Alessandro Papini, presidente di Accademia Italiana Privacy, fa il punto sulla tutela della riservatezza delle informazioni personali nella raccolta di dati legata alla pandemia di Covid-19.
L’estate è passata, gli italiani in viaggio sono stati tracciati nei loro percorsi. Ma i dati raccolti che fine faranno nel lungo termine? Tutela della riservatezza delle informazioni personali e gestione dell’emergenza sanitaria sono compatibili? In linea di principio sì. Nell’applicazione pratica, però, quello a cui si è assistito in Italia lascia molti dubbi riguardo il fatto che la privacy dei cittadini abbia ricevuto (e stia ricevendo) un livello di protezione adeguato.
“Per l’implementazione del sistema di contact tracing Immuni, le autorità hanno previsto una serie di garanzie volte ad assicurare l’anonimato e il rispetto della privacy”, spiega Alessandro Papini, Presidente di Accademia Italiana Privacy. “Purtroppo la raccolta dei dati personali in relazione alla pandemia di Covid-19 non si è limitata a Immuni e le zone d’ombra sono numerose”, aggiunge.
Oltre all’app Immuni, introdotta in seguito a un provvedimento legislativo nazionale e a un percorso che coinvolto in via preventiva l’autorità garante, molte regioni hanno predisposto applicazioni diverse. Imponendone in alcuni casi l’utilizzo senza fornire però adeguate informazioni e garanzie sulle modalità di trattamento dei dati.
Il Garante, intervenuto su questo tema ad agosto, è stato chiaro: “L’emergenza COVID-19 non rappresenta automaticamente e di per sè, una base giuridica sufficiente volta a incidere su diritti e libertà costituzionalmente protette, legittimando trattamenti di dati particolarmente invasivi. Quali appunto quelli atti a consentire il tracciamento dei contatti da parte di qualsiasi titolare pubblico o privato”.
Concludendo con la massima chiarezza. “A tal proposito, l’Autorità, precisa che gli unici trattamenti di dati personali che, allo stato, possano vantare un’adeguata base giuridica, sono esclusivamente quelli che trovano il proprio fondamento in una norma di legge nazionale. Ogni altro trattamento finalizzato al contact tracing risulta pertanto privo di un’adeguata fonte giuridica legittimante. E, pertanto, effettuato in violazione della normativa europea e nazionale in materia di protezione dei dati personali”.
La raccolta dei dati “fai da te” in locali e attività commerciali
Le disposizioni del governo inoltre, che nella fase di emergenza hanno imposto la registrazione di nominativi e contatti in ristoranti e attività commerciali di ogni tipo, hanno portato a una raccolta di dati sensibili sui quali i titolari non hanno nessuna forma di controllo.
In particolare, numeri di telefono e indirizzi email sono stati registrati senza fornire alcuna informazione. Soprattutto sulle finalità della raccolta e le modalità di conservazione dei dati. Un fenomeno che, in alcuni casi, ha assunto ancora maggiore gravità quando la raccolta è stata eseguita attraverso strumenti tecnologici che sfruttavano l’uso di applicazioni Web attivabili dagli utenti tramite l’inquadramento di un QR Code. Che, oltre alle informazioni di cui sopra, sono in grado di estrarre anche codici IMEI, IMSI. E identificativi del dispositivo usato per collegarsi alla pagina Web.
“Se nella prima fase d’emergenza poteva anche essere “giustificabile” mettere in secondo piano la privacy in vista di un bene superiore, ad ora c’è stato tutto il tempo per implementare meccanismi di raccolta dati appropriati, conformi e limitati allo scopo”, continua Papini.
Fenomeno completamente diverso è quello legato alla gestione da parte degli organi di stampa delle informazioni riguardanti persone coinvolte in vicende legate alla pandemia.
“Negli ultimi mesi abbiamo registrato numerosi casi di cronaca riportati dai media senza preoccuparsi di tutelare la riservatezza riguardo informazioni sensibili come quelle sanitarie – fa notare Papini -. E’ accettabile che la tutela della salute pubblica possa comportare la caccia all’untore, la gogna mediatica e social contro le singole persone come successo in molteplici casi? Oppure, peggio ancora, che sia messo alla gogna come untore un soggetto vittima di un falso positivo?”.
Dal quadro che emerge, a giudizio dell’Accademia Italiana Privacy, si rende necessario un intervento che possa fornire a tutti i soggetti coinvolti delle linee guida precise. E che permetta così di conservare l’efficacia dei sistemi di contact tracing garantendo, al tempo stesso, la privacy dei cittadini. Un compito che può essere affidato al Garante. E che permetterebbe di mettere ordine in una situazione che, al momento, ha troppe aree grigie regolate da interventi episodici.
(ITALPRESS/TraMe&Tech).