Applicazioni di tracciamento anti-Covid19 e data protection

Dal mese di marzo 2020, si è aperto anche in Italia un acceso dibattito sull’architettura, sulle garanzie e sui requisiti che le app di tracciamento dei contagi devono soddisfare.

Il nostro studio legale ha partecipato attivamente all’individuazione dei profili giuridici. Ci piace fornirne una sintesi, ritenendola di interesse.

La lettera aperta del 25 marzo

Il 25 marzo scorso, in particolare, abbiamo indirizzato a vari soggetti istituzionali una lettera aperta, scritta assieme al collega Andrea Lisi, alla quale hanno aderito primari colleghi ed esperti della materia.

In quell’occasione abbiamo evidenziato come fosse necessario distinguere tra una finalità di ricostruzione dei contatti (contact-tracing) e una finalità repressiva di sorveglianza della quarantena.

Abbiamo anche evidenziato che il raggiungimento degli obiettivi di ricostruzione dei contatti dipendono dalla disponibilità immediata di tamponi. Dunque l’analisi privacy non può essere disgiunta dal programma di diagnosi, e quest’ultimo dovrebbe entrare nella valutazione d’impatto (DPIA).

Si rimanda, per maggiori approfondimenti, al testo della lettera (qui il pdf dal sito di Anorc).

Il Garante per la protezione dei dati personali, gentilmente rispondendoci nella persona del presidente Soro, ha sostanzialmente confermato la correttezza di entrambi questi punti fondamentali, pur non giungendo a pronunciarsi espressamente in merito alla DPIA.

Dieci domande (senza risposta) al Ministro

Il 17 aprile 2020, abbiamo rivolto pubblicamente dieci domande al Ministro per l’innovazione digitale, a firma congiunta dell’avv. Pelino e del collega Fulvio Sanzana di Sant’Ippolito (con un contributo di Roberto Scano).

La richiesta è stata gentilmente ospitata da una testata di primo piano, Agenda Digitale, ed è leggibile qui.

Tra le richieste, figura quella di avere informazioni sulla DPIA, sulla pseudonimizzazione, sulle categorie di dati personali trattati, sulla loro circolazione, sull’interazione con la piattaforma progettata da Google ed Apple.

Sono domande essenziali, che, sfortunatamente, attendono ancora una risposta istituzionale. La valutazione d’impatto, per esempio, deve ritenersi obbligatoria, dal momento che ricorrono ben cinque delle condizioni esaminate nelle linee guida europee dell’EDPB/WP29. Ne sarebbero sufficienti due.

È appena il caso di notare che la DPIA dovrebbe precedere la progettazione e certamente l’implementazione di un’applicazione di tracciamento. Le linee guida richiamate indicano espressamente: “La valutazione d’impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento anche se alcune delle operazioni di trattamento non sono ancora note”.

Non solo. Le recentessime linee guida n. 4/2020 dell’EDPB ribadiscono come “debba essere effettuata una valutazione d’impatto [DPIA] sulla protezione dei dati prima di implementare le app in questione”.

Ad oggi non abbiamo alcuna notizia sul rispetto di questo fondamentale adempimento, che, lungi dall’essere un esercizio di forma, costituisce il momento in cui si disegna l’architettura del trattamento. Con una metafora: è come cominciare a edificare una casa senza avere fatto il progetto.

Una nuova lettera aperta

Il 25 aprile 2020, l’avv. Enrico Pelino ha sottoscritto, con i colleghi Andrea Lisi e Fulvio Sarzana di Sant’Ippolito, un’ulteriore lettera al Ministro per l’innovazione tecnologica e la digitalizzazione, chiedendo trasparenza.

Qui la notizia, mentre il pdf della lettera può essere scaricato da questa pagina.

Trasparenza su che cosa? Sulle procedure di selezione dell’applicazione, sui verbali della task force (al momento non accessibili, se non per esiguo estratto), sul contratto con il fornitore (idem), sulla DPIA (ancora), sui flussi di dati personali, sulle categorie degli stessi, sulla pseudonimizzazione.

Abbiamo cioè chiesto di trasformare quella che oggi è a tutti gli effetti una black box in una scatola di cristallo. Non si può chiedere fiducia ai cittadini e invitarli a utilizzare un’applicazione sulla quale si addensa il più fitto mistero istituzionale. Chi domanda fiducia deve insomma fornire trasparenza: prima ancora che un obbligo giuridico, questo è un imperativo istituzionale.

Ad oggi la lettera aperta, nonostante abbia ricevuto amplissima adesione da parte di esperti e studiosi di primissimo livello, tra i quali l’ex presidente del Garante per la protezione dei dati personali, prof. Pizzetti, non ha meritato alcuna risposta.

Vi terremo aggiornati sugli sviluppi.

È lecita la videosorveglianza segreta da parte di un comune?

Ci è stata posta questa domanda a proposito di recenti notizie di stampa relative a un comune del bolognese, Anzola dell’Emilia. La vicenda tocca evidenti profili privacy di interesse generale che trascendono l'episodio specifico. Riteniamo perciò utile pubblicare la nostra valutazione.

Leggi tutto "

È lecita la videosorveglianza segreta da parte di un comune?

"

Informativa sul trattamento dei dati personali

Gentile Utente/Cliente/Assistito/Interessato,

Lo studio legale Grieco Pelino Avvocati osserva in maniera scrupolosa gli obblighi normativi in materia di tutela dei dati personali.

Finalità del trattamento, basi giuridiche, periodo di conservazione

1. Visualizzazione sito e navigazione
  • Precisazioni sulla finalità: la visualizzazione del sito e la navigazione al suo interno comportano, per ragioni intrinseche all'utilizzo di protocolli informatici, uno scambio di informazioni tecniche tra il nostro sistema informatico e il Suo. Le informazioni trasmesse sono ad esempio le seguenti: sistema operativo utilizzato, browser e sua versione, orario della richiesta, dimensione dei flussi di informazioni. In ogni caso, le informazioni raccolte per la finalità qui in esame non sono dirette a identificarLa, ma potrebbero essere idonee a farlo nel caso di commissione di illeciti. Per garantirLe un accesso e una navigazione senza preoccupazioni, abbiamo scelto di non usare cookie che richiedano il Suo consenso: per questo non trova alcun banner sulla pagina iniziale
  • Base giuridica: contratto e misure precontrattuali, art. 6.1.b) GDPR
  • Conservazione: i dati sono immediatamente cancellati al cessare della sessione di navigazione, a meno che essi non siano necessari per l’esercizio o la difesa di diritti (ved. più avanti).

2. Gestione dei contatti
  • Precisazioni sulla finalità: la compilazione del modulo contatti presente sul sito o più in generale l'invio di una email di contatto comportano necessariamente il trattamento dei dati personali ivi contenuti (nome, cognome, oggetto, recapiti di contatto)
  • NB: le comunicazioni di cui sopra e i relativi allegati sono lette da tutti i componenti dello studio legale, essendo strumenti di lavoro, non hanno dunque natura di corrispondenza privata e personale. Ovviamente sono protette da stringenti obblighi di riservatezza e non sono rivelate a terzi se non per ragioni connesse con l'espletamento dell'incarico, ordini legittimi dell'Autorità, obblighi di legge, esercizio dei nostri diritti di difesa (ved. sotto) Il presente sito utilizza protocollo di cifratura https. Qualora Lei lo ritenga opportuno, potrà per ulteriore garanzia inviarci file cifrati, comunicandoci telefonicamente la chiave di cifratura
  • Base giuridica: contratto e misure precontrattuali, art. 6.1.b) GDPR
  • Conservazione: tali dati sono utilizzati per elaborare la richiesta e per riscontrarla e vengono cancellati al momento in cui sia definitivamente esaurita la finalità di contatto, di risposta o di corrispondenza

3. Gestione dell'incarico conferitoci da Clienti/Assistiti
  • Precisazioni sulla finalità: nel caso in cui il Cliente/l'Assistito ci conferisca un incarico, i dati personali (anche di terzi) raccolti per il suo espletamento saranno trattati per le strette finalità di esecuzione dello stesso e nel rispetto delle prescrizioni di legge
  • Base giuridica: rispetto al Cliente/Assistito persona fisica contratto e misure precontrattuali, art. 6.1.b) GDPR. Negli altri casi: interesse legittimo, art. 6.1.f) GDPR, consistente nell'espletamento dell'incarico professionale. Ove applicabile: obbligo di legge, art. 6.1.c) GDPR, per es. in materia di antiriclaggio
  • Conservazione: i dati personali sono conservati per tutta la durata dell'incarico. Cessato l'incarico saranno conservati ai sensi della finalità di accertamento/esercizio/difesa di un diritto e di quella di archiviazione (ved. sotto), in quanto applicabili

4. Accertamento, esercizio e/o difesa di diritti
  • Precisazioni sulla finalità: i dati personali oggetto dell'incarico e quelli di origine extra-contrattuale potrebbero essere necessari per far valere i nostri diritti costituzionali di difesa ed esercizio di diritti sia in sede giudiziale (inclusa sede precontenziosa) sia in sede stragiudiziale. I Suoi dati potrebbero per esempio essere utilizzati nell'ambito di controversie relative alla corretta esecuzione dell'incarico
  • Base giuridica: legittimo interesse, art. 6.1.f) GDPR
  • Conservazione: i dati personali sono conservati sono conservati per 10 anni, come previsto dal termine ordinario di prescrizione (art. 2946 c.c.), salva conservazione ulteriore nel caso di interruzione della prescrizione, come per legge

5. Archiviazione per obbligo di legge (inclusi obblighi deontologici)
  • Precisazioni sulla finalità: i dati personali oggetto dell'incarico devono essere conservati per obblighi di legge che siamo tenuti a osservare
  • Base giuridica: obbligo di legge, art. 6.1.c) GDPR
  • Conservazione: i dati personali sono conservati per 10 anni per finalità di archiviazione obbligatoria ex lege (artt. 2220 c.c.; 22, commi 2 e 3 D.P.R. 29.9.1973, n. 600; 33 cod. deont. forense), salva conservazione ulteriore nel caso di interruzione della prescrizione, come per legge.

6. Instaurazione di rapporti di collaborazione e gestione cv
  • Precisazioni sulla finalità: analizziamo, se del caso, i cv che ci vengono inviati per finalità di instaurazione di rapporti di collaborazione. L'interessato che ci invia il propri cv è edotto che ci riserviamo verifica delle informazioni e dei titoli anche presso terzi.
  • Base giuridica: contratto e misure precontrattuali, art. 6.1.b) GDPR
  • Conservazione: i cv e le ulteriori informazioni raccolte in esecuzione della finalità saranno cancellate senza ritardo nel caso di mancata instaurazione del rapporto di collaborazione. Nel caso di instaurazione del rapporto, saranno tenute per l'intera durata del rapporto e comunque non oltre 10 anni dalla raccolta, in quanto informazioni che hanno determinato la volontà contrattuale e per necessarie verifiche sulla loro corrispondenza a fatti e circostanze veritiere

7. Comunicazione a terzi e altri trattamenti in esecuzione di obbligo di legge/ordini Autorità
  • Precisazioni sulla finalità: ove applicabile, tratteremo i Suoi dati per osservanza di obblighi di legge e/o per dare corso a richieste legittime (es. richieste di accesso o di trasmissione di informazioni) da parte di Autorità e di soggetti a ciò autorizzati. Faremo in ogni caso quanto opportuno per tutelare i Suoi diritti e per informarLa, ove legalmente e fattivamente possibile, di qualsiasi richiesta di tal genere da parte di terzi
  • Base giuridica: obbligo di legge, art. 6.1.c) GDPR e, a seconda dei casi, altresì interesse legittimo, art. 6.1.f) GDPR
  • Conservazione: i dati personali oggetto trasmessi sono quelli di cui disponiamo per qualcuna delle altre finalità indicate in questa informativa. Fare dunque riferimento ad esse

8. Manutenzione sistemi informatici e dispositivi
  • Precisazioni sulla finalità: i soggetti incaricati di eseguire manutenzione e riparazioni potrebbero avere accidentalmente accesso a dati personali presenti sui sistemi informatici e sui dispositivi. Si tratta di eventi del tutto occasionali e non prevedibili e in ogni caso privi di finalità di identificazione e di durata limitata all'esecuzione dell'intervento di manutenzione/riparazione
  • Base giuridica: interesse legittimo, art. 6.1.f) GDPR
  • Conservazione: i dati personali oggetto trasmessi sono quelli di cui disponiamo per qualcuna delle altre finalità indicate in questa informativa. Fare dunque riferimento ad esse

Facoltatività del conferimento

A parte i dati personali che si impegna a fornirci contrattualmente o che deve fornici per obbligo di legge (la cui mancata fornitura può determinare responsabilità giuridica), ogni altro conferimento di dati personali da parte Sua è meramente facoltativo (es. invio di cv, invio di richieste non ancora contrattualizzate, navigazione nel sito). Unica conseguenza del mancato conferimento facoltativo sarà l'impossibilità di fornire o di eseguire i servizi richiesti.

Categorie di destinatari
  • fornitori di hosting, housing, cloud, fornitori di servizi di posta elettronica (per le esigenze di pubblicazione del sito e di gestione del servizio email/Pec);
  • commercialisti, periti in generale, altri legali (nei limiti dell'esecuzione degli adempimenti di legge o dell'incarico del Cliente);
  • soggetti pubblici (nei limiti dell'esecuzione degli adempimenti di legge o dell'incarico del Cliente). Ad es., può trattarsi dei seguenti: Autorità giudiziaria, Autorità indipendenti, organismi di conciliazione/mediazione, Ordini professionali, Autorità di polizia, Agenzia delle entrate;
  • persone da noi autorizzate trattamento dei dati che si sono impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza (es. dipendenti e collaboratori).

Diritti dell'interessato e reclamo avanti al Garante

Potrà esercitare nei nostri confronti i seguenti diritti:

  • Accesso (art. 15 GDPR): potrà contattarci per conoscere se i tuoi dati personali sono oggetto di trattamento e le informazioni di legge sul trattamento;
  • Rettifica (art. 16 GDPR): la correzione dei dati inesatti o l'integrazione di quelli incompleti;
  • Cancellazione/oblio (art. 17 GDPR): ottenere la cancellazione dei dati personali, nei casi di legge;
  • Limitazione (art. 18 GDPR): ottenere la sottoposizione dei dati alla sola conservazione, con esclusione di altre attività, nei casi di legge;
  • Portabilità (art. 20 GDPR): ottenere i dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico e ottenerne altresì la trasmissione diretta ad altro titolare del trattamento, nei casi di legge;
  • Opposizione (art. 21 GDPR): diritto di far cessare ulteriore trattamento dei dati personali per motivi connessi alla sua situazione particolare, salva prevalenza dei nostri motivi legittimi cogenti, nei casi di legge.
  • Revoca del consenso (art. 7.3 GDPR): diritto di revocare in qualsiasi momento il consenso. NB: per Sua garanzia, non abbiamo previsto consensi nel nostro sito. Inoltre, di regola, nessun nostro trattamento è basato sul consenso. Le basi giuridiche su cui operiamo sono: contratto, obbligo di legge e interesse legittimo.

Non svolgiamo trattamenti con processi decisionali automatizzati né profilazioni nei confronti dei ns. Assistiti e degli Utenti del sito.

Contattaci (ved. sotto) per esercitare i diritti suddetti.

Reclamo avanti al Garante Lei ha diritto altresì di promuvore reclamo avanti all'Autorità garante per la protezione dei dati personali competente. Ricordiamo che il reclamo, a norma dell'art. 77.1 GDPR, può essere promosso dall'interessato presso l'Autorità del luogo dove l'interessato risiede abitualmente, dove lavora oppure dove si è verificata la presunta violazione

Titolarità e contatti

Contitolari del trattamento sono gli avvocati Enrico Pelino e Luciana Grieco, nel caso di incarico congiunto/disgiunto sullo stesso Cliente e/o Assistito. Diversamente è titolare autonomo il professionista che ha ricevuto l'incarico.

Contatti:
  • Email (consigliato): .
  • Posta cartacea: Grieco Pelino Avvocati, viale Masini 12 - 6° piano, 40126 Bologna;
  • Telefono: ved. in calce (riquadro azzurro)

Cookie

Non usiamo cookie, se non di natura tecnica al fine di garantire corretta visualizzazione e navigazione nel sito. I cookie tecnici non richiedono alcun consenso

Più in generale: unicamente per Sua informazione, può comunque disabilitare l’installazione dei cookie impostando il browser in uso. La disabilitazione dei cookie tecnici potrebbe determinare malfunzionamenti nella navigazione del sito. Qui di seguito le indicazioni per disabilitare i cookie, relative ai principali browser: