di autenticazione dell’avvenuta transazione. Il predetto decreto prevede inoltre che “Su richiesta dell’assistito, tale promemoria può essere trasmesso tramite i canali alternativi di cui all’Allegato 1” (art. 1, comma 4). Il citato allegato, precisa che gli “ulteriori canali” “per la fruizione del promemoria da parte degli assistiti” saranno resi disponibili “attraverso il sito del Ministero dell’economia e delle finanze (www.sistemats.it)” (art. 4.1. Altri canali per la fruizione dei servizi, allegato 1 al decreto 2 novembre 2011).

Sebbene la normativa risalga al 2011, le suddette modalità alternative alla stampa del promemoria cartaceo non erano state ancora individuate.

Al riguardo l’Autorità, sin dal 2015 ha evidenziato al Ministero della salute che la mancata individuazione delle predette modalità alternative alla stampa del promemoria cartaceo ha determinato il diffondersi di iniziative autonome, da parte dei medici, molto differenziate sul territorio nazionale, che presentavano profili di criticità in merito alla sicurezza del trattamento dei dati relativi allo stato di salute degli assistiti dal Servizio Sanitario Nazionale (nota del 2 ottobre 2015, cfr. relazione annuale per le 2015, pag. 72). In tale contesto, l’Ufficio del Garante ha quindi sempre manifestato la propria disponibilità ad avviare un confronto con le amministrazioni deputate a intervenire in tale materia, al fine di garantire che il trattamento dei dati personali degli interessati avvenga nel rispetto della dignità e della riservatezza dell’interessato e con modalità uniformi sull’intero territorio nazionale.

Con lo schema di decreto in esame sono stati definiti i canali attraverso i quali effettuare la consegna del “promemoria dematerializzato” della ricetta elettronica all’assistito, rinviando a un successivo decreto dello stesso Dicastero, da adottarsi di concerto con il Ministero della salute e sentito il Garante, le modalità di rilascio del suddetto “promemoria dematerializzato” attraverso i predetti canali.

Sul punto, si condivide la scelta del Ministero di individuare, in un atto normativo concordato con il Ministero della salute, l’individuazione delle modalità di trasmissione all’assistito del “promemoria dematerializzato” della ricetta elettronica, che, con misure adeguate a tutela dei dati personali degli assistiti, siano valide su tutto il territorio nazionale e alle quali le regioni e le province autonome dovranno quindi adeguarsi.

Al riguardo, l’Ufficio, nel corso delle interlocuzioni con il Ministero, ha ribadito che non sussistono impedimenti legati alla protezione dei dati personali nell’individuazione delle predette modalità alternative alla consegna del promemoria cartaceo della ricetta elettronica, evidenziando la possibilità di prevedere canali digitali, alternativi alla stampa cartacea, rispettosi della disciplina in materia di trattamento dei dati sulla salute, come del resto già normativamente previsto in altri ambiti sanitari (cfr. decreto del Presidente del Consiglio dei Ministri del 8 agosto 2013 relativo alle Modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento online delle prestazioni erogate, su cui l’Autorità ha fornito il proprio parere il 6 dicembre 2012, doc. web n. 2223206; cfr. anche la disciplina sul Fascicolo sanitario elettronico,  di cui all’art. 12, d.l. n. 179/2012).

Nel corso delle richiamate interlocuzioni con il Ministero dell’Economia e delle Finanze, l’Ufficio del Garante ha manifestato alcune perplessità in merito alla delimitazione, prevista in una prima versione dello schema di decreto in esame, delle modalità alternative al promemoria cartaceo alla sola consultazione del Fascicolo Sanitario Elettronico (FSE), attesa la non completa attuazione del Fascicolo sull’intero territorio nazionale e la attuale facoltatività di attivazione dello stesso da parte dell’interessato. Tali osservazioni sono state recepite dal predetto Dicastero che, nella versione dello schema di decreto in esame, ha infatti previsto la possibilità che siano individuati canali ulteriori, rispetto al FSE, per la consegna all’assistito del “promemoria dematerializzato” della ricetta elettronica.

Con specifico riferimento all’emergenza epidemiologica da COVID-19, l’Ufficio del Garante, considerate le previsioni governative relative alla necessità di evitare qualsiasi forma di assembramento che si potrebbe determinare anche nella permanenza nelle sale di attesa dei medici prescrittori, ha fornito la propria disponibilità, al fine di individuare, già nell’immediato e fino alla cessazione dello stato emergenziale, modalità alternative alla stampa del promemoria cartaceo della ricetta che siano prontamente e agevolmente applicabili.

In tal senso, nell’ambito di una proficua e immediata attività di collaborazione istituzionale con il Mef, è stato suggerito di considerare, come modalità di consegna all’interessato del “promemoria dematerializzato” della ricetta elettronica, oltre al FSE, le soluzioni tecniche già individuate nella disciplina sulle modalità di consegna digitale dei referti. In particolare, in relazione all’individuazione di tali canali alternativi alla stampa del promemoria cartaceo, è stato rappresentato che, nel caso di invio del “promemoria dematerializzato” della ricetta elettronica alla casella di posta elettronica indicata dall’assistito per tale servizio, analogamente a quanto previsto per l’invio dei referti, il promemoria deve essere spedito in forma di allegato al messaggio e non come testo compreso nel corpo dello stesso, deve essere protetto con tecniche di cifratura e deve essere accessibile tramite una credenziale consegnata separatamente all’interessato.

Con riferimento all’utilizzo dei servizi di short message service (sms) sul dispositivo indicato dall’interessato, è stato rappresentata la necessità che, attraverso tale modalità, sia inviato il solo numero di ricetta elettronica (NRE) e non anche le altre informazioni di dettaglio contenute nel promemoria.

Ciò stante, l’Autorità manifesta sin d’ora il proprio assenso laddove l’esecutivo ritenesse, nella fase di emergenza legata all’epidemia da COVID 19, di disporre, nell’immediato, anche attraverso disposizioni d’urgenza, canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica nei termini sopra riportati.

Si rappresenta, infine, che, nel corso delle interlocuzioni con il Mef, sono state formulate specifiche osservazioni anche con riferimento all’accesso da parte di Aifa, Ministero della salute e regioni ai dati personali indicati nei piani terapeutici elettronici (forme di pseudonimizzazione dei dati personali da stabilirsi previo parere del Garante- art. 2 dello schema di decreto che introduce l’art. 1-bis, comma 7 al d.m. 2 novembre 2011).

Ciò premesso, sullo schema di decreto in esame, che tiene conto delle indicazioni fornite dall’Ufficio, non vi sono rilievi da formulare, sotto il profilo della protezione dei dati personali.

TUTTO CIO’ PREMESSO IL GARANTE:

ai sensi degli artt. 36, par. 4 e 58, par. 3, lett. b) del Regolamento, esprime parere favorevole sullo schema di decreto del Ministero dell’economia e delle finanze da adottare di concerto con il Ministero della salute.

Roma, 19 marzo 2020

IL PRESIDENTE
Antonello Soro

Fonte: Garante Privacy

Coronavirus, come funzionano il controllo delle celle e il tracciamento dei contagi. Il Garante: “Non bisogna improvvisare”

Dalla Lombardia, che analizza gli spostamenti usando i dati di Vodafone e Tim, alla possibilità che vengano tracciati tutti i contatti dei malati di Covid-19
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Martina Pennisi, Il Corriere della Sera, 18 marzo 2019)

Perché si sta discutendo della possibilità di usare i dati dei nostri smartphone per contenere l’epidemia del virus Sars-Cov-2?

Dal 20 febbraio, giorno in cui siamo venuti a conoscenza del primo cittadino italiano malato di Covid-19, in Italia sono morte 2.978 persone con il virus Sars-Cov-2 e i contagiati hanno superato quota 35 mila (qui i dati aggiornati). Per questo motivo si sente parlare della possibilità di sfruttare la tecnologia per monitorare e provare a contenere l’epidemia. Lunedì l’Organizzazione Mondiale della Sanità ha caldeggiato qualcosa di simile auspicando test a tappeto, isolamento dei positivi e tracciamento dei loro contatti. Come si sono spostati e con chi sono venuti a contatto i malati, quindi.

Cosa sta facendo la Regione Lombardia?

Il vice presidente della Lombardia e assessore per la Ricerca Fabrizio Sala e l’assessore al Welfare Giulio Gallera hanno scoperchiato il vaso di Pandora martedì sera, annunciando di aver analizzato gli spostamenti “da cella a cella” dei telefoni cellulari per capire quanti abitanti si muovono sul territorio e come lo fanno (qui l’articolo di Cesare Giuzzi). Innanzitutto è bene premettere che si tratta di una versione light delle soluzioni più articolate e delicate che potrebbero venire adottate nei prossimi giorni o settimane. In questo caso, la Regione afferma di acquisire i dati anonimi e aggregati di Vodafone e Tim sul numero di telefonini che si agganciano alle antenne (qui Alessio Lana spiega come funziona): mentre ci muoviamo per continuare a funzionare il telefonino passa da una porzione di rete all’altra — le celle, appunto — e così i due operatori, prima, e la Regione, poi, sanno quante persone si sono spostate da un luogo a un altro e, per esempio, scoprono se in molti sono andati oltre le poche centinaia di metri concesse dal decreto (a queste condizioni, in continua evoluzione). Come spiega Sala al Corriere, “l’esperienza deriva da Expo e dall’analisi di flussi intorno e all’interno della fiera. Per Covid-19, abbiamo preso in considerazione il 20 febbraio, giorno del primo caso, e ci siamo resi conto che dopo il lockdown gli spostamenti sono calati solo del 60 per cento. Troppo poco”. Cosa vuol dire che le informazioni sono anonime e aggregate? “Sono dati secchi, numeri. Non abbiamo modo di risalire ai proprietari dei cellulari”, risponde Sala. Rimane il fatto che un primo canale di acquisizione e analisi dei dati delle società di telecomunicazioni per gestire Covid-19 sia stato aperto e che ne sia stata data comunicazione un mese dopo.

Cosa sta facendo il governo?

Qui inizia la parte delicata. Con il primo decreto sull’emergenza del 9 marzo, la Protezione civile ha già ottenuto una deroga per acquisire e trattare i dati biometrici che identificano in modo univoco una persona o quelli sulla salute. Quello del 17 marzo, Cura Italia, prevede la nomina di un “contingente di esperti” che si occupi “di dare concreta attuazione alle misure adottate per il contrasto e il contenimento del diffondersi del virus con particolare riferimento alle soluzioni di innovazione tecnologica”. Come anticipato da Wired Italia, sarà il ministero dell’Innovazione di Paola Pisano a occuparsi di questa task force, di cui faranno parte economisti ed esperti del tracciamento dei dati i cui nomi arriveranno con un decreto di nomina. Sul piatto verranno messi sia dati di fonti aperte, come la Protezione civile, sia di fonti dal mondo universitario. L’Università di Pavia, per esempio, che secondo Wired ha ottenuto da Facebook i dati sugli spostamenti da Nord a Sud nella notte del grande esodo, tra il 7 e l’8 marzo, dopo che il premier Giuseppe Conte ha annunciato la chiusura della Lombardia. Quindi: fonti aperte, dati anonimi e aggregati o dati che non escono dai dipartimenti degli atenei. Ancora diverso – ed ecco il punto – è il discorso del monitoraggio dei contatti dei casi positivi di cui parlavamo all’inizio: per attivarlo e andare a indagare sulla posizione e sugli spostamenti dei singoli cittadini e delle persone che incrociano, seppur ridistribuendoli anonimamente, servono regole e garanzie, come sottolineato anche dall’European Data Protection Board citando il Regolamento europeo per la privacy Gdpr, che consente il trattamento per finalità di sicurezza nazionale ma allo stesso tempo richiede una valutazione d’impatto e sulla sicurezza. Il governo non si è ancora sbilanciato. Nonostante questo sono numerose le dichiarazioni di aziende o startup (come quella raccolta da Elena Tebano) che stanno sviluppando applicazioni per tracciare i movimenti dei malati di Covid-19 ed eventualmente avvisare chi è entrato in contatto con loro. Anche Asstel, l’associazione di rappresentanza delle compagnie telefoniche, ha dato la sua disponibilità, ribadendo che serve un’indicazione dell’esecutivo.

Il modello della Corea del Sud

Il modello è quello della Corea del Sud, che ha puntato innanzitutto su test a tappeto (come vuole fare il Veneto di Zaia) e poi sull’uso della tecnologia con applicazioni mobili e attingendo a Gps o carte di credito per creare una mappa del contagio, utile anche per allertare le persone che potrebbero aver incrociato un infetto, di cui nessuno saprebbe nome e cognome (ma tutti saprebbero dove è stato e chi lo conosce potrebbe ricostruirlo). “La Corea ce l’ha fatta. Questa è una misura è un po’ lesiva della privacy e bisogna avere la certezza che il dato venga usato a fini di sanità pubblica, ma tracciare tutti i contatti dei positivi può aiutare a contenere il contagio, anche in questa condizione di semi reclusione in cui siamo. Si tratta di una misura eccezionale che dovrebbe essere svolta solo per un determinato periodo”, afferma Paolo Bonanni, ordinario di Igiene all’Università degli Studi di Firenze e componente della Società italiana di Igiene, medicina preventiva e sanità pubblica.

E la privacy?

Il Corriere ha chiesto al Garante per la privacy Antonello Soro di chiarire i punti più delicati.

Sul caso della Lombardia: “Non siamo stati informati dell’iniziativa della Lombardia e non la conosciamo, dunque, nei dettagli. Dalle notizie pubblicate sembrerebbe si tratti unicamente di dati aggregati e anonimi e ci riserviamo di verificarlo”. Sul tracciamento dei contagi anche in Italia: “L’acquisizione di trend, effettivamente anonimi, di mobilità potrebbe risultare una misura più facilmente percorribile, laddove, invece, si intendesse acquisire dati identificativi, sarebbe necessario prevedere adeguate garanzie, con una norma ad efficacia temporalmente limitata e conforme ai principi di proporzionalità, necessità, ragionevolezza. In tal senso, andrebbe effettuata un’analisi dell’effettiva idoneità della misura a conseguire risultati utili nell’azione di contrasto. Ad esempio, apparirebbe sproporzionata la geolocalizzazione di tutti i cittadini italiani, 24 ore su 24, non soltanto per la massività della misura ma anche e, forse, preliminarmente, perché non esiste un divieto assoluto di spostamento e dunque la mole di dati così acquisiti non avrebbe un’effettiva utilità. Diversa potrebbe essere, invece, la valutazione relativa alla geolocalizzazione, quale strumento di ricostruzione della catena epidemiologica. In ogni caso, è indispensabile una valutazione puntuale del progetto. Non è il tempo dell’approssimazione e della superficialità”.

Sulla possibilità che vengano coinvolte anche le piattaforme come Google o Facebook: “Il coinvolgimento delle piattaforme, se necessario ai fini dell’acquisizione di dati utili a fini di prevenzione, va normato adeguatamente, circoscrivendo, per ciascun soggetto coinvolto nella filiera del trattamento, i rispettivi obblighi. Se, infatti, può essere opportuno che il patrimonio informativo di cui dispongano i big tech sia messo a disposizione per fini di utilità collettiva, dall’altro questo non deve risolversi in un’occasione di ulteriore incremento di dati da parte loro. In ogni caso, gli utenti devono essere adeguatamente informati di tale ulteriore flusso di dati, che deve essere comunque indirizzato solo ed esclusivamente all’autorità pubblica, a fini di prevenzione epidemiologica”.

Sui paletti da mettere, adesso: “Bisognerebbe anzitutto orientarsi secondo un criterio di gradualità e, dunque, valutare se le misure meno invasive possano essere sufficienti a fini di prevenzione. Ove così non sia, si dovrà studiare modalità e ampiezza delle misure da adottare in vista della loro efficacia, proporzionalità e ragionevolezza, senza preclusioni astratte o tantomeno ideologiche, ma anche senza improvvisazioni. Il Garante fornirà, naturalmente, il suo contributo nello spirito di responsabilità e leale cooperazione istituzionale che ne ha sempre caratterizzato l’azione, nella consapevolezza della difficoltà del contesto attuale”.

Fonte: 

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9294705

Dichiarazione del presidente del Comitato Europeo per la protezione dei dati personali

Il Comitato Europeo per la protezione dei dati è un organo europeo indipendente, che contribuisce all’ applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE. Il comitato europeo per la protezione dei dati è composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati (GEPD).

Il comitato europeo per la protezione dei dati ha come obiettivo quello di garantire l’applicazione coerente nell’ Unione europea del regolamento generale sulla protezione dei dati e della direttiva sulla protezione dei dati personali nelle attività di polizia e giudiziarie.

Il comitato ha il potere di adottare orientamenti generali per chiarire le disposizioni della normativa europea sulla protezione dei dati, così da fornire a tutti i destinatari di tali disposizioni un’interpretazione uniforme dei loro diritti e obblighi.

Inoltre, il comitato può adottare  decisioni vincolanti ai sensi del RGPD nei confronti delle autorità nazionali di controllo al fine di garantire un’applicazione coerente delle norme.

 

Dichiarazione del presidente del Comitato Europeo per la protezione dei dati personali

Fonte:

https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_it

Soro: la privacy dei pazienti va difesa ma non è un totem

23 Febbraio 2020

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(Di Cristiana Mangani, Il Messaggero, 23 febbraio 2020)

Dove finisce il diritto alla privacy e comincia la tutela dell’interesse della collettività? In questi giorni di paura da coronavirus il dibattito è di grande attualità. Ci sono leggi, dati sensibili, ma anche regole non scritte. C’è chi chiede nomi e indicazioni più precisi, e chi invece ricorda che la salute è un “dato” da non rivelare mai.

A tracciare la linea da seguire è Antonello Soro, Garante per la privacy, secondo il quale vanno contemperati entrambi gli interessi. “Sono informazioni delicate e sensibili – spiega – Tuttavia, l’emergenza legata all’epidemia comprime alcune libertà. Penso ai cittadini che sono nelle caserme per la quarantena proprio per evitare i contagi. In casi così il diritto alla privacy subisce delle limitazioni. Va sottolineato,  comunque, che tutto questo insieme di informazioni deve essere gestito con la giusta cautela da chi si occupa dell’emergenza. E quindi, nel caso attuale, saranno la protezione civile e gli ospedali a dover valutare fino a che punto i cittadini vadano informati. Non è utile, anzi è pericolosa – aggiunge Soro – la rincorsa alle informazioni. Anche perché la priorità resta quella di tutelare chi si trovi già in situazioni di sofferenza”.

Per Francesco Micozzi, docente di Informatica giuridica all’università di Perugia, “le esigenze vanno contemperate”. “Vanno eliminati gli agganci tra il dato personale e la necessità di informare – sottolinea – e lo si può fare rispettando la pseudonimizzazione o l’anonimizzazione. Esempio: arriva in Italia una persona con coronavirus, è necessario che venga rivelato il nome? Evidentemente no. Si metteranno in contatto con lui coloro che hanno il compito di gestire l’emergenza. E i suoi dati personali dovranno rimanere in possesso solo degli operatori sanitari, e in questo caso anche dalla protezione civile. Saranno loro stessi a informare tutte le persone che sono entrate in contatto con chi ha il virus o si sospetta che lo abbia, ma possono farlo senza dame le generalità. Altrimenti il rischio che si corre è una pericolosa caccia all’untore”.

Fonte: 

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9287748