CONSIDERAZIONI SUL RUOLO DI APPLE E GOOGLE NEI SISTEMI DI CONTACT TRACING
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
LEGGI
TECHNOLOGY
E NORME
CONSIDERAZIONI
SUL RUOLO DI APPLE E GOOGLE
NEI SISTEMI DI CONTACT TRACING
L’impiego delle app si è notevolmente incrementato nel tempo, riproponendosi anche nel pe-
riodo emergenziale (determinato dall’insorgere e dalla diffusione del virus covid-19) come sup-
porto alle autorità sanitarie nell’opera di contrasto alla pandemia nella prospettiva di interrom-
pere la catena delle infezioni più rapidamente rispetto ad altre misure. Sotto questo profilo, il
sistema di tracciamento dei contatti e allerta è stato ideato per individuare le persone entrate
in contatto con soggetti che sono risultati contaminati dal virus e informarle sulle misure che
andrebbero opportunamente assunte (autoisolamento, test, comportamenti da adottare se in-
sorgono sintomi). Per queste ragioni, distintamente dalle comuni applicazioni, le tecnologie di
rilevazione dei contatti (contact tracing) sono state annoverate tra le misure di sanità pubblica
il cui scopo è la prevenzione e il contenimento della diffusione delle malattie infettive, in par-
ticolare nell’ambito della c.d. “fase 2” che ha avviato il ritorno alle normali attività economiche
e sociali.
di Giovanni CREA, economista, è docente di “Economia aziendale e processi di amministra-
zione del lavoro” presso l’Università Europea di Roma. Dal 2008 è membro dell’Istituto Italia-
no per la Privacy e la valorizzazione dei dati, dove è Direttore della rivista di “Diritto, Economia
e Tecnologie della Privacy”.
IV / MMXX 31
SICUREZZAeGIUSTIZIA www.sicurezzaegiustizia.com
TECHNOLOGY
1. Introduzione D.L. 28/2020 (convertito con la L. 70/2020)3 – si
La storia delle applicazioni informatiche, le basa sul frame work tecnologico di Exposure
c.d. app (abbreviazione di application, utiliz- Notification, sviluppato dalle società Apple e
zata in informatica) ci racconta che i softwa- Google per supportare le applicazioni di trac-
re contenuti nei dispositivi personali sono ciamento. Tra le altre iniziative delle due big
stati progettati in funzione dell’interesse dei tech si registra quella dell’azienda di Cupertino
gestori a conoscere il comportamento degli che ha aggiornato il proprio sistema operativo
utilizzatori; sotto questo aspetto, il software con la versione iOS 13.7 in cui ha integrato una
è sempre stato un mezzo di trattamento di funzione di rilevamento dei contatti per i paesi
dati impostato al fine di rilevare tale compor- che non hanno ancora sviluppato un’applica-
tamento. Le app, dunque, sono state costruite zione per la notifica delle esposizioni. Il mo-
secondo logiche tutt’altro che data protection tore di ricerca, invece, realizzerà per il proprio
by design, caratterizzandosi per il fatto di in- sistema operativo (Android) un’applicazione
tegrare istruzioni di elaborazione di dati e di ‘standard’ che verrà adeguata con le imposta-
trasmissione ad altre parti di informazioni su zioni fornite dai singoli paesi, ma che dovrà co-
comportamenti e preferenze degli utenti, sul- munque essere scaricata dal Play Store.
la loro localizzazione geografica, spesso senza Le cronache digitali hanno tratteggiato que-
che questi siano stati al corrente di ciò che av- ste iniziative come una sorta di seconda fase
veniva con i dati a loro riferiti1. Esemplare, in di applicazione della modalità informatica di
tal senso, è il risalente caso del software deno- tracciamento, che tuttavia, con riguardo al
minato Real player – siamo negli anni novanta nostro paese, non determina il superamento
del secolo scorso – ideato per far accedere gli della soluzione di cui al citato art. 64 come an-
utenti a contenuti musicali e audiovisivi; oltre che dichiarato dai portavoce delle due azien-
alla funzionalità di accesso, detta tecnologia de5. Al riguardo, va ricordato che l’art. 6, c. 5
conteneva un’istruzione che, a loro insaputa, del D.L. 28/2020 convertito prevede la titolari-
trasmetteva al produttore le informazioni sui tà pubblica della piattaforma (di cui l’apposita
brani e sui video selezionati2. La scoperta di applicazione è una componente) con l’impie-
questo occulto trattamento di dati personali go di infrastrutture localizzate sul territorio
sollevò numerose critiche e proteste da parte nazionale, ove vengono effettuati i connessi
delle associazioni di difesa dei diritti dei con- trattamenti. In tale contesto il ruolo dei due
sumatori che, stando alle cronache dell’epoca, operatori sembrerebbe limitato alla semplice
indussero il produttore a rimuoverla. fornitura di tecnologie, senza che questa im-
plichi un trattamento di dati personali6.
2. Sistemi di tracciamento e ruolo delle
big tech 3 Cfr. Testo del decreto-legge 30 aprile
La realizzazione di un sistema di tracciamen- 2020, n. 28, coordinato con la legge di conver-
to dei contatti e allerta da parte di uno Stato sione 25 giugno 2020, n. 70, in G.U. n. 162 del
si basa necessariamente sull’accesso a risorse 29 giugno 2020.
tecnologiche rese disponibili da aziende che
operano nel settore dell’information and com- 4 Si veda, ad esempio, C. Rossi, App an-
munication technologies. L’esperienza europea ti-Covid, arriverà la notifica di Apple-Google
su tale fronte – tra cui il sistema di traccia- oltre Immuni, https://www.startmag.it/inno-
mento del nostro paese, istituito dall’art. 6 del vazione/app-anti-covid-oltre-immuni-arriva-
la-notifica-di-apple-google/, 29 agosto 2020
5 Sul punto, si veda l’articolo di G. Tri-
1 Sul punto, sia consentito un rinvio a podi, Immuni è qui per restare: l’app continue-
G. Crea, Macchine intelligenti e protezione dei rà ad essere necessaria in Italia, https://www.
dati in una prospettiva di ethics by design, in mobileworld.it/2020/09/02/i
Altalex, n. 5700, 20 febbraio 2018, reperibile mmuni-necessaria-in-italia-268092/, 2 set-
all’indirizzo https://www.altalex.com/docu- tembre 2020.
ments/news/2018/02/20/macchi 6 Cfr. Garante per la protezione dei
ne-intelligenti-e-protezione-dei-dati-in-una- dati personali, Provvedimento di autorizza-
prospettiva-di-ethics-by-design zione al trattamento dei dati personali effet-
2 Cfr. G. Sartor, Il diritto della rete glo- tuato attraverso il Sistema di allerta Covid-19
bale, in Ciberspazio e Diritto, vol. IV, n. 1, 2003, - App Immuni - 1° giugno 2020, Provvedi-
67-94. mento n. 95/2020, https://www.garantepri-
32 IV / MMXX
www.sicurezzaegiustizia.com
SICUREZZAeGIUSTIZIATECHNOLOGY
Le soluzioni di Apple e Google pongono pe- razione circa l’opportunità di escludere le big
raltro questioni rilevanti sotto il profilo della tech anche da ruoli di responsabili del tratta-
disciplina del trattamento dei dati personali, mento alla luce delle numerose esperienze
concernenti, in particolare, il ruolo che essi po- che mostrano tutte le difficoltà derivanti dalla
trebbero svolgere nell’organizzazione del trat- condizione di vincolare tali figure al titolare del
tamento dei dati personali – ruolo che, invero, trattamento trattando i dati personali soltan-
non appare tanto chiaro neppure nel modello to su sua istruzione documentata. Tale scelta
organizzativo del sistema di contact tracing costituirebbe una misura di garanzia, ricondu-
adottato nel nostro paese – ed i presumibili cendo i relativi trattamenti alla base giuridica,
trasferimenti di dati personali verso il territo- rinvenibile nel diritto dell’Unione o in quello
rio degli Stati Uniti. Tali questioni riportano nazionale, che prevede finalità di interesse
alla necessità di individuare misure tecniche e pubblico, in particolare nella sanità pubblica,
organizzative idonee a minimizzare i rischi di evitando in tal modo alla radice lo svolgimento
restrizione dei diritti e delle libertà delle per- di trattamenti per finalità legate agli interessi
sone fisiche che partecipano al tracciamento; dei due provider. Con riguardo a quest’ultimo
rischi che possono derivare dall’integrazione aspetto il board europeo si richiama al prin-
dei due provider nel modello organizzativo del cipio di limitazione delle finalità (art. 5.1.b),
trattamento dei dati personali. Gdpr) in virtù del quale le finalità devono es-
sere sufficientemente specifiche in modo da
3. Profili organizzativi escludere trattamenti ulteriori per scopi non
Il coinvolgimento di Apple e Google nei trat- legati all’emergenza causata dal Covid-19 (ad
tamenti di dati associati al tracciamento dei esempio, per fini commerciali)9.
contatti in altri paesi, considerate le caratte-
ristiche del trattamento, le categorie di dati 4. Implicazioni sui trasferimenti dei
personali raccolti e, soprattutto, la capacità di dati personali.
controllo su tali dati dei due operatori ripropo- La prospettiva dell’inclusione di Apple e
ne, una volta di più, dilemmi etici e questioni Google nell’organizzazione e gestione dei trat-
di compliance alle norme del regolamento tamenti dei dati di tracciamento pone anche la
europeo (Gdpr), delineando l’ombra di tratta- questione dei trasferimenti di tali dati perso-
menti occulti effettuati per finalità di controllo nali verso il territorio degli Stati Uniti, in cui i
dei comportamenti e di aumento del potere due provider hanno sede. È ben noto, al riguar-
di mercato7. Sappiamo come da simili tratta- do, che questi trasferimenti vanno ora valutati
menti – tutt’altro che al servizio dell’uomo, alla luce della sentenza c.d. Schrems II10 della
come previsto dal Gdpr8 – possano derivare Corte di giustizia Ue che ha dichiarato invali-
“probabili impatti” (rischi) su diritti, libertà, da la Decisione 2016/1250 della Commissione
prerogative e interessi che regolano l’attività europea. Con tale provvedimento l’autorità di
umana. Con riguardo a questi profili, il gruppo Bruxelles aveva certificato l’adeguatezza del-
europeo dei garanti (Edpb) ci ricorda che nei la protezione dei dati personali stabilita dai
casi in cui l’organizzazione del sistema di trac- principi adottati il 7 luglio 2016 dal Diparti-
ciamento coinvolge più figure devono essere mento del Commercio degli Stati Uniti e dalle
definiti con chiarezza e fin dall’inizio i ruoli e le dichiarazioni e impegni ufficiali riportati negli
responsabilità di tali figure, prospettando che allegati alla decisione del 2016; principi e im-
la titolarità dei trattamenti possa essere asse- pegni che nel loro insieme formavano lo scudo
gnata alle autorità sanitarie nazionali.
A queste valutazioni va aggiunta la conside- 9 Cfr. Edpb, Linee-guida 04/2020 sull’u-
so dei dati di localizzazione e degli strumenti
vacy.it/home/docweb/-/docweb-display/ per il tracciamento dei contatti nel contesto
docweb/9356568 dell’emergenza legata al COVID-19, 21 aprile
7 Cfr. F. Nicolicchia, Sorveglianza di 2020, parr. 25-26.
massa e prerogative di riservatezza dell’indivi- 10 Corte di giustizia Ue, Causa C-311/18,
duo durante l’emergenza SARS-CoV-2. Scenari Data Protection Commissioner/Maximilian
attuali e prospettive future, in www.giuri.uni- Schrems e Facebook Ireland, http://curia.eu-
fe.it/it/coronavirus/diritt ropa.eu/juris/document/document.jsf?text=&
o-virale. docid=228677&pageIndex
8 Si veda il quarto considerando del Re- =0&doclang= IT&mode=lst&dir=&occ=first&p
golamento (UE) 2016/679. art=1&cid=1946358
IV / MMXX 33
SICUREZZAeGIUSTIZIA www.sicurezzaegiustizia.comTECHNOLOGY
Ue-U.S.11. I giudici di Lussemburgo hanno rile- ne dei dati personali trasferiti oltreoceano
vato l’assenza del requisito della “sostanziale secondo i canoni dello stesso regolamento.
equivalenza” della normativa statunitense con Sul punto va osservato come tale valutazione
il Gdpr, con particolare riguardo sia all’acces- venga rimessa ai soggetti del trasferimento
so e utilizzo di tali dati da parte delle autorità (l’esportatore e l’importatore dei dati) la cui
interne previsto dalla suddetta normativa nel indipendenza dalla normativa statunitense –
quadro dei programmi di sorveglianza a fini in particolare, l’indipendenza della parte im-
di sicurezza sia al meccanismo di mediazione portatrice dei dati personali – appare difficil-
previsto dallo stesso Privacy shield12. mente ipotizzabile, specie se raffrontata a una
Peraltro, la mancanza di una decisione di ade- normativa che ha violato un accordo come il
guatezza del sistema statunitense di protezio- Privacy shield definito su scala geopolitica13.
ne dei dati personali apre alla valutazione della Sotto questo aspetto, ad esempio, lo stru-
capacità degli strumenti giuridici contemplati mento delle “clausole contrattuali standard”
dal Gdpr all’art. 46, di garantire la protezio- incontrerebbe difficoltà di applicazione, con
particolare riguardo alla clausola n. 5, lett. b)
11 Cfr. M. Masnada, Schrems II: invali- che prevede la garanzia da parte dell’importa-
do lo scudo UE-USA per la privacy ma valide le tore “di non avere motivo di ritenere che la nor-
clausole contrattuali tipo per il trasferimento mativa ad esso applicabile impedisca di seguire
di dati extra UE, https://www.dirittobancario. le istruzioni dell’esportatore o di adempiere agli
it/sites/default/files/al obblighi contrattuali, e di comunicare all’espor-
legati/masnada_m._schrems_ii_la_sentenza_ tatore, non appena ne abbia conoscenza, qual-
della_ corte_ue_sul_privacy_shield_2020.pdf siasi modificazione di tale normativa che possa
La Corte ritiene che il requisito della “sostan- pregiudicare le garanzie e gli obblighi previsti
ziale equivalenza” della normativa U.S. con il dalle presenti clausole, nel qual caso l’esporta-
diritto dell’Unione europea in materia di pro- tore ha facoltà di sospendere il trasferimento
tezione dei dati personali non sia soddisfatto, e/o di risolvere il contratto;”14.
sia con riguardo alle limitazioni alla protezio- Casi come questi, dunque, mettono a dura
ne dei dati personali trasferiti dall’Unione oltre prova la tenuta degli strumenti di cui all’art.
oceano derivanti dall’accesso e utilizzo di tali 46, Gdpr, richiedendo una valutazione (da
dati da parte delle autorità interne nel quadro parte dell’esportatore Ue e dell’importatore
dei programmi di sorveglianza previsti dalla extra Ue) delle circostanze del trasferimento e
suddetta normativa, sia in riferimento al mec- dell’integrazione di eventuali misure aggiunti-
canismo di mediazione previsto da tale deci- ve; valutazione che non esclude la scelta di chi
sione, all’indipendenza del mediatore e all’esi- esporta i dati di sospendere o porre fine al loro
stenza di norme che consentano a quest’ultimo trasferimento, aprendo alla prospettiva che
di adottare decisioni vincolanti nei confronti i dati dei cittadini europei restino e vengano
dei servizi di intelligence statunitensi e delle trattati sul territorio dell’Unione, in tal modo
altre autorità pubbliche statunitensi. risolvendo alla radice il problema del trasferi-
12 La Corte ritiene che le limitazioni che mento dei dati. Peraltro, tale scelta potrebbe
risultano dalla normativa degli Stati Uniti in essere riguardata alla stregua di una misura
materia di accesso e di utilizzo, da parte delle organizzativa da integrare nella valutazione
autorità interne, di dati trasferiti dall’Ue, non d’impatto del trattamento sulla protezione dei
presentano i requisiti di proporzionalità previ- dati ai sensi dell’art. 35, Gdpr. Tanto più se si
sti dal diritto unionale, giacché i programmi di considera che i grandi provider d’oltreoceano
sorveglianza fondati sulla suddetta normativa hanno, tutti, uno stabilimento nell’Ue.©
non si limitano a quanto strettamente necessa-
rio. Lo stesso collegio ha osservato che il mec-
canismo di mediazione previsto dal Privacy 13 Cfr. M. Nicotra, Addio Privacy Shield,
shield non fornisce alle persone interessate un perché è un grosso problema per le aziende e
mezzo di ricorso che offra garanzie sostanzial- come affrontarlo, in Cybersecurity360, 17 lu-
mente equivalenti a quelle previste nel diritto glio 2020, https://www.cybersecurity360.it/
dell’Ue, tali da assicurare tanto l’indipendenza legal/privacy-dati-personali/addio-privacy-
del mediatore quanto l’esistenza di norme che shield-perche-e-un-grosso-problema-per-le-
consentano al suddetto mediatore di adottare aziende/
decisioni vincolanti nei confronti dei servizi di 14 Sul punto si veda anche Corte di giu-
intelligence e delle autorità statunitensi. stizia Ue, Causa C-311/18, cit., paragrafo 142.
34 IV / MMXX
www.sicurezzaegiustizia.com
SICUREZZAeGIUSTIZIAPuoi anche leggere
