31 Marzo 2020

COVID-19 e norme sul trattamento dei dati sanitari: il GDPR e il modello coreano

VINCENZO COLAROCCO

Immagine dell'articolo: <span>COVID-19 e norme sul trattamento dei dati sanitari: il GDPR e il modello coreano</span>

Abstract

                                   Aggiornato al 31.03.2020

La pandemia da COVID-19 ha comportato l’inevitabile raccolta di dati personali, anche di tipo sanitario. Il monitoraggio dei cittadini ha consentito di arrestare la diffusione del virus in Corea del Sud. L’Italia, primo Paese colpito dell’Europa, si trova oggi a valutare la percorribilità della misura del contact tracing.

***

La diffusione del COVID-19 in Oriente: il modello Coreano

Come noto, la pandemia del 2020 ha preso avvio nei Paesi orientali, con il primo focolaio a Wuhan (Cina). A fronte dell’ingente numero di contagi e decessi, contestualmente all’adozione di stringenti misure di prevenzione e contrasto (come quelle dello smart-working forzato, della sospensione delle attività produttive e delle attività scolastiche, del blocco dei trasporti e dell’obbligo di indossare la mascherina), la priorità è stata quella dell’identificazione dei soggetti contagiati in modo tale da procedere all’isolamento di chi fosse entrato nella loro rete di relazioni. Tra i modelli di gestione si è distinto quello della Corea del Sud. A fronte di una massiccia campagna di tamponi, la Corea del Sud ha richiesto ai propri cittadini l’utilizzo di una applicazione di geo-tracking in grado di monitorare ogni spostamento del possessore del device[1]. In questo modo, è stato possibile monitorare le azioni dei soggetti contagiati, sino ad ottenere sul proprio dispositivo un alert in loro prossimità. A quanto pare sono state raccolte anche ulteriori informazioni: sono stati tracciati gli accessi agli ambulatori e alle farmacie, le transazioni delle carte di credito, le registrazioni delle videocamera di sorveglianza. Un monitoraggio, questo, che ha consentito di ottenere in breve tempo una effettiva riduzione del numero di contagiati, seppur con evidente compressione delle libertà dei cittadini tra cui la privacy .

 

L’emergenza italiana e gli interventi in materia di trattamento di dati personali  

Ai primi casi di contagio nel nostro Paese è seguita la dichiarazione dello stato di emergenza sul territorio nazionale del 31 gennaio 2020. Numerosi sono stati i provvedimenti, via via più stringenti, emanati per contenere la diffusione del virus. Con tali provvedimenti il Governo è intervenuto anche sulle modalità di trattamento dei dati personali per finalità di prevenzione e contrasto dell’epidemia. Se in un primo momento la raccolta dei dati sanitari per tali finalità veniva consentita solo alle autorità competenti, al personale sanitario ed agli operatori della Protezione Civile, con il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” del 14 marzo 2020 anche ai datori di lavoro è stato concesso procedere alla raccolta di informazioni sanitarie, come la rilevazione della temperatura corporea, al fine di gestire congiuntamente l’emergenza. In occasione di tale trattamento, la base giuridica è stata indicata nell’obbligo di legge (implementazione dei protocolli di sicurezza anti-contagio) ed il periodo di conservazione dei dati dalla durata nello stato d’emergenza. Con la Direttiva n. 1/2020 del 26 febbraio 2020, invece, all’art. 14 sono state riconosciute apposite deroghe alla disciplina generale sui dati sanitari per le competenti autorità e gli operatori sanitari: tali soggetti possono procedere anche alla comunicazione a terzi dei dati personali raccolti, nonché all’attribuzione di funzioni e compiti a soggetti designati ed alla predisposizione dell’informativa anche in forma semplificata ed orale.

 

Possibili scenari per il contenimento del contagio: il contact tracing

Lo scenario particolarmente critico rappresentato dai dati della Protezione Civile ha indotto ad una riflessione sull’opportunità di mettere a terra un sistema di monitoraggio dei cittadini come quello del contact tracing digitale.
In Corea del Sud è la normativa nazionale sulla data protection che consente il monitoraggio nel caso in cui trattamento dei dati venga operato esclusivamente da soggetti istituzionalmente deputati alla gestione dell'emergenza e nel divieto della loro comunicazione.
Sul tema del monitoraggio dei dati di traffico è intervenuto il Garante europeo per la protezione dei dati (European Data Protection Board), con la Dichiarazione del 19 marzo 2020. L’EDPB ha chiarito che i dati di localizzazione possono essere utilizzati solo se resi anonimi oppure in presenza del consenso degli interessati. Tuttavia, l’art. 15 della Direttiva ePrivacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica. Il ricorso a tale deroga d’eccezione è possibile, a parere del Garante europeo, solo se costituisce una misura necessaria, appropriata e proporzionata, nonché conforme alla Carta dei diritti fondamentali ed alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali. Inoltre, il trattamento di tali dati dovrebbe essere limitato al tempo strettamente necessario alla gestione dell’emergenza.
Il Garante privacy, Antonello Soro ha dichiarato che il contact tracing non può attualmente essere adottato in assenza di una specifica normativa ad hoc[2]. L’attuale normativa, infatti, richiede che il trattamento su larga scala con finalità di monitoraggio venga posto in essere previa adozione degli strumenti per minimizzare il pericolo di abusi, secondo i principi di precauzione e prevenzione, che impongono misure di sicurezza e garanzie di protezione dati già nella fase di progettazione e impostazione della struttura tecnologica. Piuttosto, il Garante ha caldeggiato l’acquisizione di dati anonimi di mobilità, al fine di consentire la ricostruzione della catena epidemiologica. Tale differente strumento di monitoraggio è stato da ultimo impiegato dalla Regione Lombardia che ha analizzato gli spostamenti "da cella a cella" dei dispositivi mobili usando i dati messi a disposizione dalle compagnie telefoniche. Con il decreto legge “Cura Italia” è stata istituita una task force governativa che si propone di valutare le esperienze internazionali di prevenzione, anche sperimentando tecnologie digitali. Non resta che attendere le determinazioni del Ministero dell’Innovazione sulla compatibilità di tali misure nell’ordinamento italiano.

 

Il presente articolo è stato redatto con la collaborazione dell'Avv. Chiara Benvenuto - Studio Previti

 

[1] La Corea del Sud non è stato l’unico Paese ad adottare tali tecnologie: anche Singapore e altri Paesi asiatici come le Filippine, Indonesia, Taiwan hanno optato per il monitoraggio dei cittadini. Si veda, a titolo esemplificativo, il seguente link http://co.vid19.sg/cases .

[2] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9299193

 

Altri Talks