L'app "Immuni" e i dati personali: rischi e priorità
La emergenza legata alla pandemia in atto sta mettendo a dura prova il diritto alla protezione dei dati personali consacrato dal regolamento UE 2016/679 (Gdpr). Il pericolo è rappresentato dalla corsa dei governi alla ricerca di soluzioni tecnologiche che consentano di raccogliere, analizzare, utilizzare e conservare i dati personali per monitorare anche i potenziali contagiati ed arginare la diffusione del virus.
In paricolare, il nostro Governo (ordinanza n. 10 del 16 aprile 2020) ha scelto un’App di contact tracing che si chiamerà “Immuni” e che dovrebbe avere le seguenti caratteristiche: installazione gratuita e volontaria, utilizzo del bluetooth per rilevare la vicinanza tra due smartphone entro un metro (non è esclusa in futuro la geolocalizzazione), registrazione di informazioni anagrafiche e cliniche su un “diario clinico” che l’utente deve aggiornare quotidianamente, registrazione dei contatti sullo smartphone, trasmissione cifrata dei dati ad un server, valutazione algoritmica dei contatti e notifica di un messaggio ai potenziali contagiati.
La decisione pone, però, molti dubbi sulla forma della scelta, sulla sua sicurezza - come è dimostrato dall’avvio di un’apposita indagine da parte del Copasir - nonché sulla sua efficacia.
Il Governo pensa a una diffusione del 60% dell’App, ma appare un’utopia sperare che i cittadini si prestino volontariamente ad essere tracciati, visto che analoghe applicazioni sperimentate in Lombardia e a Singapore sono state scaricate rispettivamente solo dall’8% e dal 18% della popolazione.
Si afferma, poi, che saranno trattati solo dati “anonimi”, ma ciò non è vero: sono e restano dati personali (tutt’al più pseudo-anonimizzati), perché non è necessario sapere nome e cognome di una persona per poterla identificare. Non si sa, al momento, se il Governo ha valutato i rischi di possibili falsi negativi e positivi, già riscontrati a Singapore.
Non è dato sapere se il Governo ha valutato l’impatto sulla protezione dei dati personali, definito i ruoli, chi avrà accesso ai dati, se sarà un soggetto pubblico o privato, in quale data center saranno conservati.
Non è chiaro se il Governo prevede di sottoporre a tamponi immediati i potenziali positivi che ricevono il messaggio di alert.
Orbene, questo approccio così invasivo sulla riservatezza di dati personalissimi necessita come priorità che il titolare del trattamento garantisca by design la protezione dei dati personali e la tutela dei diritti degli interessati, in particolare del diritto alla cancellazione dei dati personali (o diritto all’oblio).
Come affermato dal Garante Privacy, il diritto dell’interessato è un’«architrave del sistema di protezione dei dati personali costruito dalla Direttiva sulle orme della Convenzione n. 108 e, poi, transitato in tutte le leggi nazionali di attuazione».
(Nella foto: l'Avv.Matteo Maria Perlini, Delegato Federprivacy per la provincia di Frosinone)
Nello specifico, il Gdpr ha puntellato la tutela dell’interessato rafforzando diritti e poteri di controllo già previsti dal nostro Codice Privacy e introducendone nuovi come il diritto all’oblio.
Nello stesso tempo, ha previsto che, in funzione di interessi generali, sia possibile limitarne l’esercizio da parte degli interessati, come già sancito dalla Carta dei diritti fondamentali dell’Unione europea e dalla direttiva E-Privacy.
Ebbene, questo pilastro di tutele costruito dal Gdpr - solo affievolito dall’emergenza, ma non annullato - rischia di essere scalfito, se non addirittura demolito.
È vero che il Gdpr consente di introdurre, con una norma di legge, una limitazione ai diritti degli interessati, per salvaguardare, in particolare, la sicurezza nazionale, la sicurezza pubblica ed altri importanti obiettivi di interesse pubblico generale.
È vero, inoltre, che il Gdpr ed il Codice Privacy prevedono a favore dell’interessato una tutela amministrativa (davanti al Garante) ed una tutela giurisdizionale (davanti al giudice ordinario) contro le violazioni della normativa e, in particolare, dei diritti degli interessati.
Ma è anche vero che i valori democratici della nostra società, opportunamente richiamati dal Gdpr, rischiano di essere irrimediabilmente compromessi dall’introduzione di soluzioni tecnologiche irrispettose dei diritti fondamentali delle persone fisiche.
È seriamente in pericolo uno dei cardini del Gdpr, ossia la temporaneità della conservazione dei dati personali ed il correlato diritto dell’interessato di ottenerne la cancellazione (o diritto all’oblio).
Pretendiamo, quindi, di sapere in modo trasparente chi userà i nostri dati personali, per quale scopo ultimo, come li tratterà, chi avrà accesso a quei dati, per quanto tempo li tratterà, quali misure di sicurezza sono previste.
Ciò per (quantomeno) mitigare i rischi di sicurezza e vulnerabilità (ad esempio l’archiviazione in database non sicuri, magari al di fuori dell’UE, che ne consentono la sottrazione da parte di malintenzionati e la vendita nel dark web a pochi centesimi di euro) o il rischio di utilizzi arbitrari dei dati personali anche dopo la fine dell’emergenza (come l’uso a fini commerciali per profilarci e bombardarci di pubblicità).
(Nel video, l'Avv. Matteo Maria Perlini, Delegato Federprivacy per la provincia di Frosinone, intervistato da TG24.info)
