Una domanda che viene frequentemente posta è la seguente: “Mi sono sottoposto a tampone diagnostico per rilevare possibile infezione da Covid-19 o a test sierologico ma non ho ancora ricevuto il risultato. Come mi tutela la normativa?”
Il quesito appare legato a una non sempre ottimale organizzazione a livello istituzionale delle attività di contrasto al coronavirus (Sars-CoV-2) e di gestione dei correlati test sanitari.
Ad esempio, ha avuto risonanza giornalistica il caso dei turisti rimasti bloccati per alcuni giorni nel resort Santo Stefano in Sardegna, in seguito all’emersione di un focolaio virale. Ebbene, nonostante il passaggio di un significativo lasso di tempo dall’effettuazione dei tamponi, alcuni turisti lamentano di non avere ancora ricevuto il risultato delle analisi.
Indicano anche che una sintesi degli esiti sarebbe stata invece comunicata dalle Autorità (secondo modalità e basi giuridiche tutte da verificare) ai titolari della struttura in cui hanno alloggiato.
Il caso del resort sardo rappresenta del resto solo un campione di una più vasta situazione di inefficienze che emerge “a macchia di leopardo” sul territorio nazionale ed è stata oggetto di segnalazioni o di servizi giornalistici.
Si ravvisa in definitiva un’esigenza fortemente avvertita da chi si è sottoposto a esami diagnostici di riappropriarsi del controllo delle proprie informazioni sanitarie, ossia di acquisire senza ritardo, in maniera completa e trasparente gli esiti di tamponi e degli esami sierologici, così come, parallelamente, di comprendere l’esatto ambito di circolazione delle informazioni che lo riguardano.
Da un lato, infatti, ritardi nella comunicazione degli esiti possono determinare gravi situazioni di frizione sociale e notevoli limitazioni nella libertà personale, costringendo chi è in attesa dei risultati o a periodi di quarantena che potrebbero non essere necessari o, in difetto, a esporre terzi a rischio. Dall’altro lato, la comunicazione illegittima dei risultati dei test o perfino la diffusione dei loro esiti può esporre il paziente a discriminazione, a stigma sociale, a danni lavorativi.
La legittima richiesta di rientrare nel pieno controllo delle informazioni che ci riguardano, tanto più quelle di carattere medico, è ben tutelata normativamente dal Reg. (UE) 2016/679, cd. “GDPR”, sulla protezione dei dati personali.
Si può aggiungere al quadro appena delineato che esiste anche un interesse pienamente tutelato di conoscere la sorte delle proprie autocertificazioni eventualmente consegnate alle Autorità durante il periodo di lockdown. Di conoscere, più esattamente, se i dati ivi contenuti siano stati effettivamente cancellati o, viceversa, le ragioni per cui vengano tuttora trattati.
Non è un punto da sottovalutare: le autocertificazioni presentano infatti un ricco campione di dati personali, anche di natura relazionale, e inoltre, proprio in quanto autocertificazioni, costituiscono fonte di responsabilità giuridica. È del tutto comprensibile perciò pretendere di capire che genere di gestione abbiano avuto.
La normativa sulla protezione dei dati personali costituisce, come si è detto, il principale e più efficace strumento giuridico per far valere i tuoi diritti e pretendere e ottenere informazioni precise e chiare sia sul contenuto completo degli esami sia sulla circolazione dei relativi esiti sia sulla gestione delle autocertificazioni rilasciate durante il lockdown.
Si tratta di tuoi diritti fondamentali, e possiamo aiutarti a esercitarli. Nel caso di violazioni che abbiano determinato un danno hai altresì titolo a ottenere risarcimento.
Applicazioni di tracciamento anti-Covid19 e data protection
Dal mese di marzo 2020, si è aperto anche in Italia un acceso dibattito sull’architettura, sulle garanzie e sui requisiti che le app di tracciamento dei contagi devono soddisfare.
Il nostro studio legale ha partecipato attivamente all’individuazione dei profili giuridici. Ci piace fornirne una sintesi, ritenendola di interesse.
La lettera aperta del 25 marzo
Il 25 marzo scorso, in particolare, abbiamo indirizzato a vari soggetti istituzionali una lettera aperta, scritta assieme al collega Andrea Lisi, alla quale hanno aderito primari colleghi ed esperti della materia.
In quell’occasione abbiamo evidenziato come fosse necessario distinguere tra una finalità di ricostruzione dei contatti (contact-tracing) e una finalità repressiva di sorveglianza della quarantena.
Abbiamo anche evidenziato che il raggiungimento degli obiettivi di ricostruzione dei contatti dipendono dalla disponibilità immediata di tamponi. Dunque l’analisi privacy non può essere disgiunta dal programma di diagnosi, e quest’ultimo dovrebbe entrare nella valutazione d’impatto (DPIA).
Si rimanda, per maggiori approfondimenti, al testo della lettera (qui il pdf dal sito di Anorc).
Il Garante per la protezione dei dati personali, gentilmente rispondendoci nella persona del presidente Soro, ha sostanzialmente confermato la correttezza di entrambi questi punti fondamentali, pur non giungendo a pronunciarsi espressamente in merito alla DPIA.
Dieci domande (senza risposta) al Ministro
Il 17 aprile 2020, abbiamo rivolto pubblicamente dieci domande al Ministro per l’innovazione digitale, a firma congiunta dell’avv. Pelino e del collega Fulvio Sanzana di Sant’Ippolito (con un contributo di Roberto Scano).
La richiesta è stata gentilmente ospitata da una testata di primo piano, Agenda Digitale, ed è leggibile qui.
Tra le richieste, figura quella di avere informazioni sulla DPIA, sulla pseudonimizzazione, sulle categorie di dati personali trattati, sulla loro circolazione, sull’interazione con la piattaforma progettata da Google ed Apple.
Sono domande essenziali, che, sfortunatamente, attendono ancora una risposta istituzionale. La valutazione d’impatto, per esempio, deve ritenersi obbligatoria, dal momento che ricorrono ben cinque delle condizioni esaminate nelle linee guida europee dell’EDPB/WP29. Ne sarebbero sufficienti due.
È appena il caso di notare che la DPIA dovrebbe precedere la progettazione e certamente l’implementazione di un’applicazione di tracciamento. Le linee guida richiamate indicano espressamente: “La valutazione d’impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento anche se alcune delle operazioni di trattamento non sono ancora note”.
Non solo. Le recentessime linee guida n. 4/2020 dell’EDPB ribadiscono come “debba essere effettuata una valutazione d’impatto [DPIA] sulla protezione dei dati prima di implementare le app in questione”.
Ad oggi non abbiamo alcuna notizia sul rispetto di questo fondamentale adempimento, che, lungi dall’essere un esercizio di forma, costituisce il momento in cui si disegna l’architettura del trattamento. Con una metafora: è come cominciare a edificare una casa senza avere fatto il progetto.
Una nuova lettera aperta
Il 25 aprile 2020, l’avv. Enrico Pelino ha sottoscritto, con i colleghi Andrea Lisi e Fulvio Sarzana di Sant’Ippolito, un’ulteriore lettera al Ministro per l’innovazione tecnologica e la digitalizzazione, chiedendo trasparenza.
Qui la notizia, mentre il pdf della lettera può essere scaricato da questa pagina.
Trasparenza su che cosa? Sulle procedure di selezione dell’applicazione, sui verbali della task force (al momento non accessibili, se non per esiguo estratto), sul contratto con il fornitore (idem), sulla DPIA (ancora), sui flussi di dati personali, sulle categorie degli stessi, sulla pseudonimizzazione.
Abbiamo cioè chiesto di trasformare quella che oggi è a tutti gli effetti una black box in una scatola di cristallo. Non si può chiedere fiducia ai cittadini e invitarli a utilizzare un’applicazione sulla quale si addensa il più fitto mistero istituzionale. Chi domanda fiducia deve insomma fornire trasparenza: prima ancora che un obbligo giuridico, questo è un imperativo istituzionale.
Ad oggi la lettera aperta, nonostante abbia ricevuto amplissima adesione da parte di esperti e studiosi di primissimo livello, tra i quali l’ex presidente del Garante per la protezione dei dati personali, prof. Pizzetti, non ha meritato alcuna risposta.
Vi terremo aggiornati sugli sviluppi.
Data breach e privacy-by-design
Che cos'è la privacy-by-design e come si inserisce virtuosamente nel complesso tema della prevenzione di un (personal) data breach?
I due argomenti evocati sono entrambi attualissimi e destinati ad avere uno sviluppo ancora più intenso nell'immediato futuro: soprattutto il primo, oggi ancora poco esplorato, che schiude anche notevoli prospettive lavorative.
Ne ho parlato come relatore su invito di Anorc Professioni il 6 giugno scorso allo SMAU di Bologna, edizione R2B - Reasearch to Business. Di seguito una breve sintesi del mio intervento.
Leggi tutto "Data breach e privacy-by-design
"DPIA: pubblicate le linee guida europee
Il 4 aprile 2017 sono state finalmente rese disponibili, in una prima versione, le linee guida sul data protection impact assessment (DPIA), ossia la “valutazione d’impatto sulla protezione dei dati” prevista dal Regolamento UE n. 2016/679.
Il documento era particolarmente atteso, vista la centralità del tema e la complessa attività organizzativa e d’investimento che la valutazione d’impatto richiede.
Qui di seguito si propone una breve sintesi per punti delle indicazioni di maggior interesse, secondo l’apprezzamento dello scrivente. Leggi tutto “
DPIA: pubblicate le linee guida europee
“
DPO: le linee guida in 10 punti
Ad esito della riunione plenaria del 16 dicembre 2016, il “Gruppo di lavoro ex art. 29”, ossia l’organismo consultivo che riunisce (tra l’altro) i Garanti europei, ha reso pubblico un primo e assai atteso pacchetto di linee guida e FAQ sul cd. Regolamento Generale sulla Protezione dei Dati (“RGPD”), comunemente noto come regolamento privacy europeo.
Qui di seguito si analizzeranno in particolare le linee guida sul data protection officer o DPO, ossia il “responsabile della protezione dei dati”. Leggi tutto “
DPO: le linee guida in 10 punti
“
Avv. Enrico Pelino
Avv. Enrico PELINO – Partner
È esperto in diritto delle nuove tecnologie, diritto della privacy, protezione dei dati personali, sicurezza informatica, IT law, e-commerce.
Civilista di formazione, è da sempre appassionato delle novità giuridiche e delle frontiere del digitale.
È autore di numerose pubblicazioni, di recente co-direttore e co-autore del “Codice della disciplina privacy” per Giuffrè.
Si occupa inoltre di diritto commerciale, diritto del lavoro, responsabilità da inadempimento, contrattualistica. È ospite radiofonico consueto di IusLaw Web Radio – La radio dell’avvocatura. È relatore in convegni ed eventi che riguardano il diritto digitale e la protezione dei dati personali.
I suoi clienti sono imprese, professionisti e privati, per i quali svolge sia attività di consulenza e analisi giuridica sia assistenza contenziosa in sede giurisdizionale (Tribunale) e amministrativa (Garante per la protezione dei dati personali). Conoscere bene sia la fase di consulenza sia i possibili sviluppi contenziosi permette di fornire un servizio integrato e fortemente pragmatico.
In ambito privacy svolge attività di DPO, fornisce assistenza in materia di data breach, analisi dei rischi, data protection gap analysis and compliance, verifica e valutazione dei processi di trattamento, DPIA, redazione di policy aziendali, risarcimento da violazione dei dati personali, diritto all’oblio e deindicizzazione, furto d’identità e protezione dell’identità online, cloud computing, tutela di dati personali in ambito sanitario, tutela dei dati personali nel settore del turismo, anonimizzazione e pseudonimizzazione di dati personali, videosorveglianza, tutela dei dati personali nei luoghi di lavoro, controlli su posta elettronica e Internet, diritto di cronaca e tutela dei minori, Internet delle cose (IoT).
[leggi di più] È PhD in IT Law (Università di Bologna), Privacy Expert di Anorc Professioni, Fellow dell’Istituto Italiano Privacy, avvocato della rete D&L Net di professionisti della protezione dei dati personali. Autore di opere manualistiche e di numerosi articoli su tematiche di attualità giuridica, soprattutto in ambito privacy, svolge attività di docenza e formazione di alto livello per avvocati (es. docente nel “Master di specializzazione sul Data Protection Officer” di Euroconference) e per imprese sui profili applicativi del GDPR (Regolamento (UE) 2016/679). Ha scritto inoltre per l’editore Giuffrè (coautori: L. Bolognini, C. Bistolfi) il primo commentario sistematico italiano sul GDPR (2016) e, più recentemente (2018) il primo volume di analisi alle modifiche del Codice privacy introdotte dal d.lgs. 101/2018 (con il collega L. Bolognini), sempre per Giuffrè. Parla e scrive correntemente in lingua inglese e ha una conoscenza operativa delle più diffuse lingue europee. Laureatosi con lode all’Università di Parma nel 1998, ha conseguito l’abilitazione forense nel 2001. Dal 2003 è iscritto all’albo degli avvocati di Bologna. Dal 2000 al 2005 ha collaborato a vari progetti in materia di information technology e diritto presso il centro di ricerca interdisciplinare “Cirsfid” dell’Università di Bologna, occupandosi in particolare di intelligenza artificiale (AI) e diritto. Presso lo stesso ateneo, nel 2000-2001 ha conseguito un corso di perfezionamento / master in diritto dell’informatica e delle nuove tecnologie. Nel 2003-2005 ha conseguito il dottorato di ricerca in informatica giuridica e diritto delle nuove tecnologie (PhD in IT LAW), in tema di privacy e controllo. Successivamente è stato assegnista di ricerca in materia di diritto alla privacy / protezione dei dati personali e ha affiancato quale collaboratore la cattedra di diritto di Internet presso l’Università di Bologna. [leggi di meno]Formazione