A poco più di due mesi dalla sua implementazione, l’autorità di controllo norvegese per la protezione dei dati personali ha bloccato temporaneamente i trattamenti effettuati mediante l’app sviluppata ed adottata a livello nazionale ai fini del monitoraggio e contenimento della diffusione del virus COVID-19 (il “coronavirus”), rilevando la non proporzionalità e necessità degli stessi a causa di varie lacune emerse in relazione alla tutela della privacy degli utenti.
IL FATTO:
Con provvedimento datato 12 giugno 2020 l’Authority norvegese (“Datatilsynet”) ha imposto all’Istituto Norvegese di Salute Pubblica (“FHI”) di sospendere i trattamenti effettuati mediante “Smittenstop” (“arresta l’infezione”), l’app di digital contact tracing per il contrasto alla pandemia (l’“App”), concedendo all’istituzione sanitaria termine sino al 23 di giugno per fornire adeguati riscontri in merito alle criticità rilevate e porre in essere idonei accorgimenti.
All’origine del blocco sembrano esservi principalmente due diversi ordini di ragioni, legate da un lato alla particolare invasività dei trattamenti effettuati tramite l’App e dall’altro al particolare contesto applicativo norvegese.
In primo luogo, il Datatilsynet ha espresso preoccupazioni in merito all’intrusività dell’applicazione mobile, derivante dall’impiego, in aggiunta ai dati di prossimità raccolti mediante tecnologia Bluetooth, dei dati di geolocalizzazione raccolti dal GPS dei dispositivi degli utenti, consentendo in tal modo il monitoraggio in tempo reale degli interessati. A tal proposito, è opportuno segnalare come sia lo sviluppo che il lancio di “Smittenstop” siano da collocarsi in una fase anteriore rispetto all’emanazione delle Linee guida 4/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19, adottate in data 21 aprile 2020 dal Comitato Europeo per la Protezione dei Dati, documento che ha esplicitamente escluso la necessità per le app di tracciamento dei contatti di impiegare informazioni relative alla posizione dei singoli utenti.
In secondo luogo, lo scarso tasso di adesione all’iniziativa, che nel mese di giugno ha visto l’App scaricata da poco più del 10% della popolazione norvegese, e il ridotto tasso di diffusione del virus (i dati aggiornati al 17 giugno parlano di 8.631 contagiati, rendendo la Norvegia uno dei paesi meno colpiti dall’epidemia a livello europeo) hanno contribuito a minare gli stessi presupposti del trattamento, rendendolo – secondo il parere del garante – non più proporzionato rispetto ai rischi posti per i diritti e le libertà degli utenti e difficoltoso sostenere la reale necessità dello stesso per le finalità di contenimento del contagio.
Ulteriori dubbi sono stati poi sollevati dal Datatilsynet in merito all’impossibilità per l’utente di negare il proprio consenso al trattamento dei propri dati per scopi di ricerca, nonché alle tecniche di anonimizzazione ed aggregazione impiegate per tutelare le informazioni degli utenti, soprattutto a fronte della complessità tecnica del processo di anonimizzazione dei dati di localizzazione, notoriamente vulnerabili ai tentativi di re-identificazione.
A seguito delle prescrizioni dell’autorità, l’FHI ha reso noto, mediante comunicato stampa, di aver provveduto alla sospensione dei trattamenti a decorrere dal 15 giugno ed alla cancellazione dei dati sino a quel momento raccolti dall’App, pur esprimendo fermo dissenso nei confronti della decisione e grande rammarico per il rischio di vanificazione del lavoro posto in essere dalle autorità sanitarie nazionali nei due mesi di utilizzo dello strumento di tracciamento digitale di contatti.
PERCHÉ È IMPORTANTE:
L’intervento del garante norvegese merita attenzione poiché pone l’accento su un tema fondamentale in materia di protezione dei dati personali, che viene spesso sottovalutato dagli operatori: la formalizzazione da parte del Regolamento (UE) 2016/679 del principio di protezione dei dati fin dalla progettazione ha reso evidente che il processo di compliance rispetto alla normativa data protection non rappresenta un’attività una tantum, bensì costituisce un processo permanente e continuativo, soprattutto con riferimento a trattamenti dinamici e soggetti a trasformazioni, come quelli legati al contenimento della pandemia. Al variare delle condizioni e del contesto, l’impatto di ogni singolo trattamento può variare in maniera consistente: è pertanto indispensabile porre in essere una puntuale attività di monitoraggio e controllo, di modo da garantire che l’uso dei dati personali sia sempre adeguato, necessario e proporzionato rispetto alle finalità.
Sarà inoltre interessante verificare se, nel prossimo futuro, con il tasso di diffusione dell’epidemia in calo in tutta Europa, altre autorità di controllo solleveranno simili obiezioni in merito alle singole app nazionali implementate per contrastare il COVID-19.
No Comments