In the midst of the emergency linked to the spread of the COVID-19 virus (known to most as “coronavirus”), the search for possible solutions for the containment of the pandemic has now taken on a supranational dimension, recording the first contributions from European institutions. The possibility of monitoring population movements through the analysis of data collected by mobile communication devices, in order to verify the effectiveness of the restrictive measures imposed and the identification of connections between movement trends and contagions, is undoubtedly one of the options on the table. The European Data Protection Supervisor (“EDPS”), consulted by the European Commission, has therefore identified some elements to be taken into account in the implementation of such solutions.
IL FATTO:
Con missiva datata 20 marzo 2020 l’EDPS, dando seguito alla richiesta di consulto inoltrata dalla Direzione generale delle Reti di comunicazione della Commissione Europea, capitanata dall’italiano Roberto Viola, ha espresso le proprie considerazioni in merito alla possibilità di utilizzare i dati dai fornitori di servizi di telecomunicazione ai fini di analizzare e – nei limiti del possibile – contenere il diffondersi dell’epidemia.
Dopo aver ribadito l’intrinseca flessibilità dell’attuale cornice normativa a livello europeo, che trova il suo cardine nel ben noto Regolamento (UE) 2016/679 (“GDPR”), dando dunque spazio alla possibilità di comprimere il diritto alla riservatezza e alla protezione dei dati nei limiti necessari a consentire una più efficace lotta al virus, il Garante Europeo ha individuato tre punti cardine che dovranno orientare qualsiasi attività diretta al monitoraggio degli interessati mediante l’impiego delle informazioni sopra indicate.
In primo luogo, sarà indispensabile garantire che i dati siano effettivamente anonimi. Si tratta di una necessità che deriva dal contesto normativo, ed in particolar modo dalla Direttiva (CE) 58/2002, la quale stabilisce che i dati relativi all’ubicazione possano essere oggetto di trattamento solo in quanto anonimi o previo consenso dell’utente, come già evidenziato dal Comitato Europeo per la Protezione dei Dati con il proprio comunicato stampa del 16 marzo 2020 dedicato al trattamento di dati personali nel contesto della pandemia. Per completezza, si ricorda che per anonimizzazione si intende la sottoposizione di dati personali ad un processo tecnico che renda impossibile la re-identificazione della persona fisica cui il dato originariamente si riferiva: la semplice rimozione di dati direttamente identificativi (i.e. numeri di telefono e codici IMEI) dal data set che verrà fornito dai fornitori di servizi di telecomunicazione non è da ritenersi sufficiente a tal fine.
In secondo luogo, l’EDPS afferma l’opportunità che al data set abbia accesso un numero ben delimitato di soggetti (es. epidemiologi, scienziati, esperti in materia di protezione dei dati), i quali dovranno necessariamente essere vincolati da stringenti obblighi di riservatezza.
In terzo ed ultimo luogo, si ribadisce come i dati debbano essere tempestivamente cancellati al termine dell’emergenza. La compressione del diritto alla riservatezza, infatti, è legittima a causa della straordinarietà della situazione: una volta venuto meno il presupposto, è necessario che le istituzioni garantiscano il ritorno alla normalità.
PERCHÉ È IMPORTANTE:
La missiva in esame è particolarmente rilevante poiché individua una serie di principi minimi rilevanti non solo a livello comunitario, ma anche nazionale: anonimizzazione, restrizione all’accesso e limitazione della conservazione devono guidare le iniziative dei legislatori intenti a lottare contro il diffondersi dell’epidemia.
Il Garante per la protezione dei dati italiano, in una recente intervista, ha già avuto modo di esprimersi sulla proposta della geolocalizzazione dei soggetti positivi per meglio analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi, individuando a sua volta linee guida conformi a quanto stabilito dall’EPDS.
No Comments