Il caso

Geolocalizzare i positivi, che idea pericolosa: perché il Garante Privacy indaga su Ravenna

Il Garante privacy è intervenuto sulla vicenda del Comune di Ravenna, che si servirebbe della geolocalizzazione per verificare che le persone sottoposte a quarantena stiano effettivamente rispettando le regole: un’attività che ha ripercussioni sul piano della protezione dei dati

19 Gen 2022
B
Christian Bernieri

DPO e Consulente in materia di Protezione dei Dati Personali

Nicoletta Pisanu

Redattrice Cybersecurity360

Geolocalizzazione per verificare che le persone rispettino la quarantena: un’iniziativa del Comune di Ravenna su cui ora il Garante della privacy vuol vederci chiaro per valutare eventuali problemi in relazione alla normativa sulla protezione dei dati. Non dovrebbe stupire che le più recenti ed impellenti necessità abbiano trovato una entusiastica risposta nelle tecnologie disponibili come, di fatto, è accaduto negli uffici degli enti locali chiamati alla verifica del rispetto degli obblighi di quarantena da parte di centinaia, migliaia o centinaia di migliaia di persone.

Il totale dei soggetti positivi al Covid-19 rientra a pieno titolo nella definizione di grandi numeri e, come si constata, spesso le funzioni pubbliche non riescono a gestire carichi di grandezza superiore all’ordinario. Così, senza troppi complimenti, si è fatto ricorso a modalità altrettanto straordinarie, modificando le logiche del controllo e cercando di applicare innovativi strumenti alla verifica del rispetto della quarantena. A questo livello ed in questo momento, nella scelta degli strumenti e nell’individuazione delle modalità di uso, occorre vigilare affinché il necessario cambiamento non si trasformi in un distopico esercizio di potere.

Obbligo vaccino over 50, ecco le sanzioni automatiche: ma la privacy?

Il caso di Ravenna e l’intervento del Garante privacy

Da quanto si apprende, a Ravenna i controlli dell’osservanza della quarantena sono stati organizzati con modalità peculiari e discutibili. Le autorità sanitarie hanno utilizzato i dati con modalità di “pesca a strascico”, utilizzando tutti i dati di contatto, raccolti per le finalità di gestione delle liste di accesso ai percorsi vaccinali, per finalità di verifica massiva. Così facendo, sono stati contattati soggetti diversi dai diretti interessati al fine di verificare il rispetto della quarantena, violando la riservatezza delle persone coinvolte che, in molti casi, hanno inserito dati di contatto comodi, di parenti, amici, colf, figli, funzionali unicamente alla procedura telematica di prenotazione di un vaccino.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza

Solo questo basta per comprendere che il meccanismo è stato attivato senza alcuna preventiva riflessione sull’effettivo impatto. Come se non bastasse, la Polizia locale, che non induce certamente serenità nell’animo di chi riceve una telefonata “in uniforme”, ha iniziato a contattare le persone soggette a quarantena chiedendo di dimostrare dove fossero inviando la posizione del proprio cellulare. Gli agenti sono stati istruiti su come aiutare i cittadini a condividere la propria posizione con gli strumenti disponibili, tuttavia a nessuno è sembrato ragionevole riconsiderare l’opportunità di questa scelta.

L’avvio dell’istruttoria

Il Garante privacy il 17 gennaio 2022 è intervento sulla vicenda relativa al trattamento, da parte della Polizia locale di Ravenna, dei dati personali “relativi alla geolocalizzazione dei soggetti positivi al Covid-19 per verificare il rispetto della misura dell’isolamento”, ha comunicato l’autorità, precisando di aver aperto un’istruttoria e di aver chiesto al Comune informazioni in merito all’iniziativa.  Il Comune ora, ha aggiunto l’autorità, dovrà inviare all’autorità ogni elemento “utile alla valutazione del trattamento di dati personali effettuato, con particolare riferimento alle modalità del trattamento”, descrivendo in particolare:

  • gli strumenti del sistema che si sta utilizzando, come eventualmente particolari app;
  • quali sono le finalità che si vogliono perseguire tramite la geolocalizzazione
  • riguardo alla conservazione dei dati raccolti, i periodi di tempo e le modalità
  • elementi per dimostrare il rispetto dei principi di proporzionalità e minimizzazione del trattamento.

Inoltre, il Garante ha chiesto al Comune di indicare le misure tecniche ed organizzative adottate al fine di assicurare un livello di protezione adeguato dei dati trattati e di indicare se ci sono eventuali “soggetti terzi destinatari dei dati acquisiti attraverso le funzioni di geolocalizzazione”.

L’analisi

Come di consueto, l’autorità a tutela della protezione dei dati personali non si scompone e, con esemplare fermezza ed autorevolezza, si è limitato a porre le più immediate, semplici e banali domande rispetto al trattamento congegnato dalla dirigenza ravennate. Senza entrare in dettagli tecnici, così ostici per i funzionari pubblici, è stata formulata una richiesta di condivisione delle scelte e delle valutazioni funzionali a questi controversi controlli. Ripercorrendo ciò che i principi base del GDPR chiedono, ora, il Comune di Ravenna dovrà condividere con il Garante tutti gli elementi di una normalissima informativa, non predisposta rispetto al trattamento in oggetto, dettagliando le finalità, le modalità di trattamento, dimostrando la proporzionalità del trattamento e il rispetto del principio di minimizzazione. Il Comune dovrà anche dar conto dei soggetti terzi coinvolti, partendo dalla loro elencazione e arrivando alla definizione esatta dei ruoli e delle misure organizzative adottate per garantire un livello di sicurezza adeguato.

Digitalizzazione e processi di verifica, il contesto

Le modalità di verifica, che riguardino l’identità di una persona, il possesso della patente o di un titolo di viaggio, sono molto cambiate negli ultimi anni. Il fattore determinante, più che la disponibilità di nuovi strumenti, è certamente stato la scarsità di risorse, in particolare umane, e la costante necessità di risparmiare, velocizzare ed automatizzare i processi destinati a gestire grandi numeri.

Così, l’allungamento delle code ai caselli autostradali ha favorito la diffusione delle corsie riservate dotate di pagamento elettronico del pedaggio, con l’aumento del traffico sulle grandi direttrici i controlli di velocità sono stati demandati a postazioni fisse permanenti, con l’aumento delle vetture circolanti e la proliferazione delle tipologie di divieti, esenzioni e permessi, sono comparsi i varchi a lettura ottica delle targhe. Di recente, l’aumento del numero dei pagamenti, specialmente per i piccoli importi, ha portato alla grande diffusione dei rapidissimi micro pagamenti contactless.

In questo scenario, ogni scelta deve essere accompagnata dalla conoscenza approfondita della tecnologia utilizzata, del quadro normativo di riferimento, dei diritti da preservare, occorre fare attente valutazioni in merito al bilanciamento di questi diritti, anche rispetto alle necessità contingenti e agli scenari futuri. Questo approccio non è affatto un concetto innovativo ed è previsto dal GDPR come la base per la legittimità dei trattamenti. Due, in particolare, sono gli elementi che dovrebbero essere tenuti in considerazione e che, come dimostrano recenti casi di cronaca, sono, al contrario, stati completamente ignorati: il principio di limitazione delle finalità e quello di minimizzazione. 

Cosa prevede il principio di legittimità

Già presente nella normativa previgente, il principio di legittimità impone di trattare i dati unicamente per finalità determinate, esplicite e legittime e di limitarsi a tali trattamenti (o trattamenti compatibili) anche successivamente. La trasparenza dà senso e contenuto all’esplicitazione delle finalità che dovranno, pertanto, essere predeterminate, documentate e conoscibili a tutti gli interessati.

Il modo più comune di violare questo principio è considerare i dati come disponibili e ritenerli utilizzabili per il solo fatto che esistano e che siano già stati raccolti.  Il trattamento del dati di geolocalizzazione richiede una legittimazione da ricercare, appunto nelle regole del GDPR. Non è facile per gli enti coinvolti recuperare, a posteriori, gli elementi fondanti questa legittimità, specialmente perché il principio della finalizzazione è piuttosto stringente e non ammette atteggiamenti possibilisti, leggeri o superficiali.

Sempre in tema di legittimità ma in ottica più ampia, sarà difficile per gli enti coinvolti giustificare la pretesa, o anche solo la presunzione che i cittadini posseggano ed usino un dispositivo dotato di localizzazione che, per quanto noto, non è obbligatorio avere, non è alla portata di chiunque e non può essere considerato probatorio di alcuna circostanza nell’ambito delle verifiche in oggetto. Probabilmente, i grandi numeri non consentono modalità tradizionali di verifica ma, in questo caso, la soluzione adottata non è percorribile e porta a violazione di norme di legge, alla compressione di diritti degli individui e alla proliferazione dei rischi.

I possibili rischi

Uno di questi rischi, forse sottovalutato dagli enti locali di Ravennate, è l’utilizzo ulteriore dei dati da parte di terzi. Chiedere ai cittadini in quarantena di inviare la propria posizione tramite, per esempio, whatsapp o condividendo un punto geolocalizzato con Google Maps o, ancora, ricorrendo a qualsiasi altro strumento di terzi, significa consegnare ai provider un database preziosissimo: la fotografia esatta delle persone positive o sottoposte a quarantena, dove vivono, e cosa fanno. I provider, con grande candore, dichiarano nella propria informativa che utilizzeranno i metadati (le informazioni relative alla comunicazione in sé) per proprie finalità, le più ampie. Sarà pertanto facilissimo associare i dispositivi utilizzati per inviare questi sciagurati messaggi, profilando l’utente e arricchendo di significato ogni utilizzo precedente o successivo del medesimo dispositivo. Una miniera d’oro per chiunque abbia interesse e capacità di utilizzare queste informazioni.

Forse questo è uno dei motivi che ha portato a sottovalutare il problema: nessuno, nell’ambito dei funzionari e dei decisori coinvolti, ha alcun’interesse malizioso o malevolo, nessuno si sogna di monetizzare i dati né di compromettere le libertà delle persone coinvolte, tuttavia, mettendo questi dati a disposizione di soggetti terzi, tutto ciò si realizza comunque. Diventa difficile assolvere chi, in assoluta buonafede, consente ad altri di speculare violando la privacy di persone malate.

Il principio di minimizzazione

Il principio di minimizzazione si aggiunge a questo scenario per complicare le cose a chi, sempre in assoluta buonafede, intraprende attività di trattamento pionieristiche ed eroiche. I dati, così chiede il GDPR, devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Questo breve e universale principio viene frustrato ogni volta che si popolano i database con dati non necessari, non strettamente necessari, o meglio, trattandosi di dati particolari (sensibili), non indispensabili per raggiungere le finalità perseguite.

Le attività di verifica del rispetto della quarantena devono osservare questo principio ed il giudizio sulla necessità di un determinato dato dev’essere onesto e quanto più condivisibile possibile, soprattutto dev’essere formulato mettendosi nella prospettiva della persona a cui appartengono i dati. Purtroppo la prospettiva dell’ente locale, gravato da mille compiti e dal peso di far fronte ai propri doveri, è ben diversa e tende ad essere molto indulgente verso le proprie scelte, scambiando la difficoltà operativa con la necessità.

L’esempio dell’ATS di Milano

Questo è il caso, oltre che del comune di Ravenna, anche della ATS di Milano che, sempre per la medesima finalità, cioè il monitoraggio dei soggetti sottoposti a quarantena, ha strutturato un sistema telematico dove il cittadino è chiamato, con un fraseggio minaccioso e perentorio, a compilare dei nuovi ed ulteriori formulari online, popolando nuovi e distinti database, contenenti le medesime informazioni già in possesso dell’autorità medesima. La duplicazione dei database viola direttamente il principio di minimizzazione, così come lo viola il fatto che aprire alla visione di tali dati un numero indefinito e non gestito di soggetti. Tristemente, anche in questo caso di recente cronaca, il sistema è appoggiato a provider di tecnologia con i quali sono condivisi dati e metadati che, ancora una volta, saranno oggetto di ulteriori e discutibili utilizzi da parte di aziende terze, felici di poter contribuire anche solo in cambio di queste preziose informazioni. 

Conclusione

Colpisce come tutto questo, che dovrebbe costituire l’antefatto, la premessa necessaria e le condizioni fondanti di un trattamento, non sia stato preventivamente rinvenuto né dagli interessati nè dal Garante e che solo a posteriori, su formale domanda, si arrivi a costituire un dossier per giustificare le scelte prese ed attuate in modo così disinvolto e svincolato dalle regole dello stato di diritto.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 3