Aggiornato al 02.07.2020
Rubrica a cura di Giovanna De Minico
Scheda di Maria Orefice
- Premessa
Nel periodo di riferimento considerato (marzo – giugno 2020) si registra un provvedimento particolarmente rilevante: l’autorizzazione preliminare n. 95 del 1° giugno 2020[1]. Si tratta di un provvedimento approvato in ragione delle disposizioni contenute nell’art. 36, par. 5 del Regolamento (UE) 2016/679 e nell’art. 2 quinquiesdecies del d. lgs. 196/2003, come modificato dal d. lgs. 101/2018 di adeguamento della disciplina nazionale vigente in materia di protezione dei dati personali alle disposizioni previste dal Regolamento (UE) 2016/679. Tali disposizioni prevedono al riguardo l’obbligo di consultazione preventiva del Garante per i trattamenti aventi ad oggetto un compito di interesse pubblico, tra cui il trattamento nell’ambito della protezione sociale e della sanità pubblica.
Il provvedimento amministrativo citato è stato adottato all’esito della consultazione preventiva da parte del Ministero della Salute che ha sottoposto al Garante la Valutazione di impatto sulla protezione dei dati personali, obbligatoria in base all’art. 35 del Regolamento Ue 2016/679, il cui testo però non è consultabile perché non è oggetto di visibilità obbligatoria.
Il Garante con questo provvedimento ha autorizzato il Ministero della Salute al trattamento dei dati personali nell’ambito del sistema di tracciamento nazionale che permette di allertare tramite gli smartphone le persone entrate in contatto stretto con soggetti risultati positivi al virus SARS-CoV-2 e ha prescritto al Titolare una serie di misure aggiuntive.
- Background normativo
Il legislatore europeo ha previsto che la valutazione di impatto si imponga al Titolare quando esso pone in essere un trattamento di dati personali altamente rischioso per i diritti e le libertà delle persone fisiche interessate (art. 35 Reg.).
In estrema sintesi, la valutazione d’impatto consiste nell’analizzare ex ante i rischi elevati che il tracciamento dei contatti su scala nazionale potrebbe “comportare per gli interessi e le libertà delle persone fisiche” e nel prevedere le misure organizzative e comportamentali più adatte a evitarli[2]. Il legislatore europeo ha altresì previsto l’obbligo per il Titolare di un trattamento che presenta un rischio elevato, in assenza di misure adottate per attenuare il rischio, di consultare il Garante in via preventiva (art. 36, par. 1 Reg.), rimettendo al diritto interno la scelta se attivare o meno lo stesso obbligo quando il trattamento sia svolto dal Titolare – come nel caso in esame - per l'esecuzione di un compito di interesse pubblico (art. 36, par. 5 Reg.). La norma speciale interna ha introdotto per la fattispecie de qua non solo la consultazione preventiva del Garante, ma anche la possibilità per lo stesso Garante di prescrivere misure e accorgimenti a garanzia dell'interessato (art. 2 quinquiesdecies del d. lgs. 196/2003).
Il legislatore interno ha, difatti, attivato questo ius singulare, spingendo più in là i poteri di soft law del Garante[3]. Ciò comporta che, mentre il Regolamento riconosce all’Autorità di controllo lo strumento dell’autorizzazione preventiva, l’art. 2 quinquiesdecies del novellato d. lgs. 196/2003 gli attribuisce il potere di prescrivere con provvedimenti di carattere generale misure e accorgimenti a garanzia dell'interessato, anche d’ufficio, che il titolare del trattamento è tenuto ad adottare.
Al Garante, chiamato in causa dal diritto interno, spetterà non solo di controllare in via preventiva che le misure siano sufficienti a evitare il rischio, ma anche di rilasciare motu proprio prescrizioni aggiuntive. In questo senso, l’autorizzazione non valuterebbe - come il nomen iuris lascerebbe presumere - la compatibilità della richiesta di trattamento con un interesse pubblico specifico, ma prescriverebbe le condizioni ulteriori in base alle quali l’attività vietata è consentita. Queste incongruenze sarebbero chiari indizi – secondo alcuni[4] - del ricorso alla funzione provvedimentale per fini normativi attraverso cui si rendono lecite attività a determinate condizioni, valutandole ex ante compatibili con i principi di protezione dei dati personali e assolvendole dal giudizio di illiceità[5]. Il provvedimento de facto sarebbe diverso dal concreto provvedere perché introdurrebbero norme speciali che sottraggono dal divieto trattamenti meritevoli di disciplina a sé, per mano del legislatore nazionale o europeo. Queste precisazioni sono necessarie per introdurre i contenuti prescrittivi del provvedimento autorizzativo de qua.
- L’inversione della fonte del sistema di allerta Covid 19
Il sistema di contact tracing è stato introdotto – seppure in via tardiva[6] - per l'esecuzione di un compito di interesse pubblico dall’art. 6 del d.l. 30 aprile 2020, n. 28 solo dopo l’individuazione con ordinanza 10/2020 del Commissario straordinario per l’emergenza del 16 aprile 2020 dell’applicativo e dello sviluppatore deputato, tramite una fast call for contribution chiusa il 26 marzo.
Esso si compone di un’app denominata “Immuni” e di una serie di componenti aggiuntive tra le quali un sistema di interazione con gli operatori sanitari, ancora in fase di implementazione.
In linea generale il Regolamento UE 2016/679 pur vietando di trattare dati sanitari, prevede al suo art. 9, par. 2 lett. i) la “via di fuga”[7] dell’interesse pubblico nel settore della sanità pubblica in base al diritto dello Stato Membro. Questo equivale a dire che spetta al legislatore decidere se ricorrere o meno alla deroga per definire prima le misure appropriate e le specifiche garanzie per tutelare i diritti e le libertà dell’interessato poi l’app e il suo sviluppatore. Quindi, lo strumento del decreto-legge avrebbe permesso ex tunc – in luogo dell’ordinanza - di articolare le limitazioni alle libertà consentite sul suo fondamento permettendo che all’organo geneticamente deputato, il Parlamento, cui spetta la conversione del decreto-legge, venisse riservata, pur in misura variabile, la determinazione dei limiti imposti a diritti e libertà costituzionalmente protetti. Tuttavia, esso è intervenuto dopo: l’articolo 6 del d.l. 28/2020, pur formulato in termini generali, ha dissimulato l’intento di introdurre disposizioni specifiche rivolte a un’applicazione già scritta e a un soggetto privato predeterminati, dando fondamento di liceità a posteriori a un trattamento definito senza valutare previamente i rischi, in contrasto con il Regolamento Europeo citato. La ratio della fonte europea, che richiede di anticipare queste valutazioni sui rischi alla messa in opera, è quella di permettere di confezionare uno strumento ad hoc che consideri adeguatamente l’influenza che una singola scelta tecnologica comporta su ciascun principio. Il Comitato Europeo della Protezione dei dati personali[8] ha evidenziato come la fase di progettazione delle app dovrebbe sempre prevedere un esame approfondito dell’approccio architetturale ponderandone ex ante, gli effetti e i possibili impatti sui diritti e le libertà degli interessati. È, difatti, indispensabile tenere conto della crescente incidenza delle tecnologie sulla vita dei cittadini e sulle relazioni intersoggettive[9]. Il sistema su cui si è pronunciato il Garante è incentrato su un data model distribuito e un’architettura semi-centralizzata di exposure notification in cui l’accertamento dello stato di salute viene effettuato a livello centrale, ma il matching tra i dati pseudonimi dei dispositivi viene effettuato a posteriori sui dispositivi stessi. Benché sia stata recuperata in ritardo la strumentazione costituzionale, il conflitto tra riservatezza e sanità pubblica è stato nel decreto citato già risolto dal legislatore emergenziale a favore del secondo, che all’art. 6 comma 2 dello stesso d.l. ha richiesto al Ministero la Valutazione di impatto da tenere costantemente aggiornata e da sottoporre al Garante.
- Il placet del Garante e i suoi caveat
Al Garante è stato affidato il compito di verificare se le misure adottate o adottande dal Ministero siano o saranno idonee a ridurre al minimo i rischi per i diritti e le libertà degli interessati. Il d.l. 28/2020 all’art 6, co. 2 elenca solo in linea di principio le condizioni ovvero le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, alle quali ha ritenuto l’interesse pubblico prevalente. In altre parole, è stato richiesto al Ministero della Salute a) il rispetto del principio di trasparenza imposto dagli artt. 13 e 14 del Regolamento UE 2017/679; b) il rispetto del principio di privacy by default e di necessità per agevolare l’eventuale adozione di misure di assistenza sanitaria; c) l’anonimizzazione o pseudonimizzazione dei dati; d) la garanzia su base permanente della riservatezza, integrità, disponibilità e resilienza dei sistemi; e) la definizione di un periodo di conservazione dei dati strettamente necessario al perseguimento dello scopo e f) modalità agevoli di esercizio dei diritti dell’interessato.
Il Garante, dal suo canto, nel provvedimento autorizzativo con riferimento alle condizioni sub a)-d) non si è dispensato dal rilevare alcune criticità del sistema di tracciamento, per sanare[10] le quali ha prescritto al Ministero una serie di misure correttive.
Nell’economia delle presenti note, rinviando nel merito al più specifico contenuto delle argomentazioni svolte dal Garante[11], elencheremo soltanto i dodici caveat su trasparenza e sicurezza informativa rispetto ai quali il Garante ha chiesto di conoscere le iniziative intraprese dal Ministero della Salute entro 30 giorni successivi al provvedimento e i maggiori rischi per gli interessati individuati dal Garante.
Il Garante ha precisato che in ragione dell’esigenza di avviare il Sistema di allerta Covid-19, il trattamento di dati personali effettuato nell’ambito di tale Sistema “può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati attenuandone i rischi derivanti dal trattamento”. Ha poi aggiunto una serie di prescrizioni volte a rafforzare le garanzie nei confronti dei soggetti i cui dati siano trattati nell’ambito del sistema di allerta Covid 19, che – secondo il Garante – si sarebbero potute adottare nel corso della sperimentazione del Sistema, in modo da garantire in fase attuativa il superamento di ogni residua criticità. In particolare, l’Autorità di Controllo ha richiesto di:
- indicare l’algoritmo, basato su criteri epidemiologici di rischio e modelli probabilistici, aggiornandolo costantemente, specificando i parametri di configurazione impiegati e le assunzioni effettuate, rendendolo disponibile alla comunità scientifica;
- informare adeguatamente gli utenti in ordine alla possibilità che l’app generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio;
- consentire agli utenti dell’app di disattivarla temporaneamente attraverso una funzione facilmente accessibile nella schermata principale, informando di tale facoltà attraverso le infografiche;
- individuare modalità adeguate a proteggere gli analytics nel backend di Immuni, evitandone ogni forma di riassociazione a soggetti identificabili, adottando altresì idonee misure di sicurezza e tecniche di anonimizzazione;
- precisare, nel modello di informativa, la descrizione delle operazioni effettuate con riferimento agli analytics di tipo Epidemiological Info e dei dati personali raccolti in relazione alle diverse categorie di interessati;
- dedicare particolare attenzione all’informativa e al messaggio di allerta tenendo conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultra quattordicenni;
- fornire adeguate informazioni agli utenti in relazione alle caratteristiche della fase di sperimentazione;
- integrare la valutazione d’impatto e l’informativa in relazione alle modalità di esercizio del diritto di cancellazione e di opposizione;
- integrare, sulla base del principio di responsabilizzazione, la valutazione d’impatto con la descrizione del ruolo e delle operazioni ascrivibili ad altri soggetti lì citati o suscettibili, comunque, di coinvolgimento nel Sistema Immuni;
- commisurare i tempi di conservazione degli indirizzi IP, per i fini e nei termini richiamati, nella misura strettamente necessaria al rilevamento di anomalie e di attacchi;
- introdurre misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati;
- adottare misure tecniche e organizzative per mitigare i rischi derivanti dall’upload di TEK (Temporary Exposure Key) non riferite a soggetti positivi a seguito di eventuali errori materiali o diagnostici;
Ciascuno di questi caveat richiederebbe un esame approfondito, tuttavia ci limiteremo a osservare che se il compito dell’Autorità di controllo è quello di verificare ex ante la misura della compensazione tra rischi per le libertà fondamentali e garanzie adottate dal Ministero, sulla base dei parametri di legittimità offerti dal Regolamento e dal d.l. 28/2020, già le dodici censure sarebbero bastate per dare un esito diverso al provvedimento.
A ciò si aggiungano i rischi di re-identificazione degli interessati. In particolare, lo stesso Garante ha precisato[12] che occorre considerare il rischio di re-identificazione di quei soggetti che abbiano dichiarato al sistema la propria positività conferendo i propri identificatori noti come Temporary Exposure Key (“TEK”). I dati pseudonimi diffusi in radiofrequenza di breve periodo potrebbero essere letti da terzi malintenzionati, associati ai TEK messi in rete da Immuni per permettere l’incrocio con i dati registrati dagli smartphone, e allertare i soggetti a rischio. Potrebbero, inoltre, esserci attacchi di re-identificazione attraverso comportamenti maliziosi di malware[13] e app che potrebbero acquisire i dati utilizzati da Immuni e diffonderli, “alimentando così raccolte su larga scala di pseudonimi che consentano la ricerca di corrispondenze utili a ricostruire, per esempio, spostamenti delle persone, oppure a individuare gli pseudonimi dei soggetti positivi[14]”.
E ancora, in taluni contesti possono verificarsi degli attacchi particolari, denominati “Paparazzi attack” che permettono di captare i dati pseudonimi presso il luogo di dimora o di lavoro di soggetti particolari e di etichettarli con dati identificativi allo scopo di alimentare un database di soggetti che permette a chi ha scaricato le TEK (Temporary Exposure Key) di calcolare i contatti associati e di utilizzare i risultati per la ricerca delle corrispondenze nel database e quindi di individuare i soggetti positivi.
Tutti questi rischi si riferiscono alla loro fonte e cioè alla sola possibilità di re-identificazione dell’interessato e non prendono in esame le libertà e i diritti fondamentali che ne sarebbero impattati.
Ad ogni modo, il Garante ha ritenuto il trattamento proporzionato allo scopo e ha così dispensato il Ministero della Salute dal divieto di trattare dati personali e particolari, pur in attesa delle implementazioni richieste.
4.1. Quali considerazioni mancate?
Da una lettura sistematica dei principi del Regolamento, del d. lgs. 196/2003 e delle condizioni poste dall’art. 6 del d.l. 28/2020 nonché dal Necessity Toolkit[15] dell’European Data Protection Supervisor si evince un postulato: la misura della limitazione delle libertà fondamentali deve essere necessaria e proporzionata allo scopo che è quello di allertare e tutelare la salute degli interessati, agevolando l’eventuale adozione di misure di assistenza e prevenzione.
La struttura base per l’analisi giuridica della giustificabilità delle interferenze con i diritti fondamentali deve fondarsi, secondo il Necessity Toolkit, sulla verifica del rispetto del principio di necessità e proporzionalità. Il focus principale deve essere se la ragione dell’interferenza è sufficientemente forte da giustificare l’interferenza stessa e il successivo è se le misure scelte siano adeguate al raggiungimento dell’obiettivo, cioè se è probabile che questi mezzi raggiungano lo scopo in misura significativa; e infine se lo scopo sia perseguibile con mezzi che impattino in misura minore sui diritti fondamentali. Per essere lecita, qualsiasi limitazione all'esercizio dei diritti fondamentali tutelati dalla Carta di Nizza, oltre a essere prevista dalla legge e rispettare l'essenza dei diritti, deve essere necessaria e proporzionata[16]. Se all’esito del test l’Autorità dovesse ritenere la limitazione irragionevole in quanto non necessaria e sproporzionata è suo compito negare l’autorizzazione al trattamento e non autorizzare a condizione, soprattutto se quelle condizioni non sono state precipuamente individuate dal soggetto geneticamente deputato (d.l. 28/2020).
Il Garante dà per scontate le finalità di allerta e di tutela della salute e, pur riconoscendo espressamente la possibilità che siano adottate dal sistema misure di cura, non si interroga – al fine di valutare l’idoneità delle misure a raggiungere lo scopo - né sul contenuto delle stesse né su chi potrà beneficiarne scaricando l’app “volontaria”, anche al fine di verificare i possibili pregiudizi per gli interessati o gli esclusi dal trattamento.
Non prende in considerazione, per esempio, il fatto che l’applicazione Immuni non è scaricabile su dispositivi Huawei e Honor perché sprovvisti del PlayStore di Google né sugli iPhone più datati per i quali Apple non ha reso disponibili gli ultimi aggiornamenti del suo sistema operativo iOs, né se le misure di allerta saranno – anche in futuro - associate a esami diagnostici.
Sia consentito riportare, a questo punto, l’attenzione proprio sulle due componenti del sistema di tracciamento che sarebbe stato utile sottoporre al test: a) la volontarietà e b) la prossimità.
- Il corollario della volontarietà – secondo il Garante – garantirebbe che le persone che non vogliano utilizzare l’applicazione non ne subiscano pregiudizio e che sia assicurato in ogni caso – come previsto dallo stesso art. 6, co. 3 del d.l. 28/2020 – il rispetto del principio di parità del trattamento. Tuttavia, se all’app dovessero essere associate misure di cura, il rischio di un grave pregiudizio è concreto. Questa componente volontaristica risulta evanescente e contraddittoria: 1) perché la base giuridica di un trattamento di questo tenore può non essere il consenso. Si vuole qui sottolineare l’importanza del principio di responsabilizzazione del titolare in luogo di quello del consenso dell’interessato che avrebbe potuto dettare una scelta diversa; 2) perché da una lettura sistematica delle fonti dell’ordinamento per il positivo che ha scaricato l’app e per il soggetto allertato vi è l’obbligo rispettivamente di notificare la propria positività o di comunicare all’ASL il rischio contagio; 3) se a chi scaricherà l’app dovesse essere effettuato un tampone, in caso di alert, il corollario della garanzia dell’assenza di pregiudizio collegato alla volontarietà crollerebbe vertiginosamente.
- Il dato della prossimità non è indicativo della reale esposizione al rischio, poiché tale probabilità che utilizza la tecnologia Bluetooth varia anche in funzione di altri parametri non registrati dall’app, come l’essere all’aperto, con o senza dispositivi di protezione o di spalle[17]. Il fatto che il sistema sia suscettibile di produrre casi di “falsi positivi sanitari” e “falsi negativi” e quindi dati inesatti porta con sé una serie di criticità ulteriori legate al valore della qualità dei dati che annacqua lo scopo. La garanzia della qualità di cui alla lett. d) dell’art. 6, comma 2 del d.l. 28/2020 e dell’art. 5, par. 1 lett. d) del Regolamento (UE) 2016/679 pone in capo al Titolare il vincolo di verificare l’esattezza e l’aggiornamento del dato prima di utilizzarlo, allo scopo di “garantire la sicurezza dei trattamenti e mettere al riparo gli utenti dai rischi che possono derivare da comportamenti delle macchine basati su una cattiva qualità dei dati utilizzati[18]”. Secondo quanto riportato dal Ministero è rimesso agli interessati comportarsi da boni cives. Nessun obbligo di notifica o di quarantena è imposto agli allertati.
Quindi con riferimento ad a) il diritto fondamentale alla salute di cui all’art. 32 della Cost. - nel caso l’eventuale misura di sanità pubblica sia un piano di somministrazione dei tamponi o dei test sierologici alla popolazione – dovrebbe fare i conti con i limiti tecnici del sistema costruito dal Ministero della Salute. Questo non permetterebbe che l’esercizio del diritto sia garantito a tutta la popolazione, ma lo tradurrebbe in un privilegio per chi ha uno smartphone, di una determinata marca, di un determinato modello - più caro e di più recente fabbricazione sul mercato – e quindi presumibilmente lo assicurerebbe a chi appartiene a uno status sociale più agiato.
Con riferimento a b) in assenza di misure diagnostiche collegate, l’allertato rischia di vedersi compresse le sue libertà personali irragionevolmente per un errore di esattezza del dato. Allora è alto il rischio di una violazione di dati personali sotto il profilo dell’integrità[19]. Infatti, da una parte è il principio del neminem laedere di cui all’art. 2043 c.c. e il principio di solidarietà di cui all’art. 2 e 41 Cost. a obbligarci a non ledere ingiustificatamente l’interesse altrui; dall’altra ci risulta che chi decide di seguire la procedura suggerita dal Ministero e quindi si metterà in contatto con l’ASL sarà posto in isolamento forzato. Anche la disciplina lavoristica[20] impone al soggetto reso edotto di un rischio di salute il divieto di accesso al luogo di lavoro. Per questi motivi, non può escludersi per il positivo o per l’allertato un obbligo di rendere nota la sua contagiosità, stante anche il danno da contagio, la cui responsabilità civile è già nota ai malati di HIV. A ciò si aggiunga l’imputazione ex art. 650 c.p. di lesioni personali e di omicidio volontario, anche solo nella forma tentata[21]. Il Ministero, allora, non avrebbe fornito informazioni corrette sull’utilizzo dell’applicativo in contrasto con l’art. 6, co. 2 lett. a) del d.l. 28/2020. In capo al soggetto ci sarebbero degli obblighi ben precisi, volontaria sarebbe solo la decisione – per chi può – di scaricare l’app o meno.
Tralasciamo in questa sede le valutazioni sulla mancanza di interoperabilità del Sistema con altre app su un piano europeo per guardare invece alla best practise dell’autorità norvegese che invece quel Necessityt Toolkit l’ha utilizzato. Il Garante norvegese Datatilsynet, a valle del ricorso ai test di necessità e proporzionalità, ha richiesto all'Istituto di Sanità Pubblica di interrompere la raccolta dei dati tramite l’app “Smittestopp” perché troppo invasiva in un momento in cui i tassi di infezione erano rallentati, e ha richiesto la cancellazione immediata dei dati raccolti, statuendo che la liceità del trattamento tramite “Smittestopp” dipende dai benefici sociali[22]. L’autorità norvegese ha infatti sostenuto che quel trattamento inizialmente proporzionato e necessario, non lo era più, considerata la riduzione dei tassi di diffusione del virus.
Dunque, se i dati personali devono essere trattati soltanto quando la finalità perseguita con quel preciso trattamento non possa essere raggiunta ragionevolmente con altri mezzi e soltanto nei limiti di quanto risulti indispensabile in vista di tali finalità, l’app Immuni non supererebbe il test[23]. Infatti, se lo scopo dell’app è tutelare la salute dei cittadini è chiaro che una notifica non è sufficiente: lo sarebbe sicuramente se, oltre ad essere obbligatoria fosse collegata a un piano di intervento che prevedesse la somministrazione dei tamponi e dettasse in modo chiaro le regole da seguire obbligatoriamente. E soprattutto se coprisse tutta la popolazione residente.
Se il sistema, inoltre, fosse diventato una sorta di prova generale per eventuali nuove ondate, a fortiori il test di proporzionalità non sarebbe superato e la contrazione dei diritti fondamentali sarebbe ingiustificata.
Ne deriva che più che una valutazione relativa ai diversi diritti fondamentali in gioco per giustificare la compressione della tutela della riservatezza, il nostro Garante abbia contribuito piuttosto alla creazione di nuovo diritto individuando ulteriori e nuove misure normative che però acconsentirebbero – in attesa della future implementazioni - alle limitazioni dei diritti e degli interessi fondamentali dell’interessato, a vantaggio del Titolare.
Conclusioni
All’Autorità di Controllo - organismo privo del carattere della rappresentatività popolare - non appartiene il potere di derogare alla normativa di tutela dei dati personali né quello di condizionare la sua attuazione a misure individuate motu proprio, né di autorizzare con i suoi provvedimenti una violazione delle norme del Regolamento (UE) 2016/679. Se così fosse il Garante si sarebbe fatto legislatore della consistenza reciproca degli interessi, stabilendo l’estremo confine della riservatezza e individuando il rattoppo utile a ritenerla sufficientemente protetta, diventando in via di fatto l’arbitro del bilanciamento degli interessi in gioco.
Indossando la veste amministrativa, infatti, l’Autorità eserciterebbe funzioni para-legislative.
Va sottolineato che l’art. 9 del Regolamento (UE) 2016/679 prevede obbligatoriamente che tale valutazione e la regolazione integrativa di garanzie e tutele adeguate debba essere fatta dal regolatore europeo o nazionale, proprio perché l’organo deputato a trovare il corretto punto di equilibrio fra i diversi diritti in tensione è il Parlamento. Dunque, questa funzione dell’Autorità in veste di regolatore atta a consentire o condizionare “restrizioni” dell’applicazione delle regole generali del Regolamento (UE) 2016/679 non è costituzionalmente compatibile con le garanzie dello Stato di diritto né lo è con la normativa europea.
Dal suo canto, la Valutazione di impatto per come era stata disegnata dal legislatore europeo non raggiunge il risultato sperato: da una parte perché non ci è dato conoscerne il suo contenuto se non attraverso l’autorizzazione del Garante, dall’altra, “se l’analisi viene confortata anche dal placet del Garante, essa finisce per consegnare una semi-immunità giuridica al suo autore”[24]. Inoltre, essa sottrae il Titolare a ulteriori responsabilità rilevanti per il diritto amministrativo; lo “esonera cioè da sanzioni amministrative verso il soggetto pubblico, ma lascia impregiudicata la sua responsabilità per lesione dei diritti delle persone, se lesione vi sia stata”[25].
Questa raccolta massiva di dati pseudonimi in grado di re-identificare l’interessato – secondo i parametri pubblicistici della utilità sociale d’impresa - non dovrebbe essere trattata come una qualsiasi attività d’impresa perché la pericolosità dell’operazione dipenderebbe oltre che dalla natura stessa dell’attività, anche dagli esiti rischiosi sulle libertà dei singoli e della collettività; mentre il diritto violato sarebbe nel creare discriminazioni o limitazioni eccessive delle libertà: si pensi al soggetto che per ragioni economiche non dispone dello smartphone che permette di scaricare l’app - e che in ragione di questa diversa distribuzione di ricchezza si vedesse negare misure diagnostiche essenziali. Si pensi ancora alle limitazioni della libertà personale solo per chi ha raccolto l’invito del Ministero e si è rivolto al medico vedendosi imposto l’autoisolamento forzato dall’ASL, in assenza di un tampone che verifichi la presunta positività. Quale sarebbe la responsabilità del Titolare?
È evidente la pericolosità di un potere normativo sotto mentite spoglie autorizzative che anziché provvedere in via di controllo preventivo dispone per l’avvenire il “punto di equilibrio tra la tutela dei dati personali e quella di altri diritti della persona, parimenti fondamentali, che potrebbero essere compromessi dal doveroso e integrale rispetto delle norme di protezione dei dati personali”[26].
[1] Garante per la protezione dei dati personali, provvedimento di autorizzazione n. 95/2020, in https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9356568. Si noti che il Garante si era già pronunciato con parere n. 79 del 29 aprile 2020 sulla proposta normativa per il tracciamento dei contatti mediante applicazione su dispositivi di telefonia mobile.
[2] I criteri per individuare rischi e rimedi sono riportati nelle Linee Guida del Comitato Europeo per la protezione dei dati, Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679, 4 aprile 2017, in https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236.
[3] F. Pizzetti, Gdpr, Pizzetti: “Ecco tutte le risposte che aspettiamo (subito) dal Garante Privacy”, in https://www.agendadigitale.eu/sicurezza/privacy/gdpr-pizzetti-ecco-tutte-le-risposte-che-aspettiamo-subito-dal-garante-privacy/ , 18 settembre 2018.
[4] Sulle autorizzazioni generali del Garante: G. De Minico, Regole, comando e consenso, Giappichelli, Torino, 2004, p.44 ss.; M. Capparoni, Note sulle autorizzazioni generali al trattamento di dati particolari emanate dal Garante per la protezione dei dati personali, in Dir. Soc., 2000, p. 425.
[5] G. De Minico, Big Data e la debole resistenza delle categorie giuridiche. Privacy e lex mercatoria, in Pol. Dir, 1/2019, p. 96 ss.
[6] G. De Minico, Virus e algoritmi. Impariamo da un’esperienza dolorosa, 3 aprile 2020, in http://temi.repubblica.it/micromega-online/virus-e-algoritmi-impariamo-da-un%E2%80%99esperienza-dolorosa/
[7] Ibidem.
[8] European Data Protection Board, Linee Guida 4/2020 sull’utilizzo dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19, 21 aprile 2020, in https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_it.pdf.
[9] M. Orefice, L’App Immuni: salute privacy e trasparenza, in Atti del Convegno del 4 e 5 maggio 2020, in http://www.giurcost.org/; in corso di pubblicazione.
[10] Il Garante ha suggerito di adottare le misure prescritte nel corso della sperimentazione del Sistema nelle quattro regioni Puglia, Abruzzo, Marche e Liguria, così da garantire che in fase attuativa ogni residua criticità fosse risolta.
[11] Garante per la protezione dei dati personali, cit., p. 5 ss.
[12] Garante per la protezione dei dati personali, Nota sugli aspetti tecnologici dell’app, consultabile al link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9357972, p. 6.
[13] Garante per la protezione dei dati personali, ibidem.
[14] Garante per la protezione dei dati personali, ibidem, cit.
[15] European Data Protection Supervisor, Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit, 11 aprile 2017, in https://edps.europa.eu/sites/edp/files/publication/17-04-11_necessity_toolkit_en_0.pdf; Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, 19 dicembre 2019, in https://edps.europa.eu/sites/edp/files/publication/19-12-19_edps_proportionality_guidelines2_en.pdf.
[16] S. Guida - D. Tozzi, La valutazione della proporzionalità delle misure che limitano i diritti fondamentali della privacy nelle nuove linee guida del garante europeo della protezione dei dati, in http://www.ejplt.tatodpr.eu/Article/Archive/index_html?ida=185&idn=6&idi=-1&idu=-1.
[17] WHO, Digital tools for Covid-19 contact tracing, 2 giugno 2020, in https://www.who.int/publications/i/item/WHO-2019-nCoV-Contact_Tracing-Tools_Annex-2020.1.
[18] F. Pizzetti, Intelligenza Artificiale, protezione dei dati personali e regolazione, Giappichelli, Torino, 2018, XX.
[19] Garante per la protezione dei dati personali, provvedimento di autorizzazione n. 95/2020, cit., par. 7.3, lett. c).
[20] Cfr. con il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” e l’art. 20 del d.lgs. n. 81/2008. In dottrina F. Sarzana, App Immuni: obbligo di quarantena e divieto di accedere al luogo di lavoro per chi riceve l’alert, 8 giugno 2020, in https://fulviosarzana.nova100.ilsole24ore.com/2020/06/08/app-immuni-obbligo-di-quarantena-e-divieto-di-accedere-al-luogo-di-lavoro-per-chi-riceve-lalert/.
[21] P. Giammaria, La responsabilità civile da contagio da Covid-19, tra codice civile e costituzione, in Il Quotidiano Giuridico, 28 aprile 2020.
[22] S. Treloar, Norway Halts Coronavirus Tracking App Over Privacy Concerns, 15 giugno 2020, in https://www.bloomberg.com/news/articles/2020-06-15/norway-halts-coronavirus-tracking-app-over-privacy-concerns.
[23] Esso richiede di considerare: a) il contesto di riferimento, b) i diritti in gioco, c) l’obiettivo che si intende raggiungere e d) la scelta della soluzione meno invasiva tra quelle possibili. Dunque, quanto ad a) il contesto di riferimento è la fase tre della pandemia che ha già visto calare il tasso dei contagi; b) i diritti in gioco sono di pari rango costituzionale: privacy e salute pubblica, in particolare il secondo, a vantaggio del quale pende il bilanciamento, non sortisce l’effetto sperato perché l’obiettivo – in assenza di misure diagnostiche - non è conseguito. In riferimento a c), sicuramente la scelta del contact tracing con tutti i rischi che comporta non è la soluzione meno invasiva. Se supponessimo il test soddisfatto, neanche quello di proporzionalità sarebbe soddisfatto. Affinché una misura rispetti il principio di proporzionalità, i vantaggi derivanti dalla misura non dovrebbero essere compensati dagli svantaggi che la misura comporta rispetto all'esercizio dei diritti fondamentali. Il test prevede la valutazione dei seguenti ulteriori parametri: a) idoneità della misura a raggiungere lo scopo; b) estensione e l’intensità dell’interferenza; c) bilanciamento tra obiettivo e interferenza e d) previsione di modifiche al sistema nel caso in cui il test non dia esito positivo.
[24]G. De Minico, Big Data e la debole resistenza delle categorie giuridiche. Privacy e lex mercatoria, in Pol. Dir, 1/2019, p. 96, cit.
[25] Ivi, 97, cit.
[26] F. Pizzetti, Pandemia, Immuni e app di tracciamento tra GDPR ed evoluzione del ruolo dei Garanti, in http://www.medialaws.eu/pandemia-immuni-e-app-di-tracciamento-tra-gdpr-ed-evoluzione-del-ruolo-dei-garanti/, 29 giugno 2020, cit..