Intervista a Giuseppe Busia – SkyTG24
Coronavirus, come funzionano il controllo delle celle e il tracciamento dei contagi. Il Garante: “Non bisogna improvvisare”
Dalla Lombardia, che analizza gli spostamenti usando i dati di Vodafone e Tim, alla possibilità che vengano tracciati tutti i contatti dei malati di Covid-19
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Martina Pennisi, Il Corriere della Sera, 18 marzo 2019)
Perché si sta discutendo della possibilità di usare i dati dei nostri smartphone per contenere l’epidemia del virus Sars-Cov-2?
Dal 20 febbraio, giorno in cui siamo venuti a conoscenza del primo cittadino italiano malato di Covid-19, in Italia sono morte 2.978 persone con il virus Sars-Cov-2 e i contagiati hanno superato quota 35 mila (qui i dati aggiornati). Per questo motivo si sente parlare della possibilità di sfruttare la tecnologia per monitorare e provare a contenere l’epidemia. Lunedì l’Organizzazione Mondiale della Sanità ha caldeggiato qualcosa di simile auspicando test a tappeto, isolamento dei positivi e tracciamento dei loro contatti. Come si sono spostati e con chi sono venuti a contatto i malati, quindi.
Cosa sta facendo la Regione Lombardia?
Il vice presidente della Lombardia e assessore per la Ricerca Fabrizio Sala e l’assessore al Welfare Giulio Gallera hanno scoperchiato il vaso di Pandora martedì sera, annunciando di aver analizzato gli spostamenti “da cella a cella” dei telefoni cellulari per capire quanti abitanti si muovono sul territorio e come lo fanno (qui l’articolo di Cesare Giuzzi). Innanzitutto è bene premettere che si tratta di una versione light delle soluzioni più articolate e delicate che potrebbero venire adottate nei prossimi giorni o settimane. In questo caso, la Regione afferma di acquisire i dati anonimi e aggregati di Vodafone e Tim sul numero di telefonini che si agganciano alle antenne (qui Alessio Lana spiega come funziona): mentre ci muoviamo per continuare a funzionare il telefonino passa da una porzione di rete all’altra — le celle, appunto — e così i due operatori, prima, e la Regione, poi, sanno quante persone si sono spostate da un luogo a un altro e, per esempio, scoprono se in molti sono andati oltre le poche centinaia di metri concesse dal decreto (a queste condizioni, in continua evoluzione). Come spiega Sala al Corriere, “l’esperienza deriva da Expo e dall’analisi di flussi intorno e all’interno della fiera. Per Covid-19, abbiamo preso in considerazione il 20 febbraio, giorno del primo caso, e ci siamo resi conto che dopo il lockdown gli spostamenti sono calati solo del 60 per cento. Troppo poco”. Cosa vuol dire che le informazioni sono anonime e aggregate? “Sono dati secchi, numeri. Non abbiamo modo di risalire ai proprietari dei cellulari”, risponde Sala. Rimane il fatto che un primo canale di acquisizione e analisi dei dati delle società di telecomunicazioni per gestire Covid-19 sia stato aperto e che ne sia stata data comunicazione un mese dopo.
Cosa sta facendo il governo?
Qui inizia la parte delicata. Con il primo decreto sull’emergenza del 9 marzo, la Protezione civile ha già ottenuto una deroga per acquisire e trattare i dati biometrici che identificano in modo univoco una persona o quelli sulla salute. Quello del 17 marzo, Cura Italia, prevede la nomina di un “contingente di esperti” che si occupi “di dare concreta attuazione alle misure adottate per il contrasto e il contenimento del diffondersi del virus con particolare riferimento alle soluzioni di innovazione tecnologica”. Come anticipato da Wired Italia, sarà il ministero dell’Innovazione di Paola Pisano a occuparsi di questa task force, di cui faranno parte economisti ed esperti del tracciamento dei dati i cui nomi arriveranno con un decreto di nomina. Sul piatto verranno messi sia dati di fonti aperte, come la Protezione civile, sia di fonti dal mondo universitario. L’Università di Pavia, per esempio, che secondo Wired ha ottenuto da Facebook i dati sugli spostamenti da Nord a Sud nella notte del grande esodo, tra il 7 e l’8 marzo, dopo che il premier Giuseppe Conte ha annunciato la chiusura della Lombardia. Quindi: fonti aperte, dati anonimi e aggregati o dati che non escono dai dipartimenti degli atenei. Ancora diverso – ed ecco il punto – è il discorso del monitoraggio dei contatti dei casi positivi di cui parlavamo all’inizio: per attivarlo e andare a indagare sulla posizione e sugli spostamenti dei singoli cittadini e delle persone che incrociano, seppur ridistribuendoli anonimamente, servono regole e garanzie, come sottolineato anche dall’European Data Protection Board citando il Regolamento europeo per la privacy Gdpr, che consente il trattamento per finalità di sicurezza nazionale ma allo stesso tempo richiede una valutazione d’impatto e sulla sicurezza. Il governo non si è ancora sbilanciato. Nonostante questo sono numerose le dichiarazioni di aziende o startup (come quella raccolta da Elena Tebano) che stanno sviluppando applicazioni per tracciare i movimenti dei malati di Covid-19 ed eventualmente avvisare chi è entrato in contatto con loro. Anche Asstel, l’associazione di rappresentanza delle compagnie telefoniche, ha dato la sua disponibilità, ribadendo che serve un’indicazione dell’esecutivo.
Il modello della Corea del Sud
Il modello è quello della Corea del Sud, che ha puntato innanzitutto su test a tappeto (come vuole fare il Veneto di Zaia) e poi sull’uso della tecnologia con applicazioni mobili e attingendo a Gps o carte di credito per creare una mappa del contagio, utile anche per allertare le persone che potrebbero aver incrociato un infetto, di cui nessuno saprebbe nome e cognome (ma tutti saprebbero dove è stato e chi lo conosce potrebbe ricostruirlo). “La Corea ce l’ha fatta. Questa è una misura è un po’ lesiva della privacy e bisogna avere la certezza che il dato venga usato a fini di sanità pubblica, ma tracciare tutti i contatti dei positivi può aiutare a contenere il contagio, anche in questa condizione di semi reclusione in cui siamo. Si tratta di una misura eccezionale che dovrebbe essere svolta solo per un determinato periodo”, afferma Paolo Bonanni, ordinario di Igiene all’Università degli Studi di Firenze e componente della Società italiana di Igiene, medicina preventiva e sanità pubblica.
E la privacy?
Il Corriere ha chiesto al Garante per la privacy Antonello Soro di chiarire i punti più delicati.
Sul caso della Lombardia: “Non siamo stati informati dell’iniziativa della Lombardia e non la conosciamo, dunque, nei dettagli. Dalle notizie pubblicate sembrerebbe si tratti unicamente di dati aggregati e anonimi e ci riserviamo di verificarlo”. Sul tracciamento dei contagi anche in Italia: “L’acquisizione di trend, effettivamente anonimi, di mobilità potrebbe risultare una misura più facilmente percorribile, laddove, invece, si intendesse acquisire dati identificativi, sarebbe necessario prevedere adeguate garanzie, con una norma ad efficacia temporalmente limitata e conforme ai principi di proporzionalità, necessità, ragionevolezza. In tal senso, andrebbe effettuata un’analisi dell’effettiva idoneità della misura a conseguire risultati utili nell’azione di contrasto. Ad esempio, apparirebbe sproporzionata la geolocalizzazione di tutti i cittadini italiani, 24 ore su 24, non soltanto per la massività della misura ma anche e, forse, preliminarmente, perché non esiste un divieto assoluto di spostamento e dunque la mole di dati così acquisiti non avrebbe un’effettiva utilità. Diversa potrebbe essere, invece, la valutazione relativa alla geolocalizzazione, quale strumento di ricostruzione della catena epidemiologica. In ogni caso, è indispensabile una valutazione puntuale del progetto. Non è il tempo dell’approssimazione e della superficialità”.
Sulla possibilità che vengano coinvolte anche le piattaforme come Google o Facebook: “Il coinvolgimento delle piattaforme, se necessario ai fini dell’acquisizione di dati utili a fini di prevenzione, va normato adeguatamente, circoscrivendo, per ciascun soggetto coinvolto nella filiera del trattamento, i rispettivi obblighi. Se, infatti, può essere opportuno che il patrimonio informativo di cui dispongano i big tech sia messo a disposizione per fini di utilità collettiva, dall’altro questo non deve risolversi in un’occasione di ulteriore incremento di dati da parte loro. In ogni caso, gli utenti devono essere adeguatamente informati di tale ulteriore flusso di dati, che deve essere comunque indirizzato solo ed esclusivamente all’autorità pubblica, a fini di prevenzione epidemiologica”.
Sui paletti da mettere, adesso: “Bisognerebbe anzitutto orientarsi secondo un criterio di gradualità e, dunque, valutare se le misure meno invasive possano essere sufficienti a fini di prevenzione. Ove così non sia, si dovrà studiare modalità e ampiezza delle misure da adottare in vista della loro efficacia, proporzionalità e ragionevolezza, senza preclusioni astratte o tantomeno ideologiche, ma anche senza improvvisazioni. Il Garante fornirà, naturalmente, il suo contributo nello spirito di responsabilità e leale cooperazione istituzionale che ne ha sempre caratterizzato l’azione, nella consapevolezza della difficoltà del contesto attuale”.
Fonte:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9294705
Dichiarazione del presidente del Comitato Europeo per la protezione dei dati personali
Il Comitato Europeo per la protezione dei dati è un organo europeo indipendente, che contribuisce all’ applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE. Il comitato europeo per la protezione dei dati è composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati (GEPD).
Il comitato europeo per la protezione dei dati ha come obiettivo quello di garantire l’applicazione coerente nell’ Unione europea del regolamento generale sulla protezione dei dati e della direttiva sulla protezione dei dati personali nelle attività di polizia e giudiziarie.
Il comitato ha il potere di adottare orientamenti generali per chiarire le disposizioni della normativa europea sulla protezione dei dati, così da fornire a tutti i destinatari di tali disposizioni un’interpretazione uniforme dei loro diritti e obblighi.
Inoltre, il comitato può adottare decisioni vincolanti ai sensi del RGPD nei confronti delle autorità nazionali di controllo al fine di garantire un’applicazione coerente delle norme.
Fonte:
Soro, la sfida privacy in era coronavirus. Garante, sì misure straordinarie, ma proporzionate e temporanee
Fonte:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9292565
Soro: la privacy dei pazienti va difesa ma non è un totem
23 Febbraio 2020
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(Di Cristiana Mangani, Il Messaggero, 23 febbraio 2020)
Dove finisce il diritto alla privacy e comincia la tutela dell’interesse della collettività? In questi giorni di paura da coronavirus il dibattito è di grande attualità. Ci sono leggi, dati sensibili, ma anche regole non scritte. C’è chi chiede nomi e indicazioni più precisi, e chi invece ricorda che la salute è un “dato” da non rivelare mai.
A tracciare la linea da seguire è Antonello Soro, Garante per la privacy, secondo il quale vanno contemperati entrambi gli interessi. “Sono informazioni delicate e sensibili – spiega – Tuttavia, l’emergenza legata all’epidemia comprime alcune libertà. Penso ai cittadini che sono nelle caserme per la quarantena proprio per evitare i contagi. In casi così il diritto alla privacy subisce delle limitazioni. Va sottolineato, comunque, che tutto questo insieme di informazioni deve essere gestito con la giusta cautela da chi si occupa dell’emergenza. E quindi, nel caso attuale, saranno la protezione civile e gli ospedali a dover valutare fino a che punto i cittadini vadano informati. Non è utile, anzi è pericolosa – aggiunge Soro – la rincorsa alle informazioni. Anche perché la priorità resta quella di tutelare chi si trovi già in situazioni di sofferenza”.
Per Francesco Micozzi, docente di Informatica giuridica all’università di Perugia, “le esigenze vanno contemperate”. “Vanno eliminati gli agganci tra il dato personale e la necessità di informare – sottolinea – e lo si può fare rispettando la pseudonimizzazione o l’anonimizzazione. Esempio: arriva in Italia una persona con coronavirus, è necessario che venga rivelato il nome? Evidentemente no. Si metteranno in contatto con lui coloro che hanno il compito di gestire l’emergenza. E i suoi dati personali dovranno rimanere in possesso solo degli operatori sanitari, e in questo caso anche dalla protezione civile. Saranno loro stessi a informare tutte le persone che sono entrate in contatto con chi ha il virus o si sospetta che lo abbia, ma possono farlo senza dame le generalità. Altrimenti il rischio che si corre è una pericolosa caccia all’untore”.
Fonte:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9287748