emergenza e diritti

Coronovirus e sorveglianza via app: i passi necessari per evitare derive pericolose

Il nostro Governo sta cercando di fare ciò che si può per contenere il dilagare del Covid-19. Ma l’introduzione di un sistema di monitoraggio tramite geolocalizzazione degli smartphone va ponderata con massima attenzione per evitare pericoli di sorveglianza e discriminazione. Vediamo quali sono i prossimi passi necessari

24 Mar 2020
Massimiliano Nicotra

avvocato Senior Partner Qubit Law Firm

covid19

Sempre più in questi giorni si discute di introdurre anche in Italia sistemi che consentano il monitoraggio degli spostamenti delle persone, tramite app o sulla base dei dati di carico delle celle della rete cellulare, al fine di contrastare la diffusione del virus che colpisce gravemente il nostro Paese.

Oggi sul sito del ministero per l’innovazione esce una call, con scadenza giovedì, per ” tecnologie e soluzioni per ​il tracciamento continuo, l’alerting e il controllo tempestivo​ del livello di esposizione al rischio delle persone e conseguentemente dell’evoluzione dell’epidemia sul territorio. Rientrano in questo ambito strumenti di analisi di Big Data, tecnologie hardware e software utili per la gestione dell’emergenza sanitaria”.

Ciò sulla scorta di quanto fatto in altri Paesi asiatici (Cina, Corea e Singapore) che vengono portati a modelli di esempio.

Chiariamo allora di seguito l’impianto normativo che oggi regola la possibilità di introdurre delle deroghe ai diritti, libertà ed adempimenti stabiliti dalla normativa europea e nazionale in tema di protezione dei dati personali, anche per non farsi illudere da facili entusiasmi e volontà di emulazione di Paesi con tradizioni giuridiche – e, direi, anche regimi di governo – ben differenti dai nostri, e passiamo poi a riassumere quelli che sono i passi necessari che il nostro Paese dovrebbe compiere per procedere ad un sistema di monitoraggio sul territorio tramite i dati di geolocalizzazione dei possessori di smartphone.

Geolocalizzazione, i paletti del Gdpr e del Codice privacy

Com’è noto, tali sistemi, che implicano un monitoraggio sistematico mediante strumenti di comunicazione elettronica, ricadrebbero pienamente nelle previsioni del Regolamento (UE) n. 679/2016, il GDPR, nonché delle previsioni del nostro “Codice Privacy”.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Il 16 marzo scorso sul punto è intervenuto un comunicato dell’European Data Protection Board che ha chiarito le basi giuridiche che giustificano il trattamento dei dati personali per i datori di lavoro e per le pubbliche autorità in un contesto quale quello che stiamo vivendo (riferendosi agli artt. 6 e 9 del GDPR), ma ribadito la necessità, nel contesto delle comunicazioni elettroniche, di rispettare le previsioni della direttiva n. 58/2002 (che ancora non è stata sostituita dal Regolamento e-privacy). In particolare, il Comitato ha chiarito che in contesti eccezionali come quello che stiamo vivendo, l’art. 15 della direttiva citata consente agli Stati membri di adottare disposizioni legislative tese a limitare i diritti e gli obblighi stabiliti all’art. 5 (Riservatezza delle comunicazioni), all’art. 6 (Dati sul traffico), all’art. 8 (Identificazione linea chiamante) ed all’art. 9 (Dati di ubicazione diversi dai dati di traffico), purché ovviamente tale misura sia necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale.

Già dal comunicato, e dal richiamo all’art. 15 della direttiva, emergono alcuni vincoli quindi che devono essere rispettati.

Innanzitutto, ci sia permesso di evidenziarlo, l’EDPB ha dovuto fornire un’interpretazione estensiva del concetto di “sicurezza nazionale” (usualmente ricollegato non alla salute pubblica, che non è citata né all’art. 15 della direttiva e-privacy né all’art. 13, 1° paragrafo della “vecchia” direttiva privacy a cui l’articolo fa riferimento), ma appare evidente che tale interpretazione è più che giustificata dalla situazione attuale in cui il rischio di propagazione dell’epidemia può sicuramente costituire un pericolo per la sicurezza nazionale.

In secondo luogo, la direttiva fa riferimento all’introduzione di disposizioni legislative e precisa che la misura deve essere necessaria, opportuna e proporzionata all’interno di una società democratica.

E’ stata già ampiamente analizzata su queste pagine la previsione dell’art. 14 del Decreto Legge n. 14/2020, e, correttamente, si è evidenziato che in realtà le basi giuridiche per i trattamenti dei dati particolari, ed anche giudiziari, necessari per l’espletamento della “funzioni di Protezione Civile connessa all’insorgenza delle patologie derivanti da agenti virali trasmissibili” erano già da rinvenirsi nell’art. 9, par. 2, lett. g) h) ed i) del GDPR.

L’ipotesi però di un monitoraggio sistematico della popolazione, tramite app o comunque sfruttando i dati provenienti dalla rete cellulare, attiene ad un’altra sfera, in quanto si tratta sostanzialmente di trattamento di un diverso tipo di dato (quello di geolocalizzazione, disciplinato dall’art. 126 del d.l.vo n. 196/2003 sulla base delle previsioni della Direttiva e-Privacy) per esigenza di tutela della sicurezza nazionale.

Un trattamento del genere, pertanto, deve rispettare le previsioni che abbiamo sopra indicato, e, soprattutto, quanto stabilito dall’art. 23 del GDPR che costituisce la norma chiave per poter introdurre delle deroghe al diritto alla protezione dei dati personali.

Tale articolo, che trova le sue fondamenta sia nella vecchia direttiva privacy sia nell’art. 9 della Convenzione 108 del Consiglio d’Europa (nonché nell’art. 52 della Carta dei diritti fondamentali dell’Unione Europea) prevede specifiche condizioni per la limitazione dei diritti dell’interessato e la deroga di alcuni adempimenti da parte del titolare.

Innanzitutto, è bene sottolineare che la possibilità di derogare alle previsioni del GDPR (e della direttiva e-privacy) è riferita ai diritti ed obblighi previsti dall’art. 12 a 22 (e quindi, sostanzialmente, ai diritti riconosciuti all’interessato, quale il diritto a ricevere l’informativa, il diritto di accesso, di opposizione, oblio, etc.) nonché dall’obbligo stabilito all’art. 34 (ossia la comunicazione del cd. data breach). A queste deroghe si aggiunge, con un’infelice formulazione, la possibilità di derogare alle previsioni dell’art. 5 (che stabilisce i principi applicabili al trattamento).

Inoltre, l’art. 23 specifica che la limitazione – che deve comunque essere rispettosa dei diritti e delle libertà fondamentali – può essere attuata solamente mediante misure legislative ragione per cui non sembra possibile, nel nostro contesto, introdurre un simile meccanismo mediante un decreto della Presidenza del Consiglio dei ministri, ma sarà necessario un provvedimento di rango superiore.

La norma in questione stabilisce anche quale debba essere il contenuto delle disposizioni legislative che operano l’eventuale limitazione in commento.

Esse, infatti, devono almeno specificare:

  • le finalità del trattamento o le categorie di trattamento;
  • le categorie di dati personali;
  • la portata delle limitazioni introdotte;
  • le garanzie per prevenire abusi o l’accesso o il trasferimento illeciti;
  • l’indicazione precisa del titolare del trattamento o delle categorie di titolari;
  • i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento;
  • i rischi per i diritti e le libertà degli interessati;
  • il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa.

E’ bene evidenziare che il nostro legislatore si è avvalso della facoltà concessa dall’art. 23 del GDPR, in quanto con il d.l.vo n. 101/2018 ha introdotto nel nostro Codice Privacy gli artt. 2 undecies e 2 duodecies prevedendo limitazioni dei diritti dell’interessato in ambiti che però non sono quello che stiamo affrontando come Paese in questo momento.

I prossimi passi necessari

Innanzitutto, è necessario che venga adottato un provvedimento di rango legislativo che stabilisca in maniera precisa gli elementi previsti all’art. 23, comma 2 del GDPR, e quindi che circoscriva, a garanzia di tutte le persone fisiche coinvolte, tra l’altro le finalità di trattamento, i soggetti che possono accedere ai dati, i tempi di conservazione degli stessi.

In secondo luogo, è opportuno ricordare che la limitazione dei diritti ed obblighi attiene solamente ad alcuni di quelli previsti dal GDPR e non all’intera normativa.

Ciò significa che rimangono in vita le previsioni di cui all’art. 25, che richiede che il sistema sia progettato sin dall’inizio in maniera rispettosa dei principi del Regolamento, che devono essere assicurate le misure di sicurezza previste dall’art. 32, definiti i ruoli dei soggetti con l’adozione degli strumenti stabiliti dagli artt. 26 (Contitolari) e 28 /Responsabile del trattamento) e che in ogni caso è richiesta la valutazione di impatto sulla protezione dei dati (art. 35).

Si tratta di disposizioni che non sono derogabili ai sensi dell’art. 23 e che comunque devono essere attuate anche in casi eccezionali.

Conclusioni

In questo frangente appare necessaria una precisazione.

Il nostro Paese sta vivendo un momento terribile e chi scrive auspica e accoglie con favore tutti gli strumenti che possono essere messi in campo per cercare di contenere e prevenire la diffusione del virus.

Il diritto alla protezione dei dati personali è un diritto fondamentale, ma è anche, mi sia consentito il termine, un diritto “elastico”, a cui è stata data sin dall’inizio (dalla Convenzione 108 del 1981) la capacità di adattarsi in situazioni contingenti in cui altri diritti fondamentali quali il diritto alla vita ed il diritto alla salute sono minacciati.

La sua “elasticità”, però, non significa che esso possa venir meno del tutto, anche perché la storia (ed il presente) ci insegnano che l’introduzione di sistemi di monitoraggio di massa possono facilmente dar luogo a pericoli di sorveglianza e discriminazione.

È per tali motivi che le norme europee, e in primis la Carta dei diritti fondamentali dell’Unione Europea, comunque richiedono che qualsiasi limitazione sia rispettosa del contenuto essenziale dei diritti e delle libertà, secondo un necessario principio di proporzionalità della limitazione.

Ciò si riscontra proprio nell’impostazione del GDPR, che consente sì delle limitazioni, ma obbliga all’adozione di quegli accorgimenti (la sicurezza, i ruoli e la valutazione di impatto) che possono in ogni caso garantire comunque che i dati personali oggetti del trattamento siano “protetti”.

Il nostro Paese è in un momento difficile e il Governo sta cercando di fare ciò che si può in un frangente eccezionale e sconosciuto come questo.

Tra l’altro il “Decreto Cura Italia” ha previsto, all’art. 76, la costituzione di un apposito “Gruppo di supporto digitale” alla Presidenza del Consiglio dei ministri, che sicuramente potrà fornire la competenza e conoscenza necessaria a far sì che iniziative come quella di cui si discute siano adottate nel rispetto di quanto la nostra cultura e tradizione giuridica, anche europea, ha faticosamente guadagnato nel corso del nostro ultimo secolo di storia.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4