800 561720
Nel precedente articolo “La Privacy ai tempi del Coronavirus: dati sanitari e abitudini di vita”, ci eravamo lasciati con un interrogativo: è ammesso pensare al Big Brother come deus ex machina per porre rimedio a tale critica circostanza?
La stessa domanda è stata indirizzata al Garante, in un’intervista rilasciata a La Stampa il 25 marzo 2020. La risposta del Garante è stata “Sento parlare molto di modello coreano. Se significa definizione di un protocollo di tracciamento precoce dei positivi e delle persone che sono venute a contatto con loro, oltre che un controllo sul rispetto della quarantena, non avrei obiezioni. Purché a questo seguano poi test mirati, ma diffusi su tutti coloro che sono stati esposti a rischio di contagio e si garantiscano al contempo le adeguate protezioni al personale sanitario. Ma serve un governo unitario delle operazioni. Non è il momento delle improvvisazioni".
Come garantire il rispetto della normativa privacy al tempo del Covid-19? Quali implicazioni ci sono nella gestione del dato sanitario alla luce dell’emergenza Coronavirus? Gli esperti del gruppo Sanità del Comitato Scientifico di ASSO DPO approfondiranno questo tema nella sessione gratuita live webinar il prossimo venerdì 17 aprile 2020 dalle ore 10:30.
Indice
- Il webinar del gruppo Sanità del Comitato Scientifico di ASSO DPO
- Riferimenti normativi
- Tracciamento del contagio
- Conclusioni
Il webinar del gruppo Sanità del Comitato Scientifico di ASSO DPO
La gestione dell’emergenza Coronavirus ha portato diversi interrogativi dal punto di vista della gestione del dato sanitario.
Gli esperti del gruppo Sanità del Comitato Scientifico di ASSO DPO approfondiranno questo tema nella sessione gratuita live webinar il prossimo venerdì 17 aprile 2020 dalle ore 10:30. Il gruppo, coordinato da Giuseppe Cannella, interverrà analizzando tra gli altri temi il ruolo del DPO in ambito sanitario e le tecnologie di tracciamento del dato sanitario all'interno del recente contesto dell’emergenza sanitaria dovuta all’epidemia da Coronavirus. Per collegarsi al webinar gratuito clicca qui.
L’appuntamento è parte di una serie di webinar gratuiti tenuta dagli esperti del Comitato Scientifico di ASSO DPO. Approfondiamo insieme in una serie di live webinar le implicazioni dell’emergenza Covid-19 dal punto di vista della privacy e della data protection. Scopri gli altri appuntamenti in programma.
Riferimenti normativi
Come ben sappiamo, l’articolo 9, paragrafo 2, lettere g), h) e i), e l’articolo 10 del regolamento (UE) 2016/679, nonché l’articolo 2-sexies, comma 2, lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196, consentono ai singoli Stati (e nel caso specifico all'Italia) di adottare misure straordinarie in caso di gravi minacce per la salute e la sicurezza sociale. Sullo stesso tenore è anche l'art. 15 della Direttiva e-Privacy. Il Garante precisa inoltre anche a chi spetterebbe la regia di tali misure straordinarie: "l'importante è che la regia sia unica e che competa ad una autorità pubblica, dotata delle giuste competenze necessarie ad analizzare e utilizzare al meglio i dati. Anche per gestire la successiva fase dei test mirati." Inoltre, "la scadenza [di queste deroghe al diritto alla privacy, ndr] deve essere definita in partenza e dovrà coincidere con la fine dello stato di emergenza proclamato dal governo a febbraio" (ad oggi coincidente con la data del 31 luglio 2020).
Queste deroghe sono state poste in atto dall'art. 14 del Decreto Legge 9 marzo 2020, n° 14 "Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19″ che le consente di fatto ai soggetti operanti nel Servizio nazionale di protezione civile, ai soggetti attuatori di cui all'articolo 1 dell'ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020 n. 630, nonché agli uffici del Ministero della salute e dell'Istituto Superiore di Sanità, alle strutture pubbliche e private che operano nell'ambito del Servizio sanitario nazionale e ai soggetti deputati a monitorare e a garantire l'esecuzione delle misure disposte ai sensi dell'articolo 3 del decreto-legge 23 febbraio 2020 n. 6, sino al termine dello stato di emergenza dichiarato il 31 gennaio 2020. Tuttavia il Decreto Legge n.14 lascia aperte alcune questioni spinose, come ad esempio l’ubicazione dei dati di tracciamento, il loro raffronto con altre base dati ed eventuali operazioni di profilazione e catalogazione dei soggetti a cui tali dati si riferiscono.
A tal proposito, l’articolo 76 del Decreto Cura Italia, approvato lo scorso 17 marzo prevede che “la presidenza del Consiglio dei ministri o il ministro delegato nominino un contingente di esperti per studiare soluzioni innovative, tecnologiche e di digitalizzazione al fine di contrastare e contenere il diffondersi del coronavirus”, tramite l’analisi di quanto già fatto da altre nazioni, l’utilizzo di Big Data e l’aggregazione di dati provenienti da diverse fonti. A questo scopo, si fa notare come alcune autorità regionali si sono già mosse per chiedere e ottenere dai gestori telefonici dati di traffico telefonico di cittadini per incrociarli con i dati di positività al coronavirus oppure per cominciare a sperimentare app per il tracciamento.
Tracciamento del contagio
Vediamo alcuni esempi di soluzioni per il tracciamento del contagio da coronavirus implementate ad oggi da altre nazioni.
Corea del Sud
La Corea del Sud ha sviluppato strumenti e pratiche per tracciare i contagi durante l'epidemia di MERS. I funzionari sanitari ripercorrono i movimenti delle persone infette utilizzando filmati di telecamere di sicurezza, registrazioni di carte di credito e persino i dati GPS di auto e telefoni cellulari.
Inoltre i funzionari si sono affidati alla messaggistica di massa: i cellulari dei sudcoreani vibrano con avvisi di emergenza ogni volta che vengono scoperti nuovi casi nei loro distretti. I siti web e le numerose app per smartphone riportano ora per ora, a volte minuto per minuto, gli spostamenti delle persone infette. Inoltre, le persone infette in auto-quarantena devono scaricare un'altra app, che avvisa i funzionari sanitari in caso di violazione dell'isolamento. I sudcoreani hanno ampiamente accettato la perdita di privacy come un compromesso necessario.
Singapore
Il governo di Singapore ha sviluppato una app, TraceTogether, che può essere scaricata volontariamente e facilita il processo di tracciamento dei contatti. L’app utilizza soltanto il numero di telefono a cui viene associato un ID anonimo in fase di registrazione dell’utente.
Con il consenso dell’utente, l’app scambia segnali Bluetooth anonimizzati con i telefoni vicini che eseguono la stessa app. L’anonimizzazione avviene tramite la cifratura dell’ID utente tramite una chiave privata in possesso del Ministero della Salute, che è quindi l’unica autorità in grado di decifrare il segnale. Questo consente di essere informato se si è in una prolungata vicinanza fisica con una persona infetta.
Cina
Il Governo cinese ha creato un apposito tool per il controllo del contagio, chiamato Health Code, che funziona come plug-in delle diffusissime app Alipay, WeChat o Gaode Maps ed assegna automaticamente alle persone codice di colore in base ai loro spostamenti, al tempo trascorso nelle zone rosse e all'esposizione a potenziali portatori del virus. Questo per determinare se devono mettersi in quarantena oppure se possano spostarsi liberamente. Tramite questo tool, utilizzato in oltre 100 città, è anche consentito alle persone di controllare i colori degli altri residenti quando vengono immessi i loro numeri ID.
La strategia del governo è stata quindi quella di non creare un’ulteriore app, che potrebbe non essere usata né scaricata, ma di usare app già ampiamente utilizzate dalla popolazione nelle attività quotidiane: muoversi, fare acquisti, chattare. Tutti questi dati confluiscono poi in una base dati integrata con altri sistemi tipicamente istituzionali (es. videosorveglianza). Un vero e proprio controllo sistematico normato questi esclusivamente dal consenso e dalle ragioni di stato.
Israele
In Israele si sta usando un'app che traccia gli spostamenti degli utenti e confronta tali informazioni con i dati del Ministero della Salute, dove sono censiti i positivi.
Taiwan
In Taiwan, la National Health Insurance Administration e la National Immigration Agency hanno integrato i dati relativi alla cronologia di viaggio degli ultimi 14 giorni delle persone collegandoli alla carta di identità. Tramite la carta di identità, la cronologia di viaggio e la tessera d'ingresso degli stranieri il governo ha potuto rintracciare le persone ad alto rischio a causa della recente storia di viaggi nelle aree colpite. Quelli identificati come ad alto rischio (messi in quarantena domestica) sono stati poi monitorati elettronicamente attraverso i loro telefoni cellulari. Il governo ha poi fatto sì che tutti gli ospedali, le cliniche e le farmacie di Taiwan avrebbero avuto accesso alla cronologia di viaggio dei pazienti.
Unione Europea
La Commissione europea sta monitorando l'uso delle applicazioni mobili utilizzate nella lotta contro la pandemia di coronavirus. All'inizio di questa settimana, una coalizione di aziende europee ha lanciato una nuova tecnologia di prossimità di tracciamento dei contatti, soprannominata Pan-European Tracy Proximity Tracing (PEPP-PT), che utilizza segnali bluetooth per tracciare i contatti tra le persone infette dal coronavirus e le persone che hanno venire in stretta vicinanza con loro. La tecnologia trasmette a breve distanza un identificatore (ID) temporaneamente valido, autenticato e anonimo che non può essere collegato a un utente.
In termini di altre iniziative di tracciamento dei contatti pubblici in corso in Europa, l’Ireland Health Service ha annunciato all'inizio di questa settimana i piani per presentare un'applicazione simile. Nel frattempo, il servizio sanitario nazionale del Regno Unito (NHS) sta attualmente lavorando alla propria app e il Norwegian Institute of Public Health ha sviluppato una propria iniziativa.
USA
I Centers for Disease Control and Prevention e alcune autorità locali hanno iniziato a immagazzinare ed elaborare dati sulla posizione dei cittadini di circa 500 città, provenienti dai player dell’industria dell’advertising. Si tratta di informazioni anonime.
Russia
Mosca sta usando la tecnologia di riconoscimento facciale per garantire che le persone a cui è stato ordinato di rimanere a casa o negli hotel in quarantena con Coronavirus lo facciano.
India
Il governo indiano ha varato un’app che, utilizzando i dati sulla posizione del telefono, il Bluetooth e un server di condivisione dati, permette di venire a conoscenza se si è stati in prossimità di una persona positiva al coronavirus, utilizzando protocolli di comunicazione cifrati. L’app condivide le informazioni con il governo solo nei casi in cui si è stati testati e risultati positivi oppure si è stati in stretto contatto (entro 1,8 metri) con una persona positiva.
Conclusioni
Come si può notare da alcune di queste soluzioni, è in effetti possibile implementare un protocollo di tracciamento dei contagi che rispetti la privacy dei cittadini (ovviamente in presenza delle deroghe di cui abbiamo parlato all'inizio), purché:
- il trattamento si basi sul consenso, avvenga sul territorio italiano, sia limitato nel tempo;
- vengano implementati sistemi di anonimizzazione o pseudo-anonimizzazione;
- vengano previsti sistemi che consentano l’accesso ai dati e l’elaborazione soltanto agli enti competenti autorizzati, o nel caso dei gestori delle infrastrutture, si possiedano idonei requisiti di affidabilità e trasparenza di azione;
- ci si appoggi a sistemi di identificazione già esistenti e quindi già corretti e verificati;
- si effettuino eventuali raffronti solo con altre base dati che già rispettano i principi di protezione dei dati personali, accessibili soltanto agli enti competenti autorizzati, e che permettano un effettivo accertamento sanitario dei soggetti individuati;
- si evitino profilazioni o catalogazioni non necessarie;
- si utilizzi la geolocalizzazione solo a tre condizioni: esistenza di una base giuridica, rispetto del principio di proporzionalità e garanzia del diritto di difesa in via giudiziale.
