App immuni ed altri strumenti: problematiche connesse alla diffusione ed al trattamento dei dati personali.
ABSTRACT
La situazione emergenziale determinata dalla pandemia del Covid-19 ha portato le istituzioni ad utilizzare un’applicazione software, chiamata “Immuni”, per poter tracciare gli spostamenti dei cittadini e segnalare ogni volta in cui via sia stato il rischio di contatto con un soggetto positivo al Covid-19.
L’uso della app pone, però, diversi problemi, peraltro già noti per altri strumenti, agli operatori del diritto che coinvolgono anche le garanzie costituzionali, a partire dall’art. 15 della Costituzione che tutela la riservatezza delle comunicazioni e che rappresenta il dato normativo basilare dal quale dedurre il più ampio diritto alla riservatezza dei dati personali[1].
Introduzione e prime fonti normative
La prima introduzione dell’app Immuni nel nostro ordinamento è avvenuta con il D.L. n. 28 del 2020 che con l’art. 6 ha previsto l’istituzione di una piattaforma unica nazionale chiamata a gestire il c.d. “sistema di allerta Covid-19”.
Il sistema di allerta è finalizzato ad informare gli utenti dell’applicazione in caso di contatto con soggetti certificati come positivi al Covid-19. I dati raccolti con lo strumento verranno trattati dal Ministero della Salute.
Il soggetto incaricato della realizzazione dell’app è il commissario straordinario per la gestione dell’emergenza Covid-19.
La norma, al comma 2, individua sempre il Ministero della Salute come il soggetto chiamato ad effettuare, preliminarmente, una valutazione d’impatto ai sensi dell’art. 35 del G.D.P.R. sui possibili rischi connessi al trattamento dati.
Contestualmente, la norma richiede al medesimo Ministero di adottare misure tecniche adeguate al fine di garantire i seguenti presupposti per l’uso dell’app da parte degli utenti:
- l’accesso preventivo ad informazioni chiare e trasparenti ai sensi degli artt. 13 e 14 del GPPR per consentire una piena consapevolezza sulle finalità, sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione, nonché sui tempi di conservazione dei dati;
- l’autorizzazione ad usare solamente quei dati che consentano di avvisare gli utenti di un eventuale contatto con un soggetto risultato positivo al Covid-19;
- limitare il trattamento a quei casi di contatto con soggetti poi accertati come positivi al Covid-19 mediante l’utilizzo di dati anonimi o pseudonomizzati senza poter mai geolocalizzare gli utenti;
- siano garantite misure adeguate nei sistemi che impediscano di identificare in alcun modo il titolare dei dati;
- limitare l’archiviazione dei dati, anche sui dispositivi degli utenti, per il periodo limitato e strettamente necessario alla gestione dell’emergenza del Covid-19 con la cancellazione immediata degli stessi allo scadere del termine stabilito;
- garantire una modalità agevolata per l’esercizio dei diritti di cui agli artt. 15 e 22 del GDPR (diritto di accesso al trattamento dati e diritto di non essere sottoposto ad una decisione automatizzata, ivi inclusa la profilazione).
Vi è poi la norma del comma 3 che fornisce un’indicazione sulla possibilità di usare i dati esclusivamente per la finalità di contrastare l’emergenza del Covid-19. Viene fatta salva la facoltà di usare gli stessi in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica, ai sensi degli articoli 5, paragrafo 1, lettera a) e 9, paragrafo 2, lettere i) e j), del Regolamento (UE) 2016/679.
Per quanto concerne la piattaforma del sistema di allerta Covid-19, il comma n. 4 sancisce che questa debba essere di titolarità pubblica e che le relative infrastrutture siano situate all’interno del territorio nazionale.
Per quanto riguarda i programmi informatici è stata invece stabilita la titolarità pubblica con una licenza aperta.
Ad ogni buon conto il comma 6 impone la cancellazione o l’anonimizzazione di tutti i dati al termine dell’emergenza sanitaria[1]con la disattivazione dell’applicazione.
Chiariti i punti salienti del primo intervento normativo in materia, è opportuno provare ad elencare le diverse questioni che, in tempi normali, sono sorte con riferimento alla gestione dei dati personali, riferiti all’ambito sanitario.
Ciò, si intende, con il proposito di trarre qualche spunto di riflessione per una miglior analisi sulle potenzialità e i rischi derivanti dall’uso dell’app Immuni.
In proposito, viene in rilievo quanto già stabilito dall’art. 75 del D.lgs. n. 196 del 2003 (T.U. Privacy) che disciplina il trattamento del dato sanitario.
La norma, a seguito di riforma, richiama l’art. 9 del noto Regolamento Europeo che a sua volta stabilisce come sia proibito porre in essere un trattamento di dati fatte salve le eccezioni elencate nel medesimo articolo.
Per quanto qui interessa, le eccezioni più rilevanti sono quelle di cui alle lettere h)[2]ed i)[3] anche se il richiamo normativo operato dall’art. 6 comma n. 3 del D.L. n. 28 del 2020 coinvolge anche la lettera j) riferita all’uso dei dati in forma aggregata per ragioni di archiviazione di pubblico interesse, per ricerca scientifica o storica nonché per fini statistici.
La prima delle due lettere consente il trattamento del dato in ambito lavorativo per la verifica della capacità lavorativa di un dipendente oltre che per i casi di diagnosi, terapia ovvero per la gestione dei sistemi e servizi sanitari o sociali fondati sul diritto dell’Unione Europea o degli Stati membri nonché anche quando sia stato stipulato un contratto valido con un professionista della sanità.
Di maggiore interesse è però l’ipotesi prevista alla lettera i) poiché fa riferimento a “motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero”.
In questa ipotesi sembra più agevole poter ricondurre la pandemia del Covid-19. Partendo da questa eccezione contenuta nel GDPR, sarebbe quindi possibile affermare come legittimo un trattamento dei dati sanitari nella situazione creatasi con il Covid-19.
Pur tuttavia, l’intervento normativo del D.L. n. 28 del 2020 ha sancito come l’adesione all’app Immuni possa avvenire volontariamente da parte degli utenti[4]; non solo, è stata introdotta una clausola che vieta ogni effetto pregiudizievole per chi decida di non avvalersene, nel rispetto del principio di parità di trattamento.
In questi termini è quindi possibile delineare il perimetro normativo ad oggi vigente per l’uso dell’app Immuni; l’apparato di recente adozione è peraltro fitto di richiami al GDPR e si presta ad un coordinamento con le sanzioni già vigenti in precedenza, anche di natura penale, previste dal T.U. Privacy.
Il T.U. Privacy, infatti, prevede diverse fattispecie che sanzionano le condotte di trattamento illecito di dati (art. 167), di comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (art. 167-bis) ed acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art. 167-ter).
Tali ipotesi delittuose ben potrebbero essere ipotizzate in caso di violazione delle norme adottate dal Legislatore per regolamentare il sistema di allerta Covid-19.
I droni
Esaurita l’analisi delle questioni correlate all’utilizzo dell’app Immuni giova tenere a mente anche un altro strumento adottato durante l’emergenza Covid-19 per controllare gli spostamenti dei cittadini.
In particolare, per verificare il rispetto delle misure stabilite dai vari D.P.C.M. adottati per disporre le restrizioni alla libertà di circolazione, è stata adottata dall’E.N.A.C. una nota con cui sono state modificate le regole di utilizzo dei c.d. S.A.P.R.[5]più comunemente noti come i droni.
Più precisamente, l’E.N.A.C. ha adottato una nota per consentire agli organi di polizia locale e ad altri Enti di stato di utilizzare i droni in deroga al regolamento normalmente vigente[6] consentendo di utilizzare dispositivi c.d. “D-Flight” che non siano dotati del codice identificativo oltre a poter operare in modalità Visual Line of Sight [7].
Con la stessa nota è stato altresì consentito agli Enti di Stato di cui all’art. 744 del Codice della navigazione e alle polizie locali di pilotare i dispositivi anche nelle aree prospicienti a tutti gli aeroporti civili, normalmente individuate come “aree rosse”.
Con questo strumento, è stato quindi possibile, per le forze dell’ordine, raccogliere ingenti quantità di informazioni durante la fase più critica dell’emergenza sanitaria.
Per quanto qui interessa è d’obbligo chiedersi quali norme sono chiamate a garantire un adeguato bilanciamento tra il diritto alla salute della collettività sancito dall’art. 32 della Costituzione ed il diritto alla riservatezza di cui all’art. 42 della Carta dei diritti fondamentali dell’Unione Europea.
Come visto per l’app Immuni, soccorre in proposito il GDPR con l’art. 6, paragrafo 1, lett. d) che rappresenta una prima base giuridica per la limitazione della riservatezza dei cittadini; limitazione che è però subordinata al fine di “tutelare interessi vitali dell’interessato o di un’altra persona fisica” oltre a dover essere proporzionata rispetto a quest’ultimo fine e limitata nel tempo (c.d. minimizzazione del trattamento dei dati).
Facendo un passo ulteriore si può poi esporre la disamina dei dati normativi rilevanti per il successivo utilizzo delle informazioni raccolte con i droni nell’ambito di un eventuale processo penale.
Sul punto, si osserva come l’uso dei droni ben potrebbe essere propedeutico all’accertamento per illeciti amministrativi di cui all’art. 4 D.L. n. 19 del 25 marzo 2020 ovvero, ancora, potrebbero costituire notizia di reato per la fattispecie di cui all’art. 260 del Regio Decreto n. 1265 del 27 luglio 1934.
Non è poi mancata l’ipotesi di qualcuno secondo cui il risultato delle attività di vigilanza potrebbe essere utilizzato per accertare diversi ed ulteriori reati[8].
Sul punto si ravvisano diversi orientamenti giurisprudenziali che non identificano un dato normativo coerente per la qualificazione dell’elemento probatorio. Un primo filone considera le riprese audiovisive come una prova documentale disciplinata dall’art. 234 c.p.p. e quindi liberamente acquisibile al processo penale[9].
Di diverso avviso è invece un altro orientamento che ravvisa nella ripresa effettuata dal drone un mezzo di prova atipica, regolato dall’art. 189 c.p.p. Secondo questa impostazione l’acquisizione del mezzo di prova dovrebbe avvenire nei limiti previsti dalle norme vigenti ed il contrasto con la riservatezza dei cittadini non vi sarebbe quando la ripresa avvenga in un luogo pubblico o aperto al pubblico[10].
La conclusione pare, francamente, frettolosa e poco condivisibile.
Sul punto, si ravvisa un’incertezza dovuta alle oscillazioni della giurisprudenza, certamente cospicua e quindi non compiutamente esaminabile in questa sede.
E’ pertanto raccomandabile un intervento normativo che possa fugare eventuali dubbi sull’utilizzabilità delle riprese effettuate dai droni con un adeguato bilanciamento degli interessi contrapposti.
Il captatore informatico
Venendo ad un ulteriore strumento di acquisizione di informazioni e dati personali si può agevolmente pensare al c.d. Trojan o captatore informatico.
Con questa espressione si intende quel software in grado di inserirsi in un qualsiasi dispositivo mobile (smartphone, tablet o pc portatile) per poter poi estrapolare informazioni come le conversazioni su software di messaggistica istantanea o, addirittura, disporre l’accensione di microfoni e/o telecamere per ascoltare i presenti.
Attualmente, lo strumento è regolamentato dall’art. 266 e ss. c.p.p.[11] che ne consente l’utilizzo per quei reati indicati dall’art. 51 commi 3-bis e 3-quater c.p. oltre ai delitti commessi dai pubblici ufficiali contro la Pubblica Amministrazione per i quali sia prevista la pena della reclusione non inferiore nel massimo a cinque anni.
Sul punto si rileva che la disciplina intervenuta ha considerato l’acquisizione delle informazioni mediante captatore informatico come una forma di intercettazione senza considerare compiutamente la potenzialità acquisitiva del trojan.
La scelta non ha mancato di sollevare critiche poiché un intervento normativo limitato alla possibilità di utilizzare il microfono del dispositivo lascia aperte diverse “zone grigie”[12].
L’utilizzo delle altre potenzialità del trojan potrebbe infatti avvenire secondo la regolamentazione dei mezzi di prova atipici. Verrebbe dunque in rilievo, ancora una volta, l’art. 189 c.p.p. che disciplina l’adozione di mezzi di ricerca della prova atipici.
In questo passaggio si ravvisa un rischio per l’utilizzo del captatore informatico senza che vi sia un’adeguata regolamentazione chiamata a garantire il corretto bilanciamento dei diversi diritti costituzionalmente garantiti[13]. Non solo.
Anche la lettura dell’art. 271 comma 1-bis c.p.p. desta diverse perplessità dovute alla scarsa disciplina.
La norma sancisce l’inutilizzabilità delle intercettazioni effettuate mediante il captatore al di fuori dei tempi e dei luoghi previsti dal decreto autorizzativo ma, anche in questa sede, nulla dice sull’utilizzo delle altre potenzialità del captatore. Questa formulazione presenta due paradossi.
In primo luogo, l’inutilizzabilità processuale non esclude un’utilizzabilità de facto ai fini investigativi delle conversazioni raccolte. Nulla impedisce, infatti, agli inquirenti di poter adottare diversi mezzi di ricerca della prova alla luce di quanto appreso anche grazie al captatore informatico (sia pure con elementi “inutilizzabili” ai fini processuali).
Inoltre, il fatto che l’inutilizzabilità sia prevista solo per l’abuso dell’intercettazione, consente agli inquirenti di utilizzare anche le altre potenzialità del captatore sia pure in forza dell’art. 189 c.p.p. in materia di prove atipiche.
Anche questo strumento, dunque,
meriterebbe una maggiore attenzione da parte del legislatore per una disciplina
più compiuta che garantisca un corretto bilanciamento tra l’esigenza
investigativa di ricerca della prova e la riservatezza delle comunicazioni dei
cittadini.
Credits:
Avv. Riccardo Dimiziani
Associate
Attorney 231/2001 Compliance
[1] Come stabilita dal Decreto del Presidente del Consiglio e comunque non oltre il 31.12.2020.
[2] h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
[3] i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale;
[4] Il che determinerebbe il rilascio del consenso da parte degli utenti.
[5] Sistemi aerei a pilotaggio remoto
[6] Regolamento ENAC sull’impiego dei “Mezzi Aerei a Pilotaggio Remoto”, Edizione 3 del 11 novembre 2019; la deroga introdotta inizialmente con un provvedimento del 23.03.2020 e poi più volte posticipato sino al 18 maggio 2020;
[7] Con la quale si fa riferimento alla situazione in cui il soggetto che pilota il drone mantiene un contatto visivo costante con il dispositivo.
[8] M. Fardo Utilizzo dei droni nel contrasto al Covid-19. Il complesso bilanciamento tra la salute pubblica e la riservatezza personale.
[9] Cass. pen., Sez. V, sent. 20 ottobre 2004, n. 46307;
[10] Cass. pen., Sez. Un., sent. 28 marzo 2006, n. 26795;
[11] Di recente modificati dal D.L. n. 161 del 2019 poi convertito in Legge n. 7 del 28 febbraio 2020.
[12] Spangher, Critiche. Certezze. Perplessità. Osservazioni a prima lettura sul recente decreto legislativo in materia di intercettazioni, in Giur. penale web, 2018, n. 1
[13] In questo caso, però, la norma chiamata in causa è l’art. 15 della Costituzione che tutela il diritto alla riservatezza delle comunicazioni.
[1] Di recente sancito all’art. 42 della Carta dei diritti fondamentali dell’Unione Europea;