19 Marzo 2020
Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia COVID-19
Fonte:
Coronavirus: solo grazie alla privacy lo Stato può convincere i cittadini a farsi pedinare con una app
20 Marzo 2020
Tali informazioni sarebbero estremamente preziose per studiare la propagazione dei virus e possibilmente per contenere l’epidemia
BRUXELLES. Negli ultimi giorni si è parlato molto di geo-localizzazione e tracciamento degli individui al fine di contenere l’emergenza del corona-virus. Si tratterebbe di sviluppare delle app estremamente precise in grado di registrare il percorso di individui infetti, il loro stazionamento in determinati luoghi e l’interazione con altre persone. Tali informazioni sarebbero estremamente preziose per studiare la propagazione dei virus e possibilmente per contenere l’epidemia. Si è fatto riferimento ai casi di cui abbiamo già notizia in Cina, Corea del Sud, Singapore ed Israele, dove tecnologie del genere sono già state testate, apparentemente con un certo successo (benché ancora non possiamo ancora essere sicuri al 100% della loro efficacia). Ad ogni modo, questi casi sono stati oggetto di dibattito perché tutti comportano una forte compressione della privacy, benché in misura diversa da paese in paese (in ragione dei differenti sistemi politici e giuridici).
La privacy, appunto. Non appena si è parlato di tracciamento dei singoli individui, e non di semplice raccolta di dati anonimi ed aggregati, in molti sono saltati sulla sedia constatando le implicazioni di un tale trattamento con la privacy. Giustamente, sia lo European Data Protection Board che il Garante Privacy italiano sono intervenuti per rammentare i limiti entro cui l’uso di una tale tecnologia si può muovere. Sui media però il tema si è incanalato su di un binario sbagliato: il problema sembrerebbe consistere in una sorta di ipotetica negoziazione tra coloro che difendono la privacy e quelli che invece vogliono combattere l’epidemia. Messa in questi termini, e facendo della privacy solo un problema nella lotta contro il corona-virus, l’esito è scontato: il comune cittadino al bar non ci pensa due volte a rinunciare alla privacy, visto che lo fa già molto spesso navigando in Internet per futili motivi, figuriamoci se non potrà farne a meno di fronte ad una tragedia, come quella del corona-virus, enorme in termini di perdita di vite umane e di cataclisma economico. Chiunque suggerirebbe di rinunciare alla privacy in tale contesto, ed il discorso su come contemperare i vari interessi in gioco rischierebbe di essere visto come un surreale esercizio accademico, avulso dalla tragedia che stiamo vivendo.
Il discorso deve pertanto essere risettato completamente: la normativa sulla privacy è sì un limite all’operatività delle app sul tracciamento individuale delle persone, ma è anche e soprattutto l’unica chance per far sì che tali app funzionino effettivamente e ci aiutino a raggiungere lo scopo, e cioè a sconfiggere l’epidemia. Mi spiego meglio.
L’efficacia delle app sul tracciamento individuale è legata alla loro adozione volontaria e diligente da parte delle persone, non certo ad una imposizione per legge. In un paese come l’Italia (ma anche in qualsiasi altra democrazia) sarebbe inconcepibile pensare di obbligare le persone a scaricare una certa app e tenere con sé sempre il cellulare. Al di là delle criticità giuridiche di un tale obbligo, c’è proprio un problema di fatto, si tratterebbe di un qualcosa troppo difficile da imporre in concreto e tempestivamente (soprattutto all’inizio di un fenomeno epidemico). Un cellulare può essere condiviso, intestato a terzi, lasciato a casa, disattivato, dimenticato o gettato via intenzionalmente, ecc. Neanche una dittatura sarebbe grado di imporre il rispetto di una tale obbligo, ed infatti persino in Cina, per quanto riguarda la sorveglianza di massa, si propende di più per il riconoscimento facciale.
Come fare quindi a convincere le persone ad adottare tali app ed usarle diligentemente? Come detto poc’anzi, tutti noi saremmo idealmente disposti a sacrificare la riservatezza dei dati personali in vista della potenziale salvezza della salute nostra, dei nostri cari e di qualsiasi altro. Tuttavia, al momento pratico, quando ci viene chiesto di farci “pedinare”, sorgono delle legittime domande: come verranno effettivamente usati i miei dati? Potrebbero essere condivisi con terzi per usi diversi? Qualsiasi ufficio dello Stato potrebbe averne accesso per verificare dove mi trovavo? Potrei subire un danno, una multa, una perdita per l’utilizzo dei miei dati per scopi differenti dalla lotta all’epidemia? Sono domande legittime che qualsiasi cittadino, senza particolari scheletri nell’armadio, si porrebbe lecitamente. Volgarizzando un po’, siamo tutti disposti a sacrificare la riservatezza di fronte allo Stato purché si tratti dei dati personali di qualcun altro. Ed infatti, quando realizziamo cosa significhi il nostro tracciamento individuale, e cioè l’essere noi seguiti dappertutto dall’occhio invisibile della Protezione Civile, a quel punto il valore dei nostri dati personali appare più chiaro. Persino quando si tratti delle stesse informazioni che normalmente si regalano per fare test improbabili su Facebook o farsi rimbalzare su Tinder.
Le regole sulla privacy intervengono proprio in questa fase. E’ in virtù di questa normativa misteriosa ed apparentemente elitaria che i dati raccolti con l’app di geolocalizzazione, che così tanto raccontano della nostra vita personale, verrebbero “blindati”. Come si sono sforzate di spiegare le varie autorità della privacy, l’articolo 15 della Direttiva europea ePrivacy prevede, se sono in ballo la sicurezza nazionale e pubblica, che lo Stato si attribuisca per legge l’eccezionale potere di pedinarci, ma che allo stesso tempo siano fissate una serie di garanzie a tutela dei cittadini: l’uso dei dati in questione dovrebbe essere eccezionale, giustificato per quanto riguardo la tipologia dei dati prescelti, limitato nel tempo, circoscritto nello scopo, e rafforzato da una serie di misure tecnologiche a difesa della sicurezza dei dati stessi. Gli stessi dati dovrebbero essere distrutti alla fine del processo, od eventualmente anonimizzati. Lo Stato come Google, in altre parole.
Questo è il lato un po’ paradossale della vicenda. Da anni esiste un mercato, più o meno autorizzato, dei dati di geo-localizzazione. Con il tempo operatori mobili, produttori di cellulari, piattaforme e app hanno raccolto una inusitata quantità di informazioni che è stata accumulata nei server per creare guadagno, e non certo per occupare spazio nei microchip. Solo per quanto riguarda i dati di geo-localizzazione, le informazioni che gli operatori mobili hanno di noi sono piuttosto importanti, mentre tale livello di informativa diventa terrificante nel mondo online, giacché app e piattaforme possono essere molto più precise delle celle telefoniche, raccolgono dati più sofisticati e per lungo tempo si sono mosse in un regime meno regolamentato (e forse ancora oggi). In altre parole, alcune multinazionali ed i loro clienti sanno moltissimo di noi grazie semplicemente ai dati di localizzazione: se abbiamo un amante, se siamo vegani o carnivori, se frequentiamo sale bingo o night club, se siamo sportivi o facciamo solo finta di esserlo (come il sottoscritto). Ma tutto ciò non ci ha mai creato grande sconforto, perché siamo abituati a fidarci più delle varie Maps che dello Stato. Quando però ci viene il dubbio che qualche funzionario statale possa sapere dove ci troviamo durante la giornata, a quel punto riscopriamo il valore della privacy. Ma tant’è. Non è questo il vero problema da sconfiggere in tempi di pandemia, il problema è sconfiggere la pandemia stessa, e la normativa sulla privacy è il solo strumento con cui lo Stato possa ragionevolmente convincere i cittadini a farsi pedinare con una app.
Fonte: La Stampa – Esteri
“In uno stato di eccezione è lecito rinunciare a qualche libertà. Ma il nostro modello non potrà mai essere la Cina” – Intervista ad Antonello Soro
Parere sulle modalità di consegna della ricetta medica elettronica
Registro dei provvedimenti n. 58 del 19 marzo 2020
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito Regolamento);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);
CONSIDERATI i termini per il rilascio dei pareri di cui all’art. 36, par. 4 del Regolamento (art. 156, comma 5 del Codice e Regolamento del Garante n. 2/2019);
CONSIDERATA l’emergenza epidemiologica da COVID-19 con riferimento alla quale lo schema di decreto sottoposto al parere dell’Autorità prevede che, fino al perdurare dello stato di emergenza epidemiologica da COVID-19, per quanto concerne la ricetta dematerializzata di cui al decreto 2 novembre 2011, restano ferme le disposizioni definite dalle Ordinanze della Protezione Civile;
RITENUTO che le suddette ragioni di urgenza non permettono allo stato la convocazione in tempo utile del Collegio del Garante;
RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, il quale prevede che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno»;
VISTA la documentazione in atti;
PREMESSO
Con nota del 26 febbraio 2020 (prot. n. 31705), il Ministero dell’Economia e delle Finanze (Mef) ha trasmesso, ai sensi dell’art. 36, par. 4 del Regolamento, uno schema di decreto che modifica il d.m. 2 novembre 2011, estendendo la disciplina relativa alla dematerializzazione delle ricette mediche ad ulteriori categorie di prescrizioni.
Successivamente, con nota del 17 marzo 2020 (prot. n. 39766), il Ministero dell’Economia e delle Finanze ha trasmesso una nuova versione dello schema di decreto che apporta ulteriori modifiche al predetto decreto ministeriale del 2 novembre 2011 individuando i canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica, le cui modalità attuative saranno stabilite in un successivo decreto del medesimo Dicastero da adottarsi di concerto con il Ministero della salute, sentito il Garante.
Con riguardo alle disposizioni in materia di ricetta dematerializzata, nell’ultima versione dello schema di decreto inviata al Garante, il Mef, in ragione all’emergenza epidemiologica da COVID-19, ha disposto che, fino al perdurare del predetto stato di emergenza, sono valide le specifiche disposizioni definite dalle Ordinanze della Protezione Civile.
RILEVATO
La prima versione dello schema di decreto inviato al Garante prevede la modifica del decreto 2 novembre 2011, concernente la dematerializzazione delle ricette mediche, estendendo la prescrizione dematerializzata a tre nuove categorie di prescrizioni.
La versione dello schema di decreto in esame inviata il 17 marzo 2020 ha individuato anche i canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica (c.d. “promemoria dematerializzato”), le cui modalità attuative saranno stabilite in un successivo decreto dello stesso Dicastero, da adottare di concerto con il Ministero della salute, sentito il Garante. Tale ultima versione ha anche previsto che, fino al perdurare dello stato di emergenza epidemiologica da COVID-19, restano ferme le disposizioni definite dalle Ordinanze della Protezione Civile, concernenti la ricetta dematerializzata di cui al decreto 2 novembre 2011.
Le due versioni di schemi di decreto trasmesse all’Autorità sono state formulate anche sulla base dei rilievi e delle indicazioni fornite dall’Ufficio nel corso di alcune riunioni e interlocuzioni, aventi anche carattere d’urgenza, e tengono conto dell’attività tecnica condotta con le regioni, con il Ministero della salute, con l’Agenzia italiana del farmaco (Aifa) e con l’Agenzia per l’Italia digitale (Agid).
L’ultima versione dello schema di decreto trasmessa si compone di 3 articoli, relativi al quadro definitorio (art. 1), alle modifiche al richiamato decreto del 2 novembre 2011 (art. 2) e alle misure emergenziali per la ricetta dematerializzata (art. 3).
In particolare, l’art. 2 dello schema di decreto in esame apporta modifiche al d.m. 2 novembre 2011, estendendo la dematerializzazione della ricetta ai:
– farmaci con piano terapeutico Aifa, al fine di consentire alle Regioni l’esecuzione dei controlli finalizzati alla verifica del rispetto delle condizioni indicate nel piano terapeutico (art. 2 che introduce l’art. 1 -bis al d.m. 2 novembre 2011);
– farmaci distribuiti attraverso modalità diverse dal regime convenzionale (art. 2 che introduce l’art. 1 -ter al d.m. 2 novembre 2011);
– farmaci con ricetta medica limitativa (art. 2 che introduce l’art. 1 -quater al d.m. 2 novembre 2011).
Lo schema di decreto interviene inoltre sulle modalità di consegna all’assistito del “promemoria dematerializzato” da parte il medico prescrittore. L’art. 2 dello schema di decreto, introducendo l’art. 3-bis al d.m. 2 novembre 2011, consente, infatti, al medico prescrittore, al momento della generazione della ricetta elettronica, di rilasciare, su richiesta dell’assistito, il “promemoria dematerializzato” attraverso i seguenti canali:
– nel portale del Sistema di Accoglienza Centrale (SAC) (www.sistemats.it, anche tramite i sistemi di accoglienza regionali);
– nel Fascicolo Sanitario Elettronico, di cui all’art. 12 del decreto legge 179/2012;
– tramite posta elettronica;
– tramite short message service (SMS).
Con decreto del Ministero dell’Economia e delle Finanze, di concerto con il Ministero della salute, sentito il Garante, saranno individuate le modalità attuative dei suddetti canali.
A fronte dell’emergenza epidemiologica da COVID-19, il Ministero ha manifestato l’esigenza di individuare -nell’immediato- modalità alternative alla stampa del promemoria cartaceo della ricetta dematerializzata (c.d. “promemoria dematerializzato”) valide fino al termine dello stato di emergenza deliberato dal Consiglio dei Ministri in data 31 gennaio 2020. In tale contesto, nella versione dello schema di decreto inviata il 17 marzo 2020, è stato previsto, anche a seguito delle interlocuzioni d’urgenza con l’Ufficio del Garante, che, fino al perdurare dello stato di emergenza epidemiologica da COVID-19, con specifico riferimento alle disposizioni concernenti la ricetta dematerializzata di cui al decreto 2 novembre 2011, restano ferme le disposizioni definite dalle Ordinanze della Protezione Civile.
OSSERVA
La dematerializzazione della ricetta medica per le prescrizioni a carico del Servizio Sanitario Nazionale è stata introdotta con decreto del Ministero dell’Economia e delle Finanze del 2 novembre 2011. A disciplina vigente, il medico rilascia all’assistito il promemoria cartaceo della ricetta dematerializzata provvisto del Numero Ricetta Elettronica (NRE) e del codice di autenticazione dell’avvenuta transazione. Il predetto decreto prevede inoltre che “Su richiesta dell’assistito, tale promemoria può essere trasmesso tramite i canali alternativi di cui all’Allegato 1” (art. 1, comma 4). Il citato allegato, precisa che gli “ulteriori canali” “per la fruizione del promemoria da parte degli assistiti” saranno resi disponibili “attraverso il sito del Ministero dell’economia e delle finanze (www.sistemats.it)” (art. 4.1. Altri canali per la fruizione dei servizi, allegato 1 al decreto 2 novembre 2011).
Sebbene la normativa risalga al 2011, le suddette modalità alternative alla stampa del promemoria cartaceo non erano state ancora individuate.
Al riguardo l’Autorità, sin dal 2015 ha evidenziato al Ministero della salute che la mancata individuazione delle predette modalità alternative alla stampa del promemoria cartaceo ha determinato il diffondersi di iniziative autonome, da parte dei medici, molto differenziate sul territorio nazionale, che presentavano profili di criticità in merito alla sicurezza del trattamento dei dati relativi allo stato di salute degli assistiti dal Servizio Sanitario Nazionale (nota del 2 ottobre 2015, cfr. relazione annuale per le 2015, pag. 72). In tale contesto, l’Ufficio del Garante ha quindi sempre manifestato la propria disponibilità ad avviare un confronto con le amministrazioni deputate a intervenire in tale materia, al fine di garantire che il trattamento dei dati personali degli interessati avvenga nel rispetto della dignità e della riservatezza dell’interessato e con modalità uniformi sull’intero territorio nazionale.
Con lo schema di decreto in esame sono stati definiti i canali attraverso i quali effettuare la consegna del “promemoria dematerializzato” della ricetta elettronica all’assistito, rinviando a un successivo decreto dello stesso Dicastero, da adottarsi di concerto con il Ministero della salute e sentito il Garante, le modalità di rilascio del suddetto “promemoria dematerializzato” attraverso i predetti canali.
Sul punto, si condivide la scelta del Ministero di individuare, in un atto normativo concordato con il Ministero della salute, l’individuazione delle modalità di trasmissione all’assistito del “promemoria dematerializzato” della ricetta elettronica, che, con misure adeguate a tutela dei dati personali degli assistiti, siano valide su tutto il territorio nazionale e alle quali le regioni e le province autonome dovranno quindi adeguarsi.
Al riguardo, l’Ufficio, nel corso delle interlocuzioni con il Ministero, ha ribadito che non sussistono impedimenti legati alla protezione dei dati personali nell’individuazione delle predette modalità alternative alla consegna del promemoria cartaceo della ricetta elettronica, evidenziando la possibilità di prevedere canali digitali, alternativi alla stampa cartacea, rispettosi della disciplina in materia di trattamento dei dati sulla salute, come del resto già normativamente previsto in altri ambiti sanitari (cfr. decreto del Presidente del Consiglio dei Ministri del 8 agosto 2013 relativo alle Modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento online delle prestazioni erogate, su cui l’Autorità ha fornito il proprio parere il 6 dicembre 2012, doc. web n. 2223206; cfr. anche la disciplina sul Fascicolo sanitario elettronico, di cui all’art. 12, d.l. n. 179/2012).
Nel corso delle richiamate interlocuzioni con il Ministero dell’Economia e delle Finanze, l’Ufficio del Garante ha manifestato alcune perplessità in merito alla delimitazione, prevista in una prima versione dello schema di decreto in esame, delle modalità alternative al promemoria cartaceo alla sola consultazione del Fascicolo Sanitario Elettronico (FSE), attesa la non completa attuazione del Fascicolo sull’intero territorio nazionale e la attuale facoltatività di attivazione dello stesso da parte dell’interessato. Tali osservazioni sono state recepite dal predetto Dicastero che, nella versione dello schema di decreto in esame, ha infatti previsto la possibilità che siano individuati canali ulteriori, rispetto al FSE, per la consegna all’assistito del “promemoria dematerializzato” della ricetta elettronica.
Con specifico riferimento all’emergenza epidemiologica da COVID-19, l’Ufficio del Garante, considerate le previsioni governative relative alla necessità di evitare qualsiasi forma di assembramento che si potrebbe determinare anche nella permanenza nelle sale di attesa dei medici prescrittori, ha fornito la propria disponibilità, al fine di individuare, già nell’immediato e fino alla cessazione dello stato emergenziale, modalità alternative alla stampa del promemoria cartaceo della ricetta che siano prontamente e agevolmente applicabili.
In tal senso, nell’ambito di una proficua e immediata attività di collaborazione istituzionale con il Mef, è stato suggerito di considerare, come modalità di consegna all’interessato del “promemoria dematerializzato” della ricetta elettronica, oltre al FSE, le soluzioni tecniche già individuate nella disciplina sulle modalità di consegna digitale dei referti. In particolare, in relazione all’individuazione di tali canali alternativi alla stampa del promemoria cartaceo, è stato rappresentato che, nel caso di invio del “promemoria dematerializzato” della ricetta elettronica alla casella di posta elettronica indicata dall’assistito per tale servizio, analogamente a quanto previsto per l’invio dei referti, il promemoria deve essere spedito in forma di allegato al messaggio e non come testo compreso nel corpo dello stesso, deve essere protetto con tecniche di cifratura e deve essere accessibile tramite una credenziale consegnata separatamente all’interessato.
Con riferimento all’utilizzo dei servizi di short message service (sms) sul dispositivo indicato dall’interessato, è stato rappresentata la necessità che, attraverso tale modalità, sia inviato il solo numero di ricetta elettronica (NRE) e non anche le altre informazioni di dettaglio contenute nel promemoria.
Ciò stante, l’Autorità manifesta sin d’ora il proprio assenso laddove l’esecutivo ritenesse, nella fase di emergenza legata all’epidemia da COVID 19, di disporre, nell’immediato, anche attraverso disposizioni d’urgenza, canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica nei termini sopra riportati.
Si rappresenta, infine, che, nel corso delle interlocuzioni con il Mef, sono state formulate specifiche osservazioni anche con riferimento all’accesso da parte di Aifa, Ministero della salute e regioni ai dati personali indicati nei piani terapeutici elettronici (forme di pseudonimizzazione dei dati personali da stabilirsi previo parere del Garante- art. 2 dello schema di decreto che introduce l’art. 1-bis, comma 7 al d.m. 2 novembre 2011).
Ciò premesso, sullo schema di decreto in esame, che tiene conto delle indicazioni fornite dall’Ufficio, non vi sono rilievi da formulare, sotto il profilo della protezione dei dati personali.
TUTTO CIO’ PREMESSO IL GARANTE:
ai sensi degli artt. 36, par. 4 e 58, par. 3, lett. b) del Regolamento, esprime parere favorevole sullo schema di decreto del Ministero dell’economia e delle finanze da adottare di concerto con il Ministero della salute.
Roma, 19 marzo 2020
IL PRESIDENTE
Antonello Soro
Fonte: Garante Privacy
Coronavirus, la privacy può attendere: tutti sorvegliati
19 Marzo 2020
Il governo si affida alla tecnologia per tracciare il virus attraverso i cellulari. Gli esperti: “Va bene, purché gli utenti siano avvertiti” di Giovanni Rossi
Spaventato dal Coronavirus, il governo valuta nuovi strumenti per fermare i contagi. E dopo la lunga serie di decreti e Dpcm che hanno scandito queste settimane, ora pensa all’ipotesi di un contrattacco tecnologico. “In questa emergenza le telecomunicazioni possono aiutare la Protezione Civile, l’Istituto Superiore di Sanità, le Regioni. Siamo in grado di mettere a disposizione informazioni aggregate ricavate dai dati relativi alla mobilità dei clienti, garantendo il rispetto della normativa europea Gdpr”, spiega Asstel, l’associazione che riunisce gli operatori tlc.
Ma il governo pensa a strumenti di controllo più raffinati del mero esame delle celle telefoniche alla base dell’ultima strigliata ai cittadini lombardi per mobilità tuttora troppo elevata. Gli esempi internazionali vanno tutti in questa direzione: dalla Cina (che nell’emergenza sanitaria ha messo a frutto il controllo totale dei Big Data), agli Stati Uniti (dove l’amministrazione Trump sta discutendo con la Silicon Valley l’uso sistematico della geolocalizzazione), alla Corea del Sud, dove tutte le competenze tecnologiche del Paese sono state arruolate per frenare i contagi.
“In Corea del Sud – sottolinea Massimo Canducci, capo innovazione del gruppo Engineering – la questione è stata affrontata in modo molto pragmatico. Le immagini delle telecamere di sicurezza, le transazioni delle carte di credito, i dati di posizionamento rilevati da smartphone e automobili sono stati incrociati ed elaborati. Questo ha consentito di ridurre drasticamente le dimensioni del contagio identificando i cittadini potenzialmente infetti”.
Centinaia di sospetti positivi sono stati così rintracciati (e poi sottoposti a tampone), tuttavia al prezzo di un’anomizzazione dati tutt’altro che inappuntabile, con sgradevoli riflessi personali e sociali.
“Il fatto che una democrazia evoluta come la Corea del Sud abbia accettato questa sfida testimonia quanto l’emergenza Coronavirus stia lambendo il confine della privacy personale“, considera Giovanni Andrea Farina, fondatore di Itway, operativa nei settori dell’IT e della sicurezza informatica. Lo scenario epidemico potrebbe ispirare soluzioni forzate? “Le ipotesi di lavoro sono infinite ma necessitano tutte di una chiara esplicitazione – puntualizza Farina –. Ad esempio, non credo sarebbe uno scandalo il tracciamento degli smartphone per verificare il rispetto della quarantena nei soggetti positivi asintomatici. Poi una specifica App potrebbe verificare in diretta tutti i dati dei pazienti”.
Molte società stanno lavorando a soluzioni di questo tipo. Luca Foresti, ad del Centro medico Santagostino e partner di Ascolto onlus (che raccoglie fondi per la lotta al Covid-19), dichiara: “Stiamo effettuando gli ultimi test su una App da scaricare sui cellulari che permetterebbe alla Protezione civile di tracciare in tempo reale i movimenti delle persone positive, di avvertire chi è entrato in contatto con questi soggetti, di individuare sul nascere lo sviluppo di nuovi focolai e dettagliare geograficamente l’emergenza. Anonimato garantito“. Aspettando novità, il capo della Protezione civile Angelo Borrelli tira dritto: in questi casi “prevale sempre la salute pubblica”. “I diritti dei cittadini possono subire limitazioni anche incisive purché proporzionali a esigenze specifiche e temporalmente limitate”, conferma il Garante Privacy Antonello Soro. Big Data contro Coronavirus. Anche l’Italia ci prova.
Fonte: Quotidiano.net – Cronaca
Privacy e coronavirus, il Viminale preoccupato dal tracciamento cellulari della Lombardia
19 Marzo 2020
Uffici al lavoro per capire le conseguenze giuridiche: una volta aperta la strada chi impedirebbe di farlo anche ai piccoli comuni?
ROMA. Che la Regione Lombardia avesse chiesto ai gestori telefonici di tracciare gli spostamenti dei suoi cittadini, al ministero dell’Interno lo hanno scoperto leggendo i giornali. E sono rimasti sbalorditi. Primo perché, secondo i dati del movimento attraverso gli spostamenti dei cellulari, il 40% dei lombardi continua a muoversi. Secondo, perché quel tipo di controlli, da Grande Fratello, sono una prerogativa dell’autorità giudiziaria, non di un’autorità amministrativa. E se anche hanno poi visto i distinguo e le precisazioni della Giunta lombarda, e la sottolineatura che si è trattato di un esame di “big data”, con analisi quantitativa e anonima, al Viminale la sorpresa ugualmente s’è impastata con una certa irritazione. Perciò sono stati messi al lavoro gli uffici, sia per capire esattamente i termini di questo tracciamento che andrebbe avanti da qualche giorno, sia per valutare le possibili ricadute giuridiche.
Il tema non è banale. Spiegano fonti del Viminale che è stato creato un precedente che va valutato a fondo. «Oggi è stata la Lombardia, domani potrebbero muoversi tutti gli altri presidenti regionali. E se si permette questo tipo di accertamento a una Regione, perché non a un Comune? Di questo passo, si può arrivare anche a piccolissimi Comuni con poche centinaia di abitanti. E allora, anche senza nomi e cognomi, il tracciamento può essere davvero invasivo».
Forse era inevitabile che ci si arrivasse. Sui giornali è pieno di articoli sulla Cina o la Corea o Israele che utilizzano cellulari e app per tenere sotto controllo i propri cittadini. Giusto ieri, il presidente della Regione Veneto, Luca Zaia, diceva in un’intervista radiofonica: «Il tracciamento dei movimenti attraverso i cellulari per limitare la diffusione del coronavirus secondo me è un’ottima soluzione. Il problema è che siamo in un Paese nel quale la limitazione della privacy e di libertà personale sono evocate a ogni pie’ sospinto. Ma siamo in emergenza, e ci vuole un provvedimento che ci legittimi a fare tutte queste attività». Un intervento del Garante per la Privacy in effetti è dietro l’angolo e Zaia concludeva: «A noi hanno proposto dei software che sono stratosferici, però mi metto nei panni dei cittadini, e quindi bisogna che ci sia una legittimazione giuridica sennò poi va a finir male».
Lo stesso assessore lombardo Giulio Gallera, che in questi giorni è uno dei più esposti nella lotta al virus, e che ha avuto per primo sul tavolo il risultato del tracciamento, ha tenuto a precisare che «è un’applicazione che le grandi compagnie telefoniche hanno messo a disposizione per vedere in maniera aggregata e totalmente anonima il flusso delle persone, come si sono mosse all’interno della regione o fuori. Nessuno controlla come il Grande Fratello».
Fonte: La Stampa – Politica
Capire per conoscere 16 marzo 2020 di Andrea De Angelis – Intervista ad Antonello Soro
Tra privacy e salute
Intervista a Giuseppe Busia – SkyTG24
Coronavirus, come funzionano il controllo delle celle e il tracciamento dei contagi. Il Garante: “Non bisogna improvvisare”
Dalla Lombardia, che analizza gli spostamenti usando i dati di Vodafone e Tim, alla possibilità che vengano tracciati tutti i contatti dei malati di Covid-19
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Martina Pennisi, Il Corriere della Sera, 18 marzo 2019)
Perché si sta discutendo della possibilità di usare i dati dei nostri smartphone per contenere l’epidemia del virus Sars-Cov-2?
Dal 20 febbraio, giorno in cui siamo venuti a conoscenza del primo cittadino italiano malato di Covid-19, in Italia sono morte 2.978 persone con il virus Sars-Cov-2 e i contagiati hanno superato quota 35 mila (qui i dati aggiornati). Per questo motivo si sente parlare della possibilità di sfruttare la tecnologia per monitorare e provare a contenere l’epidemia. Lunedì l’Organizzazione Mondiale della Sanità ha caldeggiato qualcosa di simile auspicando test a tappeto, isolamento dei positivi e tracciamento dei loro contatti. Come si sono spostati e con chi sono venuti a contatto i malati, quindi.
Cosa sta facendo la Regione Lombardia?
Il vice presidente della Lombardia e assessore per la Ricerca Fabrizio Sala e l’assessore al Welfare Giulio Gallera hanno scoperchiato il vaso di Pandora martedì sera, annunciando di aver analizzato gli spostamenti “da cella a cella” dei telefoni cellulari per capire quanti abitanti si muovono sul territorio e come lo fanno (qui l’articolo di Cesare Giuzzi). Innanzitutto è bene premettere che si tratta di una versione light delle soluzioni più articolate e delicate che potrebbero venire adottate nei prossimi giorni o settimane. In questo caso, la Regione afferma di acquisire i dati anonimi e aggregati di Vodafone e Tim sul numero di telefonini che si agganciano alle antenne (qui Alessio Lana spiega come funziona): mentre ci muoviamo per continuare a funzionare il telefonino passa da una porzione di rete all’altra — le celle, appunto — e così i due operatori, prima, e la Regione, poi, sanno quante persone si sono spostate da un luogo a un altro e, per esempio, scoprono se in molti sono andati oltre le poche centinaia di metri concesse dal decreto (a queste condizioni, in continua evoluzione). Come spiega Sala al Corriere, “l’esperienza deriva da Expo e dall’analisi di flussi intorno e all’interno della fiera. Per Covid-19, abbiamo preso in considerazione il 20 febbraio, giorno del primo caso, e ci siamo resi conto che dopo il lockdown gli spostamenti sono calati solo del 60 per cento. Troppo poco”. Cosa vuol dire che le informazioni sono anonime e aggregate? “Sono dati secchi, numeri. Non abbiamo modo di risalire ai proprietari dei cellulari”, risponde Sala. Rimane il fatto che un primo canale di acquisizione e analisi dei dati delle società di telecomunicazioni per gestire Covid-19 sia stato aperto e che ne sia stata data comunicazione un mese dopo.
Cosa sta facendo il governo?
Qui inizia la parte delicata. Con il primo decreto sull’emergenza del 9 marzo, la Protezione civile ha già ottenuto una deroga per acquisire e trattare i dati biometrici che identificano in modo univoco una persona o quelli sulla salute. Quello del 17 marzo, Cura Italia, prevede la nomina di un “contingente di esperti” che si occupi “di dare concreta attuazione alle misure adottate per il contrasto e il contenimento del diffondersi del virus con particolare riferimento alle soluzioni di innovazione tecnologica”. Come anticipato da Wired Italia, sarà il ministero dell’Innovazione di Paola Pisano a occuparsi di questa task force, di cui faranno parte economisti ed esperti del tracciamento dei dati i cui nomi arriveranno con un decreto di nomina. Sul piatto verranno messi sia dati di fonti aperte, come la Protezione civile, sia di fonti dal mondo universitario. L’Università di Pavia, per esempio, che secondo Wired ha ottenuto da Facebook i dati sugli spostamenti da Nord a Sud nella notte del grande esodo, tra il 7 e l’8 marzo, dopo che il premier Giuseppe Conte ha annunciato la chiusura della Lombardia. Quindi: fonti aperte, dati anonimi e aggregati o dati che non escono dai dipartimenti degli atenei. Ancora diverso – ed ecco il punto – è il discorso del monitoraggio dei contatti dei casi positivi di cui parlavamo all’inizio: per attivarlo e andare a indagare sulla posizione e sugli spostamenti dei singoli cittadini e delle persone che incrociano, seppur ridistribuendoli anonimamente, servono regole e garanzie, come sottolineato anche dall’European Data Protection Board citando il Regolamento europeo per la privacy Gdpr, che consente il trattamento per finalità di sicurezza nazionale ma allo stesso tempo richiede una valutazione d’impatto e sulla sicurezza. Il governo non si è ancora sbilanciato. Nonostante questo sono numerose le dichiarazioni di aziende o startup (come quella raccolta da Elena Tebano) che stanno sviluppando applicazioni per tracciare i movimenti dei malati di Covid-19 ed eventualmente avvisare chi è entrato in contatto con loro. Anche Asstel, l’associazione di rappresentanza delle compagnie telefoniche, ha dato la sua disponibilità, ribadendo che serve un’indicazione dell’esecutivo.
Il modello della Corea del Sud
Il modello è quello della Corea del Sud, che ha puntato innanzitutto su test a tappeto (come vuole fare il Veneto di Zaia) e poi sull’uso della tecnologia con applicazioni mobili e attingendo a Gps o carte di credito per creare una mappa del contagio, utile anche per allertare le persone che potrebbero aver incrociato un infetto, di cui nessuno saprebbe nome e cognome (ma tutti saprebbero dove è stato e chi lo conosce potrebbe ricostruirlo). “La Corea ce l’ha fatta. Questa è una misura è un po’ lesiva della privacy e bisogna avere la certezza che il dato venga usato a fini di sanità pubblica, ma tracciare tutti i contatti dei positivi può aiutare a contenere il contagio, anche in questa condizione di semi reclusione in cui siamo. Si tratta di una misura eccezionale che dovrebbe essere svolta solo per un determinato periodo”, afferma Paolo Bonanni, ordinario di Igiene all’Università degli Studi di Firenze e componente della Società italiana di Igiene, medicina preventiva e sanità pubblica.
E la privacy?
Il Corriere ha chiesto al Garante per la privacy Antonello Soro di chiarire i punti più delicati.
Sul caso della Lombardia: “Non siamo stati informati dell’iniziativa della Lombardia e non la conosciamo, dunque, nei dettagli. Dalle notizie pubblicate sembrerebbe si tratti unicamente di dati aggregati e anonimi e ci riserviamo di verificarlo”. Sul tracciamento dei contagi anche in Italia: “L’acquisizione di trend, effettivamente anonimi, di mobilità potrebbe risultare una misura più facilmente percorribile, laddove, invece, si intendesse acquisire dati identificativi, sarebbe necessario prevedere adeguate garanzie, con una norma ad efficacia temporalmente limitata e conforme ai principi di proporzionalità, necessità, ragionevolezza. In tal senso, andrebbe effettuata un’analisi dell’effettiva idoneità della misura a conseguire risultati utili nell’azione di contrasto. Ad esempio, apparirebbe sproporzionata la geolocalizzazione di tutti i cittadini italiani, 24 ore su 24, non soltanto per la massività della misura ma anche e, forse, preliminarmente, perché non esiste un divieto assoluto di spostamento e dunque la mole di dati così acquisiti non avrebbe un’effettiva utilità. Diversa potrebbe essere, invece, la valutazione relativa alla geolocalizzazione, quale strumento di ricostruzione della catena epidemiologica. In ogni caso, è indispensabile una valutazione puntuale del progetto. Non è il tempo dell’approssimazione e della superficialità”.
Sulla possibilità che vengano coinvolte anche le piattaforme come Google o Facebook: “Il coinvolgimento delle piattaforme, se necessario ai fini dell’acquisizione di dati utili a fini di prevenzione, va normato adeguatamente, circoscrivendo, per ciascun soggetto coinvolto nella filiera del trattamento, i rispettivi obblighi. Se, infatti, può essere opportuno che il patrimonio informativo di cui dispongano i big tech sia messo a disposizione per fini di utilità collettiva, dall’altro questo non deve risolversi in un’occasione di ulteriore incremento di dati da parte loro. In ogni caso, gli utenti devono essere adeguatamente informati di tale ulteriore flusso di dati, che deve essere comunque indirizzato solo ed esclusivamente all’autorità pubblica, a fini di prevenzione epidemiologica”.
Sui paletti da mettere, adesso: “Bisognerebbe anzitutto orientarsi secondo un criterio di gradualità e, dunque, valutare se le misure meno invasive possano essere sufficienti a fini di prevenzione. Ove così non sia, si dovrà studiare modalità e ampiezza delle misure da adottare in vista della loro efficacia, proporzionalità e ragionevolezza, senza preclusioni astratte o tantomeno ideologiche, ma anche senza improvvisazioni. Il Garante fornirà, naturalmente, il suo contributo nello spirito di responsabilità e leale cooperazione istituzionale che ne ha sempre caratterizzato l’azione, nella consapevolezza della difficoltà del contesto attuale”.
Fonte:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9294705
Dichiarazione del presidente del Comitato Europeo per la protezione dei dati personali
Il Comitato Europeo per la protezione dei dati è un organo europeo indipendente, che contribuisce all’ applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE. Il comitato europeo per la protezione dei dati è composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati (GEPD).
Il comitato europeo per la protezione dei dati ha come obiettivo quello di garantire l’applicazione coerente nell’ Unione europea del regolamento generale sulla protezione dei dati e della direttiva sulla protezione dei dati personali nelle attività di polizia e giudiziarie.
Il comitato ha il potere di adottare orientamenti generali per chiarire le disposizioni della normativa europea sulla protezione dei dati, così da fornire a tutti i destinatari di tali disposizioni un’interpretazione uniforme dei loro diritti e obblighi.
Inoltre, il comitato può adottare decisioni vincolanti ai sensi del RGPD nei confronti delle autorità nazionali di controllo al fine di garantire un’applicazione coerente delle norme.
Fonte: