Categoria: Autorità Garante – Covid 19

Il Garante per la protezione dei dati personali, in relazione al fenomeno del proliferare di applicativi di contact tracing da parte di istituzioni pubbliche e soggetti privati, e anche in considerazione del perdurare dello stato d’emergenza disposto dal Governo, ritiene necessario chiarire quanto segue.

L’emergenza COVID-19 non rappresenta automaticamente, e di per sé, una base giuridica sufficiente volta a incidere su diritti e libertà costituzionalmente protette, legittimando trattamenti di dati particolarmente invasivi, quali appunto quelli atti a consentire il tracciamento dei contatti da parte di qualsiasi titolare pubblico o privato.

A tal proposito, questa Autorità, precisa che gli unici trattamenti di dati personali che, allo stato, possano vantare un’adeguata base giuridica, sono esclusivamente quelli che trovano il proprio fondamento in una norma di legge nazionale. Ogni altro trattamento finalizzato al contact tracing risulta pertanto privo di un’adeguata fonte giuridica legittimante e, pertanto, effettuato in violazione della normativa europea e nazionale in materia di protezione dei dati personali.

Roma, 10 agosto 2020

Di Salvo Ingargiola, Fortune Italia, 2 luglio 2020

Il soggetto che risulta positivo al Covid-19 fornisce, volontariamente, l’identificativo Imei del proprio dispositivo cellulare all’Asl di competenza che poi è tenuta a trasmetterla al server centrale per consentirgli di ricostruire, tramite un calcolo algoritmico, la rete di contatti. Da qui parte il ‘viaggio’ dei dati sensibili dell’app Immuni, voluta dal Governo per fronteggiare l’emergenza Covid, e autorizzata dal Garante per la protezione dei dati personali. “Le informazioni – chiarisce il Garante, Antonello Soro – non finiscono mai nelle mani di soggetti terzi che non hanno titolo ad acquisirli come Google, Apple o Bending Spoons”, la società che ha materialmente ideato e progetto la App, 150 dipendenti, 90 mln di dollari di vendite nel 2019, detenuta per il 2% dal fondo cinese Nuo Capital.

“Le scelte del Governo italiano, che noi abbiamo condiviso essendosi conformate alle indicazioni da noi rese prima e dopo l’emanazione della norma di riferimento (art. 6 Dl n. 28/2020), sono state anche un punto di riferimento nelle valutazioni fatte dal Board dei garanti europei”, spiega Soro, presidente dell’Autorità che si occupa di proteggere la privacy dei cittadini italiani dal 2012. Sono tante e variegate le nuove sfide legate a questo tema, in un contesto come quello attuale, con nuove opportunità e rischi che arrivano dalla Rete.

Secondo il Garante Soro “sì è vero, lo strumento tecnologico è importante ma è solo il pezzo di una strategia nella quale è fondamentale tutto ciò che avviene a valle. Nel momento in cui si riesce ad avere la collaborazione del cittadino che contribuisce a ricostruire la rete epidemiologica (secondo gli esperti, per essere efficace, l’app deve essere scaricata da almeno il 60% degli italiani), il Sistema sanitario deve essere velocissimo nell’effèttuare i test diagnostici“.

Già, è anche una questione di tempo. Se è vero, infatti, che l’app Immuni, essendo un sistema decentralizzato, consente di detenere i dati dell’utente nel suo dispositivo in una prima fase, è altrettanto vero che, nel momento in cui si riscontra un caso positivo, come si diceva all’inizio, le stesse informazioni sensibili iniziano a ‘muoversi’. E da questo momento in poi che, in modo particolare, si accendono i riflettori su tempi e modalità. Il principio da seguire – come ha spiegato la stessa Autorità Garante nell’audizione informale, in videoconferenza, lo scorso 8 aprile, in commissione Trasporti alla Camera dei deputati – è garantire “il minor ricorso possibile a dati identificativi, sia in fase di raccolta sia di conservazione'”. In altre parole, la soluzione del ‘diario dei contatti’ registrato nel cellulare dell’utente è stata considerata preferibile proprio perché così si è deciso di evitare la conservazione in banche dati di gestori, con tutte le criticità messe in evidenza dalla giurisprudenza della Corte di giustizia europea in tema di data retention.

“Gli Stati e i governi europei – ammette Soro – hanno sensibilità differenti. Alcuni Paesi hanno adottato soluzioni simili alla nostra, altri invece no”. Il traguardo di un software europeo che definisse criteri omogenei e comuni a tutti i Paesi europei non è stato raggiunto. Sfumato questo obiettivo, come è stato sottolineato qualche settimana fa dal Comitato Ue per la protezione dei dati personali (Edpb), la condivisione dei data tramite le app, di persone a cui è stato diagnostico il Covid-19, deve essere attivata solo su base volontaria. E, passaggio ancor più importante e delicato, secondo l’European Data Protection Board l’obiettivo dell’interoperabilità di tali strumenti adottati nei diversi Paesi europei non dovrebbe essere perseguito, proprio per evitare di estendere la raccolta di dati personali oltre ciò che è necessario. “La persona che risulta positiva al tampone – chiarisce il garante Soro – oltre ad adottare tutte le misure già previste dalle normative vigenti, potrà offrire ma solo volontariamente la catena dei propri contatti. È un’informazione che, però, diventa importante se molti utilizzano l’applicativo”.

Sotto questo aspetto, il giudizio del Garante è chiaro: “C’è una norma esplicita, prevista dalla disciplina generale: chi dovesse raccogliere i dati personali, non avendone titolo, compie un illecito trattamento degli stessi. Una pratica che può essere sanzionata sia a livello amministrativo sia penale”. Ecco perché secondo Soro non ha senso ‘tifare’ contro l’app Immuni che, secondo lui, ha garanzie sufficienti in materia di privacy. “Non capisco, anche dopo l’accoglimento di tutte le indicazioni del Garante (tra cui avere espresso come preferibile la tecnologia bluetooth che consente la ricostruzione a ritroso dei contatti, scartando al contrario l’opzione della geolocalizzazione, ndr) l’insistenza con cui molti, ancora, nonostante tutto, sollevano dubbi e scoraggiano i cittadini. È un atteggiamento che, di certo, non contribuisce a creare quel clima di fiducia che è fondamentale per rendere efficace lo strumento”.

Tutte le precauzioni sembrano essere state prese. E anche se il Comitato europeo per la protezione dei dati, in un documento contenente le linee guida sulle app di tracciamento, pubblicato ad aprile, dice con chiarezza che “tali strumenti possono comportare un rischio elevato per i diritti e le libertà delle persone”, in Italia, secondo Soro, “l’App Immuni contiene garanzie sufficienti dal punto di vista della protezione del dato. Il rischio – taglia corto – è inferiore rispetto a quello generale che si corre tutte le volte che tali informazioni vengono trattate nella dimensione digitale”. In altre parole, l’app Immuni è stata promossa anche se, è vero, come ammette lo stesso Garante Soro, “dobbiamo mettere in conto sempre la possibilità remota che ci sia un hacker che, nonostante un sistema di sicurezza molto forte e solido come quello gestito da Sogei, tra i più affidabili e presidiato anche dal punto di vista militare, abbia la capacità di ‘bucare’ i! server. Tutto può capitare: anche il Pentagono ha subito un accesso abusivo”.

Fonte: Garante Privacy

Parla il Garante per la protezione dei dati personali: “Le piattaforme online hanno troppo potere sui nostri dati. La questione va portata in Europa”. E poi: “Il ricorso a sistemi autogestiti e autoprodotti è avvenuto con poche garanzie”

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali

(Di Arturo Di Corinto, La Repubblica, 5 giugno 2020)

L’app Immuni ha avviato la settimana di sperimentazione in quattro regioni, la ministra Paola Pisano ieri sera in audizione parlamentare ha chiarito gli aspetti del suo utilizzo e annunciato perfino un voucher di 300 euro per pagare la connettività Internet a chi non può farlo da solo.

Della norma riferita a Immuni il Parlamento si occupa già da due settimane, ma le opposizioni sono comunque sul piede di guerra tanto che la Lega ha disertato l’audizione. Sparuti ma aggressivi drappelli di critici dell’app di tracciamento nazionale continuano a puntare il dito contro il lavoro di Bending Spoons e dei 74 esperti, ma quasi nessuno discute dell’uso di decine di app regionali e comunali usate per la sorveglianza sanitaria. Come quella lombarda che nei termini di servizio chiarisce la sua funzione di controllo ad personam degli utilizzatori.

Ne abbiamo parlato con il Presidente dell’Autorità Garante della Privacy, Antonello Soro. E abbiamo cominciato proprio da qui. Presidente, ancora ci si chiede se Immuni manda i dati all’estero e se ci geolocalizza. Ma non lo fanno già le app regionali?

“Immuni non lo fa. Nelle prime settimane sotto la spinta emotiva, regioni, comuni e imprese hanno promesso il ricorso a un app salvifica usando come base giuridica l’ordinanza della Protezione civile recepita poi con decreto legge. Per alcuni è rimasto un progetto, altri ne hanno fatto uno strumento. Ma il ricorso a sistemi autogestiti e autoprodotti anche da società non italiane che hanno offerto tecnologie e servizi è avvenuto con poche garanzie”.

Complice l’opinione pubblica che non dava valore alla Privacy?

“L’Italia sembrava innamorata della Corea del Sud e della Cina. Le misure di contrasto tecnologiche apparivano giustificate e illustri virologi hanno detto che era un babbeo chi si preoccupava della privacy e chi la definiva una fisima”.

Ma poi l’atteggiamento è cambiato.

“Le forze politiche hanno preteso una norma primaria che attualmente è all’esame del Parlamento. Dalle agenzie apprendo che alcuni parlamentari non se ne sono accorti. Perfino il Copasir si è occupato del problema rivendicando la controllabilità di dati molto delicati”.

Grazie al vostro intervento: l’Autorità ha richiamato principi generali e declinato il comportamento virtuoso intervenendo anche nel Board europeo per un orientamento comune.

“Principi sovrapponibili a quanto avevamo detto in audizione nella Commissione trasporti: meglio il tracciamento dei contatti invece della geolocalizzazione, meglio la volontarietà, la gestione pubblica dell’app, i server pubblici, la controllabilità e la trasparenza e poi il sistema decentralizzato, la pseudonimizzazione, fino al parere sulla norma e le misure di sicurezza”.

Così siamo arrivati a un prodotto la cui unica finalità è il tracciamento dei contatti.

“Questo perché in un tempo di emergenza è possibile usare tecnologia anche per limitare i diritti ma il suo impiego deve essere proporzionato e a termine, lo dicono sia la Costituzione italiana che il Regolamento europeo. Parliamo di sostenibilità democratica. Mi pare che ci siamo riusciti”.

Ma continuano le polemiche.

“È legittimo esprimere giudizi critici ma devono essere frutto di una conoscenza puntuale del tema e sulla base di argomenti concreti. In un momento difficile come questo alimentare sfiducia e assecondare gli umori negativi non serve, soprattutto per chi ha responsabilità verso il Paese, e questo vale pure per il mondo dell’informazione. Il mio appello è di non dare giudizi sommari decontestualizzati e privi di fondamento”.

Sì, ma il problema dell’invasività delle tecnologie è un tema vero, non crede?

“Il ricorso necessitato alle tecnologie di distanza ha fatto crescere la confidenza degli italiani in una dimensione prima percepita solo come ludica e virtuale. Adesso è tempo di porre con forza il tema della dimensione digitale e il ricorso massiccio alle piattaforme online dovrebbe farci pretendere una maggiore garanzia di sicurezza per tutte le attività più rilevanti: si pensi al processo penale, alle riunioni del Consiglio dei ministri fino al consiglio comunale, alle attività di Camera e Senato”.

Cosa vuole dire?

“Le piattaforme che usiamo hanno una natura non direttamente controllabile. Bisogna aprire una discussione su questo. Bisogna promuovere una forte regolazione del digitale sia in Italia che in Europa, per proteggere i dati più rilevanti, dal dato sanitario a quello fiscale a quello che riguarda la sicurezza nazionale, e bisogna costruire garanzie ulteriori. Lo dico sommessamente, ma non possiamo sfuggirgli”.

Vuole regolare le piattaforme? E come?

“Io dico che la dimensione digitale è cresciuta in maniera anarchica, guidata dai privati, e con regole molto lasche anche quando c’è stato un rilevante uso pubblico degli strumenti digitali. Per questo il primato del pubblico va riesaminato. I dati che circolano sono i dati riferiti alla nostra persona e il primo punto è proteggere la persona digitale. Per questo ci vuole un supplemento di iniziativa”.

Il Gdpr ha avviato un processo globale di regolazione informato ai suoi principi generali. Eppure il punto di debolezza è il one stop shop (il trattamento delle controversie nel paese dove le imprese hanno lo stabilimento principale).

“Nessuna nazione, anche grande, può pensare che la gestione di procedure rilevanti a livello transnazionale possa essere affidata a un singolo paese. Quindi l’interlocutore delle grandi piattaforme dovrebbe essere una struttura con poteri e strumenti ad hoc come l’Europa. Per affrontare i giganti del web non basta una piccola Autorità con poche decine di dipendenti. L’Unione Europea ha dato al Board per la protezione dei dati personali un potere nuovo e strumenti nuovi. Dobbiamo andare avanti su questa strada”.

Insomma la gestione del rapporto con Big Tech deve essere europea. Presidente, sappiamo che Max Schrems, attivista per i diritti che ha dato tanti grattacapi a Facebook ha scritto ai presidenti delle Autorità per la privacy una lettera di rimostranze su come l’Irlanda gestisce le segnalazioni di violazione della privacy. Si riferisce a questo?

“L’Italia ha sollevato questa discussione nel board. Ma, come nel caso di TikTok, non vorremmo che “dal porto sicuro” per le aziende si passasse al “porto delle nebbie”.

Possiamo tornare al tema delle app regionali? Sono una decina, che fine faranno adesso che c’è Immuni?

“Molte delle app sono rimaste a livello progettuale, nate sull’onda emergenziale e con interpretazioni troppo estese anche in base al Dpcm citato. Oggi che esiste una norma che definisce le modalità di tracciamento voglio ribadire che parliamo di tracciamento dei contatti e non di tracciamento delle persone e che non possono raccogliere dati sulla salute se non si rispetta la norma primaria invocata in coro in parlamento”.

Ma sembra che le Regioni vadano per conto proprio. Come escludere che ci siano dei rischi per la privacy?

“Nel nostro ordinamento ora esiste un principio di “accountability”, di responsabilità, per cui chi mette in piedi sistemi di tracciamento deve fare una valutazione di impatto che il Garante valuterà, anche nel prossimo futuro. Se la valutazione non è stata fatta su misura dei rischi, interverremo”.

Però lei Presidente è in regime di prorogatio.

“Giusto, c’è un tempo per iniziare e un tempo per finire. Entro due mesi dalla fine dell’emergenza verranno nominati i nuovi componenti dell’Autorità Garante per la Privacy. Immagino in agosto”.

Nel frattempo non si placano gli attacchi informatici alla Sanità. Prima lo Spallanzani, poi il San Raffaele, l’altro ieri anche la Regione Lazio attaccata dagli Anonymous.

“Su questi ultimi casi riportati da voi di Repubblica ci sono istruttorie aperte. Il San Raffaele ha notificato l’incidente ma non posso parlarne. Sono tuttavia convinto che il tema della protezione dei dati più rilevanti e delicati in termini di cybersecurity vada considerato nella sua interezza. Qualunque server è vulnerabile, anche i più importanti, perciò va fatta una verifica generale. Tenga presente che i dati sulla salute valgono doppio dal punto di vista economico e della privacy. Nel mercato nero dei dati quelli sulla salute sono i più preziosi”.

Fonte: Garante Privacy