Contact tracing e principio di proporzionalità, alla luce delle linee guida dell’EDPS: profili operativi - Cyber Security 360

L'ANALISI

Contact tracing e principio di proporzionalità, alla luce delle linee guida dell’EDPS: profili operativi

L’uso del contact tracing per il contenimento della pandemia di Covid-19 è ammissibile, ma gli Stati membri devono agire nel rispetto del principio di proporzionalità così come evidenziato nelle linee guida dell’EDPS. Ecco i profili operativi per la tutela dei dati personali degli interessati

23 Apr 2020
L
Federica Lamoratta

Avvocato, Pirola Pennuto Zei & Associati

V
Mario Valentini

Avvocato e DPO, Pirola Pennuto Zei & Associati

L’adozione di sistemi e app mobile di contact tracing (come la Immuni di Bending Spoon scelta dal governo italiano) comporta diversi rischi dal punto di vista della tutela dei dati personali dei soggetti interessati e pone il problema di un attento bilanciamento tra la tutela della salute pubblica e le libertà individuali, quali la tutela dei dati personali degli interessati: è dunque utile analizzare i profili applicativi delle tecnologie di contact tracing alla luce di quando disposto nelle linee guida del Garante europeo (EDPS) sul principio di proporzionalità, che offrono una metodologia pratica per valutarne l’adeguatezza.

Il trattamento dati ai tempi della Covid-19: il parere dell’EDPB

Sul tema del rispetto della tutela del trattamento dei dati personali e delle norme contenute nel Regolamento UE n. 2016/679 (GDPR) nel contesto dell’emergenza sanitaria legata alla Covid-19, è intervenuto lo stesso Comitato europeo per la protezione dei dati (European Data Protection Board, EDPB), prospettando il trattamento di dati personali, nello specifico il tracciamento dei dati telefonici, contact tracing, come misura volta a contenere la pandemia.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Infatti, nella Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19 del 19 marzo u.s. l’EDPB ha evidenziato che le norme in materia di protezione dei dati, quale il GDPR, non ostacolano l’adozione di misure per il contrasto della pandemia di Covid-19. La lotta contro le malattie trasmissibili è obiettivo condiviso da tutte le nazioni, in quanto è nell’interesse dell’umanità arginare la diffusione delle malattie, anche mediante l’utilizzo di tecniche moderne.

Anche in questi momenti eccezionali, titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati ed a tal fine, tenendo conto di una serie di considerazioni per garantire la liceità del trattamento di dati personali e facendo sì che qualsiasi misura adottata in questo contesto debba rispettare i principi generali del diritto e non possa essere irrevocabile. L’EDPB evidenzia, infatti, che “l’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza”.

L’EDPB sottolinea, poi, che “Il regolamento generale sulla protezione dei dati (GPDR) è una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19. Il RGPD consente alle competenti autorità sanitarie pubbliche e ai datori di lavoro di trattare dati personali nel contesto di un’epidemia, conformemente al diritto nazionale e alle condizioni ivi stabilite. Ad esempio, se il trattamento è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica. In tali circostanze, non è necessario basarsi sul consenso dei singoli”.

In relazione al trattamento dei dati personali, comprese le categorie particolari di dati, da parte di autorità pubbliche competenti, quali le autorità sanitarie pubbliche, l’EDPB ritiene che “gli articoli 6 e 9 del RGPD consentano tale trattamento, in particolare quando esso ricada nell’ambito delle competenze che il diritto nazionale attribuisce a tale autorità pubblica e nel rispetto delle condizioni sancite dal RGPD”.

Con riferimento all’uso dei dati di localizzazione da dispositivi mobili, e nello specifico con riguardo all’utilizzo da parte dei governi degli Stati membri dei dati personali relativi ai telefoni cellulari dei singoli nell’intento di monitorare, contenere o attenuare la diffusione della Covid-19, l’EDPB evidenzia che “In alcuni Stati membri i governi prevedono di utilizzare i dati di localizzazione da dispositivi mobili per monitorare, contenere o attenuare la diffusione del COVID-19. Ciò implicherebbe, ad esempio, la possibilità di geolocalizzare le persone o di inviare messaggi di sanità pubblica ai soggetti che si trovano in una determinata area, via telefono o SMS. Le autorità pubbliche dovrebbero innanzitutto cercare di trattare i dati relativi all’ubicazione in modo anonimo (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi sulla concentrazione di dispositivi mobili in un determinato luogo (“cartografia”).

Le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati.

Quando non è possibile elaborare solo dati anonimi, la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15).

Qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l’obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale.

Si applica anche il principio di proporzionalità. Si dovrebbero sempre privilegiare le soluzioni meno intrusive, tenuto conto dell’obiettivo specifico da raggiungere. Misure invasive come il “tracciamento” (ossia il trattamento di dati storici di localizzazione in forma non anonimizzata) possono essere considerate proporzionate in circostanze eccezionali e in funzione delle modalità concrete del trattamento. Tuttavia, tali misure dovrebbero essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità)”.

Contact tracing e principio di proporzionalità: le linee guida dell’EDPS

Con riferimento a quest’aspetto, le Linee guida sul principio di proporzionalità, adottate in data 19 dicembre 2019 dal Garante Europeo della Protezione dei Dati (European Data Protection Supervisor, EDPS), si configurano quindi quale strumento utile ai fini della valutazione della proporzionalità delle misure legislative, che si intendono adottare.

Infatti, tali Linee guida, definendo ulteriormente il contenuto e lo scopo dei diritti garantiti dalla Carta fondamentale dei diritti fondamentali dell’Unione europea (di seguito Carta) e dal GDPR, si configurano per i responsabili politici nazionali quale strumento pratico per valutare la conformità delle misure proposte, le quali potrebbero avere un impatto sui diritti fondamentali della privacy e sulla protezione dei dati personali, come delineata dalla Carta dei diritti fondamentali dell’Unione europea.

Le suddette Linee guida sulla proporzionalità, basandosi sulla giurisprudenza pertinente della Corte di Giustizia dell’Unione Europea (CGUE), della Corte europea dei diritti dell’uomo (Corte EDU), sui più recenti pareri legislativi del GEPD e del gruppo di lavoro “Articolo 29” (“WP29”), nonché sulle Linee guida dell’European Data Protection Board (EDPB), e combinate ed in linea con il Necessity Toolkit (Necessity toolkit on assessing the necessity of measures that limit the fundamental right to the protection of personal data) del 2017, che aveva delimitato l’ambito di operatività del concetto di necessità delle limitazioni ai diritti fondamentali, mirano a rendere la valutazione della necessità e della proporzionalità più rapida e semplice per i responsabili politici, aiutandoli a garantire che tutte le nuove proposte dell’UE rispettino il diritto fondamentale alla protezione dei dati personali, sin dall’inizio del processo legislativo, per assicurare che i diritti fondamentali siano sempre adeguatamente tutelati.

Le Linee Guida ribadiscono che il GDPR “si basa sull’articolo 8 della Carta dei diritti fondamentali dell’Unione europea e sull’articolo 16 del Trattato sul funzionamento dell’Unione europea, in base ai quali tutte le persone hanno il diritto alla protezione dei propri dati personali. L’UE deve pertanto emanare una legislazione conforme in tal senso e qualsiasi provvedimento in restrizione di tali diritti deve rispettare determinati criteri (i) deve essere previsto dalla legge; (ii) deve rispettare l’essenza del diritto fondamentale in questione e (iii) deve essere sia necessario che proporzionale, tenendo conto non solo degli obiettivi della misura stessa, ma anche della necessità di proteggere i diritti e le libertà in generale”.

La necessità e la proporzionalità di una misura legislativa, che comporta una limitazione dei diritti fondamentali alla privacy e alla protezione dei dati personali sono, quindi, un duplice requisito essenziale a cui devono conformarsi tutte le misure proposte che comportano il trattamento di dati personali.

La legislazione dell’UE deve spesso raggiungere diversi obiettivi di interesse pubblico, i quali a volte possono essere contraddittori, rendendo necessaria la messa a punto di un giusto equilibrio da raggiungere con i diritti fondamentali tutelati dall’ordinamento giuridico dell’UE.

Le Linee guida sono state sviluppate per coadiuvare i legislatori dell’UE, una volta individuate le misure che incidono sulla protezione dei dati e le priorità e gli obiettivi alla base di tali misure, nel trovare soluzioni che minimizzino il conflitto tra le varie priorità e che possano definirsi armonizzate secondo un principio di proporzionalità.

Contact tracing e principio di proporzionalità: metodologia pratica

Come dicevamo all’inizio, quindi, esse offrono una metodologia pratica e dettagliata per valutare la proporzionalità delle nuove misure legislative, fornendo spiegazioni, esempi concreti e sviluppando, quindi, un’analisi legale atta alla realizzazione di un vero e proprio test di proporzionalità da applicare al trattamento dei dati personali, con la realizzazione di una lista di controllo pratica per valutare la proporzionalità delle misure legislative.

Come anticipato, le Linee guida evidenziano che l’articolo 8 della Carta dei diritti fondamentali dell’Unione europea sancisce il diritto fondamentale alla protezione dei dati personali. Siffatto diritto non è assoluto e può essere limitato, a condizione che le limitazioni siano conformi ai requisiti di cui all’articolo 52, paragrafo 1, della Carta.

Le Linee guida sottolineano che la stessa analisi si applica al diritto del rispetto della vita privata sancito dall’articolo 7 della suddetta Carta.

Per essere lecita, qualsiasi limitazione all’esercizio dei diritti fondamentali tutelati dalla Carta deve quindi rispettare i seguenti criteri:

  • deve essere prevista dalla legge;
  • deve rispettare l’essenza dei diritti;
  • deve conseguire obiettivi di interesse generale riconosciuti dall’Unione o la necessità di proteggere i diritti e le libertà altrui;
  • deve essere necessaria, in base a quanto previsto nel Necessity Toolkit del 2017;
  • deve essere proporzionata.

La proporzionalità in senso lato comprende sia la necessità che l’adeguatezza (proporzionalità in senso stretto) di una misura, ovvero implica la sussistenza di un legame logico tra la misura e il (legittimo) obiettivo perseguito.

Affinché una misura rispetti il principio di proporzionalità, i vantaggi derivanti dalla misura non dovrebbero essere compensati dagli svantaggi che la misura comporta rispetto all’esercizio dei diritti fondamentali. Tale criterio, pertanto, “limita le autorità nell’esercizio dei loro poteri, richiedendo di raggiungere un equilibrio tra i mezzi utilizzati e l’obiettivo previsto (o il risultato raggiunto)”[1].

Siffatto equilibrio da raggiungere descrive la proporzionalità in senso stretto in termini di adeguatezza e costituisce il test di proporzionalità che è l’oggetto di valutazione delle suddette Linee guida e che dovrebbe essere distinto dalla necessità sia dal punto di vista concettuale che pratico.

Come anticipato, la misura deve essere necessaria.

Come specificato nel Necessity Toolkit del 2017, “la necessità implica una valutazione combinata e basata sui fatti dell’efficacia della misura per l’obiettivo perseguito e se sia meno invasiva rispetto ad altre opzioni per raggiungere lo stesso obiettivo”[2].

Il test di necessità dovrebbe essere considerato come il primo passo a cui deve conformarsi una misura proposta che comporta il trattamento di dati personali, sicché una misura che non si è dimostrata necessaria non dovrebbe essere proposta a meno che e finché non sia stata modificata per soddisfare il requisito della necessità: in altre parole, la necessità è una condizione preliminare per la proporzionalità.

Al fine di verificare se una misura possa qualificarsi come necessaria, il Necessity Toolkit del 2017 dispone di procedere nel seguente modo:

  1. in via preliminare con una descrizione fattuale della misura da introdurre, ovvero della misura proposta e del suo scopo;
  2. identificare i diritti fondamentali e le libertà, limitati dal trattamento dati da porre in essere;
  3. definizione degli obiettivi della misura;
  4. scelta dell’opzione più efficace e meno invasiva.

A seguito di tali valutazioni, se la misura legislativa è ritenuta necessaria, la stessa dovrebbe essere esaminata in base alla sua proporzionalità.

Ai fini della valutazione della proporzionalità le Linee Guida offrono una vera e propria check list, articolata in quattro passaggi, che implicano:

  1. la valutazione dell’importanza dell’obiettivo e in che modo la misura possa raggiungerlo;
  2. la valutazione dello scopo, dell’estensione e dell’intensità dell’inferenza ingenerata dalla misura;
  3. procedere ad un equo bilanciamento della misura;
  4. se la misura non è proporzionata, identificare ed introdurre le adeguate clausole di salvaguardia, ovvero individuare misure di contenimento e rimedi.

Con riguardo al primo passaggio, concernente la valutazione dell’importanza dell’obiettivo e in che modo la misura possa raggiungerlo, le Linee guida evidenziano come i diritti e le libertà fondamentali limitati dalla misura siano già stati identificati in via preliminare durante l’esecuzione del test di necessità.

Con riferimento al secondo passaggio, invece, consistente nel “valutare la portata e l’intensità dell’interferenza in termini di impatto effettivo della misura sui diritti fondamentali della privacy e della protezione dei dati”, fase chiave del test di proporzionalità, i diritti e le libertà fondamentali vanno riconsiderati, al fine di accertare, ancora ex ante, ma in concreto, come sarebbero interessati dalla limitazione. In effetti, la misura non dovrebbe imporre un onere sproporzionato ed eccessivo alle persone colpite dalla limitazione in relazione all’obiettivo perseguito[3].

Inoltre, è importante notare che l’impatto può essere “minore” per l’individuo in questione, ma comunque significativo per la società nel suo complesso. Esempi ipotetici potrebbero riguardare, tra l’altro:

  • profilazione illegale e discriminazione, che causano sfiducia nei confronti delle autorità pubbliche;
  • effetto agghiacciante sulla libertà di espressione a causa di una sorveglianza omnicomprensiva o altri effetti negativi sulla libertà delle persone derivanti da un sistema di profilazione e valutazione pervasivo ed attuato sistematicamente.

Inoltre, l’impatto di questa fase riguarda anche il potenziale effetto dannoso della misura su una base più ampia di quella della protezione della privacy, includendo quindi i rischi per altri diritti fondamentali. Ciò è in linea con l’approccio adottato dal GDPR che si riferisce esplicitamente e in più occasioni ai «rischi per i diritti e le libertà delle persone fisiche», sottolineando così che un effetto dannoso per il diritto alla privacy è spesso ed indissolubilmente legato ad altri diritti fondamentali, quali la libertà di espressione e la libera circolazione e ai principi generali del diritto dell’UE, come quello di non discriminazione[4].

L’impatto, quindi, dovrebbe essere sufficientemente descritto per consentire una chiara comprensione della portata e del livello di invadenza dell’interferenza sui diritti fondamentali della privacy e della protezione dei dati personali.

In tale fase è particolarmente importante identificare:

  • l’impatto, valutando se il campo di applicazione della misura è sufficientemente limitato, ovvero identificando il numero di persone colpite; se genera “intrusioni collaterali”, ovvero interferenze con la privacy di persone diverse dai soggetti della misura;
  • l’estensione, analizzando, quindi, come viene limitato il diritto, ovvero la quantità di informazioni raccolte, la durata (per quanto) e se la misura in esame richiede la raccolta e l’elaborazione di categorie speciali di dati;
  • il livello di invadenza, tenendo conto: della natura dell’attività soggetta alla misura (se si tratta di attività coperte dal dovere di riservatezza o meno, di attività medica) del contesto, se si tratta della profilazione delle persone interessate o no, se il trattamento comporta l’uso di un sistema decisionale automatizzato (parzialmente o completamente) con un “margine di errore”;
  • se riguarda persone vulnerabili o no.

Nei casi in cui alcuni (o parte degli) impatti non possono essere accertati in anticipo, potrebbe essere utile applicare il cosiddetto principio precauzionale. Come esempio di applicabilità di questo principio, le Linee guida indicano che si potrebbe suggerire al legislatore, secondo tutte le circostanze rilevanti del caso, di adottare un “approccio incrementale”, optando per l’uso di uno strumento IT già sperimentato e verificato, piuttosto che di uno strumento IT la cui efficacia (falsi negativi, falsi positivi) non sia stata ancora completamente testato[5].

Le Linee guida evidenziano, inoltre, che a seguito della raccolta di tutte informazioni richieste e della valutazione circa l’importanza, l’efficacia e l’efficienza della misura e delle possibili interferenze con la privacy e la protezione dei dati personali, il legislatore nazionale deve bilanciare ulteriormente l’emanando provvedimento con le ragioni della sua emanazione.

In pratica, il principio di proporzionalità richiede di stabilire un equilibrio tra la portata e la natura dell’interferenza e le ragioni dell’interferenza, ovvero i bisogni, tradotti in obiettivi effettivamente perseguiti dalla misura.

Le Linee guida, in conformità a quanto disposto in numerose pronunce della Corte di Giustizia dell’Unione Europea, sottolineano, infatti, che “sono in discussione numerosi diritti e libertà fondamentali protetti dall’ordinamento dell’Unione europea, la valutazione della possibile natura sproporzionata di una disposizione del diritto dell’Unione europea deve essere effettuata al fine di conciliare i requisiti della protezione di questi diversi diritti e libertà e un giusto equilibrio tra loro”[6].

In altre parole, il principio funge da strumento per bilanciare gli interessi in conflitto secondo uno standard razionale ed al fine di operare siffatto bilanciamento, in primo luogo, occorre verificare se esista una situazione di asimmetria delle informazioni, ovvero occorre esaminare se siano state raccolte tutte le informazioni pertinenti e siano state eseguite valutazioni sia sui benefici, che sui costi della misura.

Successivamente, occorrerà confrontare i vincoli imposti alla privacy e alla protezione dei dati con i benefici, ovvero effettuare un’attività di bilanciamento. Occorrerà, quindi, verificare se le misure previste per soddisfare l’obiettivo rispondono in modo proporzionato all’esigenza posta alla base della proposta legislativa, in considerazione di tutte le limitazioni che questa comporta alla protezione dei dati e al diritto alla privacy.

Infine, sarà necessario conservare, ovvero registrare ed archiviare, tutta la documentazione pertinente ottenuta o prodotta durante l’esercizio della valutazione di bilanciamento. Tale documentazione dovrà essere pertinente e sufficiente a fornire l’adeguata giustificazione per la misura in esame, che è poi l’obiettivo finale della valutazione posta in essere.[7]

Conclusioni

Alla luce delle considerazioni sopra esposte, deve ritenersi ammissibile l’utilizzo del contact tracing per fornire alle autorità sanitarie dati utili per il contenimento del contagio.

Tuttavia, devono sempre essere utilizzate tecniche in grado di garantire l’anonimato e, solo qualora ciò non fosse possibile, predisporre un sistema di garanzie adeguate.

In ogni caso, gli Stati membri devono agire nel rispetto del principio di proporzionalità, mediante l’impiego di tecniche meno intrusive possibili.

Soltanto in tal modo potrà essere garantita nel delicato contesto attuale la tutela dei dati personali degli interessati.

NOTE

  1. EDPS, Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data.
  2. EDPS, Necessity toolkit on assessing the necessity of measures that limit the fundamental right to the protection of personal data.
  3. EDPS, Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data.
  4. EDPS, Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data.
  5. EDPS, Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, edps.europa.eu
  6. EDPS, Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, edps.europa.eu
  7. EDPS, Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data, edps.europa.eu

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4