Dati di localizzazione, tracciamento dei contatti e Covid-19: le linee guida dell’EDPB

L’utilizzo di app per il tracciamento dei contatti sociali (c.d. contact tracing) pone necessariamente una serie di aspetti problematici in materia di privacy e protezione dei dati personali. Il monitoraggio sistematico e su larga scala dell’ubicazione e o dei contatti tra persone fisiche costituisce infatti una grave interferenza nella sfera della vita privata dell’individuo.

Ad oggi, in assenza di provvedimenti del Legislatore, il Commissario Straordinario per l’emergenza COVID-19, con l’ordinanza n. 10/2020, ha disposto di procedere alla stipula del contratto di concessione gratuita della licenza d’uso e di appalto di servizi gratuito con la società creatrice dell’app “Immuni”, prescelta dal Governo. Nell’ordinanza si afferma che il contact tracing è ritenuto un elemento importante all’interno di una strategia sostenibile post-emergenza per un ritorno alla normalità, in quanto tecnologia in grado di rilevare il tracciamento di prossimità in modo molto più efficiente e rapido rispetto a quello tradizionale.

Lo scorso 21 aprile il Comitato Europeo per la Protezione dei Dati (di seguito EDPB) è intervenuto adottando le Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19.

Lo scopo di queste linee guida è solamente quello di fornire dei chiarimenti sulle condizioni e sui principi per un uso proporzionato dei dati di localizzazione e degli strumenti di tracciamento. Il quadro normativo in questo ambito è infatti già rappresentato dal Regolamento UE 679/2016 (GDPR) e dalla Direttiva 2002/58/CE (Direttiva E-privacy) che di per sé consentono di gestire efficacemente tutti gli aspetti relativi alla privacy a fronte alla pandemia in corso.

Con riguardo all’utilizzo dei dati relativi all’ubicazione, l’EDPB ne individua due principali fonti: quelli raccolti da fornitori di servizi di comunicazione elettronica nel corso della prestazione del servizio (come gli operatori di telecomunicazioni mobili), e quelli relativi all’ubicazione raccolti da fornitori di servizi della società dell’informazione la cui funzionalità richiede l’uso di tali dati (ad es: servizi di navigazione).

Questi dati possono essere trattati solo entro i limiti di cui agli artt. 6 e 9 della direttiva 2002/58/CE; ciò significa che il fornitore potrà comunicarli alle autorità o a terzi solo se siano stati resi anonimi ovvero, per il caso in cui non siano dati relativi al traffico, subordinatamente alla raccolta del consenso dell’utente.

L’archiviazione di queste informazioni, ai sensi dell’art. 5 della sopracitata direttiva, può poi avvenire solo se l’utente ha prestato il consenso, ai sensi degli artt. 4 e 7 del GDPR, oppure solo se la memorizzazione e/o l’accesso sono strettamente necessari al servizio esplicitamente richiesto dall’utente.

In ogni caso nelle linee guida in analisi si evidenzia come dovrebbe essere privilegiato il trattamento dei dati relativi all’ubicazione in forma anonimizzata. L’anonimizzazione consente infatti di utilizzare i dati senza limitazioni, eliminando la possibilità di collegarli ad una persona fisica identificata o identificabile con uno sforzo “ragionevole”.

Con riguardo alle app per il tracciamento dei contatti, il loro utilizzo, secondo l’EDPB, può essere legittimato solamente sulla base di un’adozione volontaria da parte degli utenti. Ciò comporta che coloro che non intendano o non possano utilizzare tali applicazioni non debbano subire alcun pregiudizio.

La realizzazione di applicazioni per il tracciamento dei contatti deve poi fondarsi sui principi di responsabilizzazione, di limitazione delle finalità di trattamento, di minimizzazione, di protezione dei dati fin dalla progettazione e di limitazione della conservazione dei dati. In applicazione di questi principi le app non dovrebbero comportare il tracciamento della posizione dei singoli utenti, bensì utilizzare le informazioni di prossimità relative agli utenti stessi. Queste informazioni, che devono essere pertinenti e strettamente necessarie, dovrebbero poi risiedere nell’apparecchiatura terminale dell’utente. Il trattamento delle informazioni così raccolte non necessita del consenso dell’utente esclusivamente laddove le operazioni di trattamento siano necessarie per consentire al fornitore dell’app di rendere il servizio esplicitamente richiesto.

L’utilizzo delle app di tracciamento può poi comportare il trattamento di dati personali relativi alla salute che come tali sono soggetti alle particolari garanzie contenute nell’art. 9 del GDPR. Il Comitato in proposito ricorda che il trattamento dei dati relativi alla salute è consentito quando è necessario per motivi di interesse pubblico nel settore della sanità pubblica (art. 9, co. II, lett. i) del GDPR) o per le finalità dell’assistenza sanitaria (art. 9, co. II, lett. h) GDPR).

In conclusione, l’EDPB chiarisce che l’attuale crisi sanitaria non dovrebbe trasformarsi in un’occasione per derogare al principio di limitazione della conservazione dei dati. La conservazione infatti dovrebbe essere limitata alla luce delle reali esigenze e della rilevanza medica dei dati personali, i quali dovrebbero essere conservati solo per la durata della crisi dovuta al COVID-19, ed al cui termine dovrebbero essere cancellati o resi anonimi.

Il provvedimento del Garante della Privacy n. 146, del 5 giugno 2019: nuove prescrizioni relative al trattamento di particolari categorie di dati

Con il provvedimento del 5 giugno 2019, n. 146, pubblicato sulla Gazzetta Ufficiale Serie Generale n. 176 del 29 luglio 2019, il Garante per la protezione dei Dati personali emana il “Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101”.

Come recita il titolo del Provvedimento, l’art. 21 del d.lgs. 10 agosto 2018, n. 101, recante le “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 (…)” prevede che il Garante per la protezione dei dati personali emani “le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al capo IX del regolamento (UE) 2016/679, che risultano compatibili con le disposizioni del medesimo regolamento e del presente decreto” e, ove occorra, provveda al loro aggiornamento. La norma, al secondo comma, statuisce anche che “Le autorizzazioni generali sottoposte a verifica (…) che sono state ritenute incompatibili con le disposizioni del Regolamento (UE) 2016/279 cessano di produrre effetti dal momento della pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del provvedimento di cui al comma 1”.

Il Garante della Privacy, aggiorna e modifica le disposizioni contenute nelle autorizzazioni generali n. 1/2016, n. 3/2016, n. 6/2016, n. 8/2016 e n. 9/2016 precedentemente adottate, ove necessario a renderle conformi al regolamento 679/2016.

Il Provvedimento è suddiviso in cinque parti:

  1. “trattamento di categorie particolari di dati nei rapporti di lavoro (aut. gen. n. 1/2016)”;
  2.  “trattamento di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (aut. gen. n. 3/2016)”;
  3.  “trattamento di categorie particolari di dati da parte degli investigatori privati (aut. gen. n. 6/2016)”;
  4.  “trattamento dei dati genetici (aut. gen. n. 8/2016)”;
  5. “trattamento dei dati personali effettuato per scopi di ricerca scientifica (aut. gen. n. 9/2016)”.

I soggetti interessati ai quali le categorie particolari di dati si riferiscono, indicati all’art. 2.2, sono i candidati all’instaurazione dei rapporti di lavoro, i lavoratori subordinati, i consulenti e liberi professionisti, gli agenti, i rappresentanti, i soggetti che svolgono collaborazioni organizzate dal committente, le persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, i terzi danneggiati nell’esercizio dell’attività lavorativa o professionale ed i terzi per il rilascio di agevolazioni e permessi.

Individuati i soggetti interessati, in particolare finalità il provvedimento stabilisce che il trattamento delle particolari categorie di dati, così come indicate dall’art 9 del GDPR, può avvenire solo se necessario al raggiungimento di particolari finalità “Prescrizioni specifiche relative alle diverse categorie di dati”, individuati gli articoli 13 e 14 del Regolamento Europeo che riguardano i trattamenti compiuti nella fase preliminare delle assunzioni, e quelli effettuati nel corso del rapporto di lavoro.

In fine si evidenzia, che vi è particolare attenzione, al consenso dell’interessato per il trattamento dei dati genetici, che diventa necessario in quattro determinati casi: a) per “finalità di tutela della salute di un soggetto terzo (…)”; b) per “lo svolgimento di test genetici nell’ambito delle investigazioni difensive o per l’esercizio di un diritto in sede giudiziaria, salvo che un’espressa disposizione di legge, o un provvedimento dell’autorità giudiziaria in conformità alla legge disponga altrimenti”; c) per “i trattamenti effettuati mediante test genetici, compreso lo screening, a fini di ricerca o di ricongiungimento familiare. (…)”; d) per “finalità di ricerca scientifica e statistica non previste dalla legge o da altro requisito specifico di cui all’art. 9 del Regolamento”.

In conclusione si deve sottolineare l’importanza e il rilievo, che sancisce un adeguato aggiornamento e adempimento dei principi contenuti e previsti nel regolamento (UE 2016/679).

 

Il testo del provvedimento è reperibile al seguente link: gazzettaufficiale.it

Le novità introdotte con l’entrata in vigore del regolamento UE 2019/881 “Cybersecurity Act”

Con la pubblicazione il 7 Giugno 2019 sulla Gazzetta Ufficiale dell’Unione europea, il 27 giugno 2019 è entrato in vigore il Regolamento UE 2019/881 del Parlamento europeo e del Consiglio “relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione”, meglio noto comeCybersecurity Act”.

Tale Regolamento si inserisce in un quadro europeo già regolato dal Regolamento UE 2016/679 in materia di protezione dei dati (c.d. GDPR) e dalla Direttiva UE 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione (c.d. Direttiva NIS) e prosegue dunque l’attività legislativa delle Istituzioni europee relativa alla sicurezza delle reti e dei sistemi informatici, ponendosi come obiettivo quello di fornire una strategia di sicurezza informatica comune a tutti gli Stati membri, al fine di prevenire e/o reprimere gli attacchi informatici.

In particolare, il predetto Regolamento, al fine di soddisfare lo scopo, di cui all’art. 1, di garantire il buon funzionamento del mercato interno perseguendo nel contempo un elevato livello di “cibersicurezza, ciberresilienza e fiducia all’interno dell’Unione stabilisce:

1) gli obiettivi, i compiti e gli aspetti organizzativi dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA);

2) un quadro per l’introduzione di sistemi europei di certificazione della sicurezza informatica dei prodotti e dei servizi digitali.

Per quanto concerne il ruolo rivestito dall’ENISA, finora consistito nell’assistere in termini tecnici gli Stati membri e le Istituzioni europee nell’elaborazione delle politiche in materia di sicurezza delle reti e dei sistemi informativi, il Cybersecurity Act mira a rafforzarlo garantendole un mandato permanente e consentendole di svolgere non solo compiti di consulenza tecnica, come è stato fino ad ora, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri.

Con l’introduzione di un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali, il Cybersecurity Act intende creare un quadro comune di regole volte a disciplinare schemi europei di certificazione della sicurezza informatica, al fine di migliorare le condizioni di funzionamento del mercato interno aumentando il livello di cibersicurezza all’interno dell’Unione europea e rendendo possibile un approccio armonizzato dei sistemi europei di certificazione della cibersicurezza allo scopo di creare un mercato unico europeo per i prodotti ed i servizi digitali (art. 46 Reg.to UE 2019/881).

Tali schemi di certificazione verranno predisposti dall’ENISA, adottati mediante atti di esecuzione da parte della Commissione europea e pubblicati sul sito web dell’ENISA (artt. 47-50 Reg.to UE 2019/881); le aziende interessate potranno così presentare domanda di certificazione dei propri prodotti o servizi a specifici organismi accreditati, salvo per i prodotti o i servizi a basso rischio per i quali lo schema di certificazione consente all’azienda di procedere ad una autovalutazione di conformità (art. 53 Reg.to UE 2019/881).

Va evidenziato che la certificazione della cibersicurezza è volontaria, come specificato dall’art. 56 Reg.to UE 2019/881, salvo diversamente specificato dal diritto dell’Unione o degli Stati membri.

Gli schemi europei di certificazione andranno dunque a sostituire gli schemi nazionali di certificazione a decorrere dalla data stabilita nell’atto di esecuzione, ma i certificati rilasciati sulla base di questi ultimi rimarranno validi sino alla loro naturale scadenza, secondo quanto previsto dall’art. 57 Reg.to UE 2019/881.

Con riferimento poi al sistema sanzionatorio, l’art. 65 Reg.to UE 2019/881 prevede che gli Stati membri stabiliscano le norme relative alle sanzioni applicabili in caso di violazione dei sistemi europei di certificazione della cibersicurezza e adottino tutte le misure necessarie per assicurarne l’applicazione.

Trattandosi di un Regolamento, il Cybersecurity Act è immediatamente applicabile dalla sua entrata in vigore e dunque dal 27 giugno 2019 in tutti gli Stati membri, senza necessità di interventi attuativi da parte dei legislatori nazionali, salvo alcune limitate disposizioni, indicate all’art. 69 Reg.to UE 2019/881, che saranno applicabili dal 28 giugno 2021.

Il Cybersecurity Act rappresenta sicuramente un importante passo in avanti nella attività legislativa delle Istituzioni europee in ambito di sicurezza delle reti e dei sistemi informatici, attività già iniziata con il Regolamento UE 2016/679 in materia di protezione dei dati (c.d. GDPR) e con la Direttiva UE 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione (c.d. Direttiva NIS).

Il Regolamento UE 2019/881, infatti, ponendosi come obiettivo quello di fornire una strategia di sicurezza informatica comune a tutti gli Stati membri, mira a realizzare un modello di “security by design” volto a garantire la sicurezza informatica dei prodotti e dei servizi digitali fin dalla fase di progettazione degli stessi.

Tale obiettivo, come si è visto, viene perseguito, da un lato, con il rafforzamento del ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) e, dall’altro, con l’introduzione di un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali.

Ciò che si auspica con l’entrata in vigore di tale normativa europea è pertanto l’aumento del livello di sicurezza all’interno dell’Unione europea e di conseguenza la maggior capacità di prevenzione e/o di repressione degli attacchi informatici oltre all’accrescimento della fiducia dei consumatori nelle tecnologie digitali.

Il Regolamento UE 2016/679 a poco più di un anno dall’entrata in vigore

È trascorso ormai poco più di un anno dal 25 maggio 2018 data di entrata in vigore del Regolamento UE 2016/679, denominato GDPR, avente ad oggetto la protezione delle persone fisiche ed il trattamento dei dati personali, che ha comportato l’adeguamento, in data 19 settembre 2018, della normativa nazionale vigente in materia di privacy.

Ed il 20 maggio 2019 è scaduto il c.d. periodo di moratoria, previsto dal D.Lgs. 101/2018, che prevedeva per i primi otto mesi di applicazione del Regolamento che il Garante tenesse conto, ai fini della applicazione delle sanzioni in esso prescritte, della prima fase di avvio del GDPR.

Ora, a partire dal 20 maggio 2019, il Garante, in collaborazione con la Guardia di Finanza, può applicare pienamente tutte le sanzioni amministrative, civili e penali previste dal GDPR nel caso di inosservanza della normativa in materia di privacy, senza alcuna tolleranza.

La nuova normativa, come è noto, ha introdotto importanti modifiche e nuovi adempimenti aventi impatto su aziende, professionisti ed enti pubblici nella disciplina di trattamento dei dati, imponendo un riesame sia della struttura organizzativa dell’impresa e delle sue procedure, sia delle misure di sicurezza informatica.

Nello specifico, la nuova normativa ha previsto, pena l’applicazione di pesanti sanzioni amministrative, civili e penali, l’adempimento di numerosi obblighi, che possono essere così riassunti:

  1. responsabilizzazione dei titolari e dei responsabili del trattamento di dati personali, sui quali incombe l’onere di dimostrare la concreta adozione all’interno del proprio sistema privacy di misure tecniche ed organizzative finalizzate ad assicurare l’applicazione del regolamento (c.d. principio dell’accountability);
  2. valutazione da parte del titolare dei rischi privacy inerenti i trattamenti effettuati (c.d. risk assessment) oltre all’obbligo di effettuare “valutazioni di impatto” (c.d. “privacy impact assessment”) prima di procedere ad un trattamento di dati che “possa presentare un rischio elevato per i diritti e le libertà”;
  3. individuazione ed adozione di misure di sicurezza “adeguate” per prevenire eventuali violazioni dei dati;
  4. revisione ed implementazione delle informative privacy;
  5. revisione dell’organigramma privacy: nomina dei responsabili del trattamento con apposito atto giuridico scritto e nomina per i titolari del trattamento che presentino i requisiti dettati dall’articolo 37 GDPR del «Responsabile della Protezione dei Dati» (c.d. Data Protection Officer o DPO);
  6. adozione del registro di trattamento dei dati (fortemente consigliato dal Garante per tutti i soggetti).

Al fine di garantire la corretta applicazione dei principi stabiliti dal Codice e sensibilizzare i soggetti tenuti all’adempimento degli obblighi prescritti dal GDPR sull’importanza e sul rispetto della nuova normativa, il Garante ha emesso fin dall’entrata vigore del Regolamento UE una serie di provvedimenti, linee guida e newsletter, che ha reso disponibili sul proprio sito, volti principalmente a fornire indicazioni di carattere generale in relazione al trattamento di dati personali in vari ambiti e a far conoscere tutti gli adempimenti necessari in ogni settore.

In particolare, tra i provvedimenti più rilevanti si richiama quello del 30.04.2019 in materia di data breach, in relazione al quale il Garante ha stabilito che le comunicazioni agli utenti non devono essere generiche, ma devono consentire alle persone di comprendere i rischi e proteggere i loro dati; il provvedimento del 7.03.2019 in materia sanitaria, in relazione al quale il Garante ha fornito precise e puntuali indicazioni sul trattamento dei dati sulla salute in ambito sanitario; il provvedimento del 28.2.2019 relativo al trattamento di dati personali dei dipendenti mediante dispositivi indossabili, in relazione al quale il Garante ha raccomandato l’adozione di dispositivi che per le loro caratteristiche esteriori non siano lesivi della dignità del dipendente e che comunque non siano percepiti come tali dallo stesso; la newsletter del 7.02.2019 con la quale il Garante ha precisato il ruolo e la responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela, identificandoli come “responsabili del trattamento” quando trattano dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.

In data 18.4.2019 il Garante ha pubblicato il bilancio relativo al primo anno dalla entrata in vigore del GDPR: al 31 marzo scorso sono stati registrati 7.219 reclami e ben 946 notifiche di data breach, di cui 641 solo negli ultimi sei mesi; a questi dati si aggiungono quasi 20.000 contatti con l’Ufficio relazioni del Garante, e quasi 50.000 comunicazioni dei dati di contatto dei Responsabili della Protezione dei Dati.

Come sopra evidenziato, a distanza di quasi un anno dalla emanazione del GDPR ed in previsione della emanazione del Cybersecurity Act è necessario porsi una domanda e, più precisamente, le PMI come intendono affrontare in relazione al principio di accountability la gestione del dato così come precisato e statuito dal Regolamento europeo?

La risposta non è semplice e la strada è ancora lunga sicuramente per tutti i soggetti destinatari di questa normativa.

Certamente i concetti di decisioni automatiche e di profilazione nel mondo della cyber security sono di basilare importanza per poter garantire l’efficacia di un sistema che deve essere sia organizzato che rispettoso di tutta la normativa nazionale ed europea.