App di contact tracing nei luoghi di lavoro, semaforo rosso del Garante Privacy
Contact tracing senza base giuridica se fuori dal perimetro della app “Immuni”. Non basta la sicurezza di dispositivi e sistemi, ci vuole un piedistallo normativo. È quanto è desumibile da una Faq pubblicata dal Garante il 6 luglio 2020 sull’uso di app di contact tracing in ambito aziendale in relazione alla pandemia da Covid-19. Un’impostazione, questa, del tutto coerente con il quadro normativo europeo e nazionale e, soprattutto, con la disciplina della privacy.
(Nella foto: Antonio Ciccia Messina, avvocato esperto di protezione dati e presidente di Persone & Privacy)
La risposta, del tutto condivisibile, del Garante sottolinea, se ce ne fosse ancora bisogno, che tutelare le persone fisiche, la loro privacy e i loro dati non è solo una questione di sicurezza informatica, ma è una questione di scelte di valori e, quindi, di politica legislativa.
Non basta, dunque, che un dispositivo o una rete siano tendenzialmente sicuri (tra l’altro, come si usa dire, non esiste una sicurezza al 100%), ma occorre anche che ci sia una liceità giuridica.
Il quesito, cui il Garante, ha dato risposta è chiarissimo: “sono utilizzabili applicativi con funzionalità di “contact tracing” in ambito aziendale?”. Altrettanto chiara è la risposta: “la funzionalità di “contact tracing”, prevista da alcuni applicativi al dichiarato fine di poter ricostruire, in caso di contagio, i contatti significativi avuti in un periodo di tempo commisurato con quello individuato dalle autorità sanitarie in ordine alla ricostruzione della catena dei contagi ed allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi, è − allo stato − disciplinata unicamente dall’art. 6, d.l. 30.4.2020, n. 28”.
Seppure con una clausola di riserva cronologica (“allo stato”), del tutto comprensibile, alla luce del vortice normativo al quale siamo abituati, il Garante nota che le app di contact tracing che hanno una base giuridica sono solo quelle disciplinate dall’articolo 6 del decreto legge 28/2020, nel frattempo convertito dalla legge 70/2020 (pubblicata sulla Gazzetta Ufficiale del 29/06/2020, n. 162).
Il tenore della risposta è di un’apparente mera descrizione del quadro normativo: c’è un sistema di allerta Covid-19 ed è disciplinato all’articolo 6 citato.
Il senso della risposta è, però, apertamente limitativo a questo sistema di allerta, con conseguente revoca in dubbio della base giuridica, allo stato, per altri sistemi di allerta.
L’avverbio “unicamente” è inequivocabile. C’è un unico sistema di allerta, che ha una copertura normativa. Tra l’altro si deve enfatizzare che la risposta è inserita nelle faq riferite all’ambito aziendale.
Ora, si deve assolutamente rimarcare il fatto che, alla domanda sull’utilizzabilità di app di conservazione dei dati sui contatti in ambito aziendale, il Garante risponde citando una norma che riguarda l’ambito territoriale di tutta Italia (e non certamente solo l’ambito aziendale).
La risposta sembra disallineata rispetto alla domanda, ma è l’esatto contrario.
Per raccogliere informazioni sui contatti interpersonali ci vuole una base giuridica e questa base giuridica deve essere specifica e deve rispondere al principio di finalità del trattamento ed essere proporzionata.
Sono tutti aspetti, questi, che sono un “a priori” e che si aggiungono ai temi della sicurezza, comunque da attestare con una valutazione di impatto (articolo 35 Rgpd). Ci può essere un dispositivo super sicuro e una rete super sicura e autorizzati super competenti, ma se manca la base giuridica, il trattamento non è agibile.
Il Rgpd non è solo una questione di protezione di dati, ma anche di privacy.
Stesso background sta alle spalle di una seconda risposta del Garante (diffusa il 6 luglio 2020) alla domanda se al fine di contenere il rischio di contagio sul luogo di lavoro siano utilizzabili applicativi che non trattano dati personali.
Il garante risponde di sì e, quindi, c’è la conferma che il datore di lavoro può ricorrere all’utilizzo di applicativi, allo stato disponibili sul mercato, a condizione che non comportino il trattamento di dati personali riferiti a soggetti identificati o identificabili. Questo si può dire nel caso in cui il dispositivo utilizzato non sia associato o associabile, anche indirettamente (ad esempio attraverso un codice o altra informazione), all’interessato né preveda la registrazione dei dati trattati.
Andando sul concreto, questo ricorre per le applicazioni che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, attivando un “semaforo rosso” al superamento di un prestabilito numero di persone contemporaneamente presenti; oppure alle funzioni di taluni dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita (dunque senza tracciare chi indossa il dispositivo e senza registrare alcuna informazione). Questo vale anche per gli applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione).
Attenzione poi, comunque, alle forniture. Tocca comunque al titolare del trattamento verificare il grado di affidabilità dei sistemi scelti, predisponendo misure da adottare in caso di malfunzionamento dei dispositivi o di falsi positivi o negativi. Il che è un modo per avvisare che la responsabilità diretta non è del fornitore dello strumento, ma dell’azienda che l’acquista (e anche qui siamo del tutto allineati al Rgpd, articolo 25).
Come si sarà notato, il Garante è molto attento a delimitare la descrizione degli applicativi utilizzabili: devono al massimo contare gli individui o misurare distanze, ma non analizzare o conservare dati riferiti a soggetti anche solo potenzialmente identificabili. E ancora una volta non è un problema di sicurezza, ma di base giuridica.
