Dichiarazione di Antonello Soro, Presidente del Garante per la protezione dei dati personali
(Patrizia Perilli, “Adnkronos” – 1° aprile 2020)

”Siamo molto preoccupati per questo gravissimo data breach. Abbiamo immediatamente preso contatto con l’Inps e avvieremo i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia. Intanto è di assoluta urgenza che l’Inps chiuda la falla e metta in sicurezza i dati”. Così all’Adnkronos Antonello Soro, Garante Privacy, commentando il caso del sito dell’Inps andato in tilt.

”Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è – prosegue il Garante – una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.

Fonte: Garante Privacy

A seguito delle numerose segnalazioni pervenute e della notifica di data breach effettuata dall’INPS, in relazione alla violazione di dati personali che ha riguardato il suo sito istituzionale, il Garante per la protezione dei dati personali ha avviato un’istruttoria allo scopo di effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’Ente e gli interventi necessari a tutelare i diritti e le libertà degli interessati.

Al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti, l’Autorità richiama l’attenzione sulla assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti.

Roma, 2 aprile 2020

Fonte: Garante Privacy

Nell’intento di fornire a scuole, atenei, studenti e famiglie indicazioni utili a un utilizzo quanto più consapevole e positivo delle nuove tecnologie a fini didattici, il Garante per la privacy ha approvato uno specifico atto di indirizzo che individua le implicazioni più importanti dell’attività formativa a distanza sul diritto alla protezione dei dati personali.

Nella lettera inviata al Ministro dell’Istruzione, al Ministro dell’Università e della ricerca e al Ministro per le pari opportunità e la famiglia per illustrare gli obiettivi del provvedimento, il presidente dell’Autorità Garante, Antonello Soro, ha ricordato che “il contesto emergenziale in cui versa il Paese ha imposto alle istituzioni scolastiche e universitarie, nonché alle famiglie stesse, l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo alle innumerevoli risorse offerte dalle nuove tecnologie. È una soluzione estremamente importante per garantire la continuità didattica”. E tuttavia, ha sottolineato Soro, “le straordinarie potenzialità del digitale – rivelatesi soprattutto in questo frangente indispensabili per consentire l’esercizio di diritti e libertà con modalità e forme nuove – non devono indurci a sottovalutare anche i rischi, suscettibili di derivare dal ricorso a un uso scorretto o poco consapevole degli strumenti telematici, spesso dovuto anche alla loro oggettiva complessità di funzionamento”. “Considerando che, spesso, per i minori che accedono a tali piattaforme si tratta delle prime esperienze (se non addirittura della prima) di utilizzo di simili spazi virtuali, è evidente come anche quest’attività vada svolta con la dovuta consapevolezza, anche sulla base delle indicazioni fornite a livello centrale”.

Da qui l’esigenza di assicurare al mondo della scuola e dell’università un supporto utile alla gestione della didattica on line.

Queste, in sintesi, le prime ” istruzioni per l’uso  ” indicate del Garante.

Nessun bisogno di consenso

Le scuole e le università che utilizzano sistemi di didattica a distanza non devono richiedere il consenso al trattamento dei dati di docenti, alunni, studenti, genitori, poiché il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei.

Scelta e regolamentazione degli strumenti di didattica a distanza

Nella scelta e nella regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza scuole e università dovranno orientarsi verso strumenti che abbiano fin dalla progettazione e per impostazioni predefinite misure a protezione dei dati. Non è necessaria la valutazione di impatto, prevista dal Regolamento europeo per i casi di rischi elevati, se il trattamento dei dati effettuato dalle istituzioni scolastiche e universitarie, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti.

Ruolo dei fornitori dei servizi on line e delle piattaforme

Se la piattaforma prescelta comporta il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università, il rapporto con il fornitore dovrà essere regolato con contratto o altro atto giuridico. E’ il caso, ad esempio, del registro elettronico, il cui fornitore tratta i dati per conto della scuola. Nel caso, invece, in cui si ritenga necessario ricorrere a piattaforme più complesse che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica, si dovranno attivare i soli servizi strettamente necessari alla formazione, configurandoli in modo da minimizzare i dati personali da trattare (evitando, ad esempio, geolocalizzazione e social login).

Le istituzioni scolastiche e universitarie dovranno assicurarsi che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza.

L’Autorità vigilerà sull’operato dei fornitori delle principali piattaforme per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite dalle istituzioni scolastiche e universitarie.

Limitazione delle finalità del trattamento dei dati

Il trattamento di dati svolto dalle piattaforme per conto della scuola o dell’università dovrà limitarsi a quanto strettamente necessario alla fornitura dei servizi richiesti ai fini della didattica on line e non per ulteriori finalità proprie del fornitore.

I gestori delle piattaforme non potranno condizionare la fruizione di questi servizi alla sottoscrizione di un contratto o alla prestazione del consenso (da parte dello studente o dei genitori) al trattamento dei dati per la fornitura di ulteriori servizi on line, non collegati all’attività didattica.

Ai dati personali dei minori, inoltre, va garantita una specifica protezione poiché i minori possono essere meno consapevoli dei rischi, delle conseguenze e dei loro diritti. Tale specifica protezione deve, in particolare, riguardare l’utilizzo dei loro dati a fini di marketing o di profilazione.

Correttezza e trasparenza nell’uso dati

Per garantire la trasparenza e la correttezza del trattamento, le istituzioni scolastiche e universitarie devono informare gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, riguardo, in particolare, alle caratteristiche essenziali del trattamento che viene effettuato. Relativamente ai docenti, scuole e università, nel rispetto della disciplina sui controlli a distanza, dovranno trattare solo i dati strettamente necessari e comunque senza effettuare indagini sulla sfera privata.

Roma, 30 marzo 2020

Fonte: Garante Privacy

Intervista a Giuseppe Busia, Segretario generale del Garante per la protezione dei dati personali
(Ansa, 31 marzo 2020)

“Il Garante ha accolto volentieri l’invito a partecipare al Gruppo di lavoro costituito dal ministro dell’Innovazione, pur nella sua particolare posizione, che lo vedrà probabilmente chiamato ad esprimere un parere sulle scelte che il governo farà nella selezione fra le diverse soluzioni tecnologiche proposte. Siamo infatti convinti che avviare un dialogo fin da subito, oltre a consentire di guadagnare tempo – oggi quanto mai prezioso- serva anche a dare la migliore applicazione ai principi della privacy by design e by default, che caratterizzano il Gdpr, il regolamento generale sulla protezione dei dati”. A dirlo all’ANSA è Giuseppe Busia, segretario generale dell’Autorità per la protezione dei dati personali, tra i 74 esperti della task force tecnologica contro il coronavirus.

“La normativa sulla protezione dei dati personali – afferma Busia – ha già al suo interno regole che consentono di trattare anche i dati più delicati, quali sono quelli sul contagio, quando questo serve realmente a tutelare la salute dei singoli o della collettività. Occorre però che questo avvenga sulla base di una normativa trasparente, contenente garanzie adeguate, e che i dati siano utilizzati solo per tali finalità e non divengano strumento per accrescere il potere informativo delle piattaforme o dei grandi operatori. Per questo, ogni trattamento deve avvenire sotto la regia delle autorità pubbliche competenti, per il tempo strettamente necessario, ed utilizzando dati anonimi o aggregati ogniqualvolta non sia indispensabile accedere a informazioni identificative”.

“Il principio di ragionevolezza, alla base del Gdpr, deve animare le scelte che saranno compiute, senza immaginare – avverte Busia – che la tecnologia possa da sola risolvere tutti i problemi: di fronte ad ogni ipotesi, occorrerà innanzi tutto verificare la reale efficacia a fini epidemiologici e di cura, valutando anche la capacità di azione e reazione dell’apparto sanitario e amministrativo rispetto alle informazioni raccolte”.

In questi giorni, ricorda il segretario generale, il Garante è anche impegnato in un continuo coordinamento con le altre Autorità di protezione dati europee che, anche se con qualche ritardo rispetto alla nostra, via via si trovano a confrontarsi con gli stessi temi. Occorre infatti ricordare che la normativa sui dati è comune a tutti i paesi Ue e rappresenta una delle punte più avanzate dell’integrazione europea: come in altri settori, vogliamo che anche nel delicato ambito della tutela dei diritti fondamentali l’Europa parli con una voce sola”.

Fonte: Garante Privacy

29 Marzo 2020

“Tracciamento contagi coronavirus, ecco i criteri da seguire”
Non è vero che la privacy è il lusso che non possiamo permetterci in questo tempo difficile, perché essa consente tutto ciò che è ragionevole, opportuno e consigliabile fare per sconfiggere il coronavirus. La chiave è nella proporzionalità, lungimiranza e ragionevolezza dell’intervento. Oltre che nella sua temporaneità
Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali
(“Agenda Digitale”, 29 marzo 2020)

L’Italia, l’Europa, il mondo, stanno affrontando un’emergenza sanitaria senza precedenti per dimensioni, gravità, persino imprevedibilità degli esiti.

Un virus ignoto, che con il “salto di specie” si è trovato a percorrere il globo, portato dall’uomo da un lato all’altro del pianeta, ci ha messi di fronte alla nostra vulnerabilità, costringendoci in maniera tanto radicale quanto improvvisa a una vera e propria rivoluzione in abitudini, comportamenti, convinzioni e persino auto-percezioni.

Le doverose misure di distanziamento sociale hanno finito per ridisegnare tempi e spazi di vita che pensavamo graniticamente definiti e scanditi da abitudini e usi consolidati.

Con le sue straordinarie potenzialità, la tecnologia ci è venuta in soccorso annullando le distanze fisiche e ricreando, nello spazio digitale, luoghi di incontro, di confronto, di dialogo, persino di formazione, come per le classi virtuali.

L’esigenza di contenimento del contagio ha imposto, in ciascuno di noi, una tolleranza che forse mai avremmo immaginato di poter avere, rispetto a doverose ma significative rinunce e restrizioni di vari diritti e libertà. Sicuramente più evidenti sono apparse le misure limitative di diritti quali quelli alla libera circolazione, al lavoro, all’iniziativa economica e la stessa libertà personale, perché dall’impatto più tangibile sulle nostre abitudini e sui nostri stili di vita. Quella particolarissima componente della nostra società che è la popolazione detenuta, poi ha dovuto rinunciare alla maggior parte delle attività di risocializzazione in un contesto di grande preoccupazione per la stessa incolumità individuale.

L’impatto del coronavirus sulla privacy

Meno evidenti, ma non per questo irrilevanti, sono invece apparse le limitazioni della privacy che ciascuno di noi, in questo contesto, deve tollerare: dalla dichiarazione dei propri spostamenti ogniqualvolta se ne venga richiesti alle videoriprese di sé (e di quanti capitino nel raggio dell’occhio elettronico) nell’ambito delle riunioni o lezioni on-line, imposteci dall’esigenza di garantire il lavoro o la formazione a distanza.

Si tratta di limitazioni tra loro eterogenee e preordinate a fini diversi: nell’esempio, l’una volta a contenere gli spostamenti per evitare i contagi e l’altra tesa a consentire lo svolgimento, con modalità innovative, delle nostre attività quotidiane (il lavoro, la scuola, ecc.). Ma, in entrambi i casi, ad essere limitato è lo stesso diritto alla protezione dei dati personali, sancito come fondamentale diritto di libertà dalla Carta di Nizza, proprio perché presupposto di ogni altro diritto nella società digitale.

Nonostante la centralità della protezione dati nella vita individuale e collettiva, le sue limitazioni ci appaiono spesso meno percepibili di quelle relative ad altri diritti. Il dovere di giustificazione dei propri spostamenti ben può apparirci, in fondo, meno incisivo dell’obbligo di permanenza domiciliare. E assai meno tangibili possono sembrarci le implicazioni della geolocalizzazione dei nostri dispositivi mobili (una “protesi” della persona, come efficacemente li descrisse la Corte suprema americana) per realizzare quel contact tracing di cui tanto si parla in questi giorni.

Eppure, la mappatura costante dei nostri movimenti, delle persone con le quali, per le più varie ragioni, veniamo in contatto, non è una misura esattamente irrilevante per la nostra vita privata e per la nostra stessa percezione di libertà. Non lo è, a maggior ragione, un drone che sorveglia costantemente il cielo, benché- sarebbe bene precisarlo – dovrebbe limitarsi a segnalare ‘impersonali’ assembramenti e non riprendere scene di vita quotidiana.

E tuttavia, benché non desiderabili, anche le limitazioni del diritto alla protezione dati, se proporzionate e temporanee, rappresentano in questo momento il prezzo da pagare per tutelare l’incolumità di tutta la collettività e, in particolar modo, delle sue frange più vulnerabili. La vera difficoltà da affrontare è comprendere quale sia il grado di limitazione dei diritti strettamente necessario a garantire tale scopo, comprimendo le libertà quel tanto (e nulla più) che sia ritenuto indispensabile. Ma entro questo confine, nel doveroso e costante bilanciamento tra diritti contrapposti, si realizza la virtuosa sinergia tra le istanze personaliste e quelle solidariste che sono tra le più nobili radici della nostra Costituzione. Non esistono – come ha ricordato più volte la Consulta – diritti tiranni: essi vivono in equilibrio dinamico e duttile, capace di adeguarsi alle esigenze di volta in volta manifestate dalla realtà sociale.

La protezione dati, se possibile, ancora di più. E’, infatti, un diritto inquieto perché in costante dialettica con una tecnica mai eguale a se stessa, ma anche con i molteplici interessi, individuali e collettivi, che di volta in volta ne lambiscono i confini. Se, dunque, la sua funzione sociale è la forza più grande della protezione dati, mai come oggi essa si rivela indispensabile, rappresentando il punto di equilibrio tra libertà e tecnica, tra persona e società, il presupposto della tenuta della democrazia anche in circostanze eccezionali.

Non si dica, dunque, che la privacy è il lusso che non possiamo permetterci in questo tempo difficile, perché essa consente tutto ciò che è ragionevole, opportuno e consigliabile fare per sconfiggere questo male oscuro.

La protezione dati strumento anti-coronavirus

Non solo: la protezione dati può persino essere uno strumento utilissimo nell’azione di contrasto dell’epidemia, quando quest’azione sia fondata su dati e algoritmi, dei quali va garantita  esattezza, qualità e revisione “umana”, ove necessario, come nel caso di decisioni automatizzate errate perché fondate su bias.  

In questa prospettiva deve essere analizzata anche la proposta della geolocalizzazione dei soggetti positivi per meglio analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi.

I criteri da seguire per la geolocalizzazione contagiati coronavirus

Molteplici essendo le modalità di attuazione di questa misura, i Governi dovrebbero anzitutto orientarsi secondo un criterio di gradualità e dunque valutare se le soluzioni meno invasive possano essere sufficienti a fini di prevenzione. In tal senso, non pone particolari problemi l’acquisizione di trend, effettivamente anonimi, di mobilità.

Laddove, invece, si intendesse acquisire dati identificativi, sarebbe necessaria una previsione normativa ad efficacia temporalmente limitata, dotata di adeguate garanzie e, soprattutto, conforme al principio di proporzionalità, che impone anzitutto un’analisi sullo scopo della raccolta dei dati.

Andrebbe effettuata, in questo senso, un’analisi preliminare dell’effettiva idoneità della soluzione scelta a conseguire risultati utili nell’azione di contrasto, in ordine proporzionale alle esigenze perseguite e sempre che misure meno invasive non debbano ritenersi idonee a conseguire i risultati sperati.

Così, la valutazione relativa alla geolocalizzazione quale strumento di ricostruzione della catena epidemiologica non può prescindere da un’analisi circa la fase, che dovrebbe ragionevolmente conseguirne, dell’accertamento sanitario dei soggetti così individuati quali potenziali contagiati. Si possono raccogliere, infatti, tutti i dati possibili sui potenziali portatori (sani o meno che siano), ma se poi per mille motivi non si hanno le risorse per accertarne l’effettiva positività, temo che non andremmo molto lontano.

Qualunque sia il progetto che si scelga di realizzare, è importante, però, considerare che nella complessa filiera in cui si articolerebbe il contact tracing, soggetti privati quali i gestori delle infrastrutture tecnologiche dovrebbero porre il patrimonio informativo di cui dispongono a disposizione dell’autorità pubblica.

A quest’ultima, invece, dovrebbe essere riservata la fase dell’analisi dei dati (e dell’eventuale reidentificazione), che per la sua maggiore rischiosità necessita delle garanzie e della responsabilità degli organi dello Stato. In ogni caso, le società coinvolte in questo progetto dovrebbero possedere idonei requisiti di affidabilità e trasparenza di azione.

Vanno studiate, dunque, modalità e ampiezza delle misure da adottare in vista della loro efficacia, gradualità e adeguatezza, senza preclusioni astratte o tantomeno ideologiche, ma anche senza improvvisazioni o velleitarie deleghe, alla sola tecnologia, di attività tanto necessarie quanto complesse.

In conclusione

Il nostro Paese, pur non nuovo a circostanze difficilissime, affronta in queste settimane la prova più difficile dal secondo dopoguerra. Ma l’esperienza passata -penso soprattutto agli anni di piombo – pur con tutte le sue differenze, conferma che, se gestita con “metodo democratico”, anche l’emergenza può risolversi in una parentesi destinata a lasciare inalterata- persino per certi versi più forte- la nostra democrazia.

La chiave è nella proporzionalità, lungimiranza e ragionevolezza dell’intervento, oltre che naturalmente nella sua temporaneità. Il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole dal modello coreano a quello cinese, scambiando la rinuncia a ogni libertà per l’efficienza e la delega cieca all’algoritmo per la soluzione salvifica. Così, una volta cessata quest’emergenza, avremo anche forse imparato a rapportarci alla tecnologia in modo meno fideistico e più efficace, mettendola davvero al servizio dell’uomo.

26 Marzo 2020

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Andrea Iannuzzi, “La Repubblica” – 26 marzo 2020)

Tra le strategie messe in campo dal governo per contenere il contagio da coronavirus c’è il cosiddetto contact tracing digitale, cioè l’uso dei dispositivi mobili dei cittadini per la mappatura e il tracciamento dei soggetti entrati in contatto con persone infette: il modello coreano. Ma come si assicura la tutela della privacy e dei dati personali? Il Garante della privacy Antonello Soro, con il suo team di esperti, è al lavoro per conciliare tutte le esigenze: “Non si tratta – dice a Repubblica – di sospendere la privacy, ma di adottare strumenti efficaci di contenimento del contagio, pur sempre nel rispetto dei diritti dei cittadini”.

C’è bisogno di uno strumento legislativo ad hoc per attuare questo protocollo? Quale?

“La disciplina di protezione dei dati coniuga esigenze di sanità pubblica e libertà individuale, con garanzie di correttezza e proporzionalità del trattamento. Ma una misura quale il contact tracing, che incide su un numero elevatissimo di persone, ha bisogno di una previsione normativa conforme a questi principi. Un decreto-legge potrebbe coniugare tempestività della misura e partecipazione parlamentare. Va da sé che la durata deve essere strettamente collegata al perdurare dell’emergenza”.

Come si evitano gli abusi nel trattamento dei dati? Come ci si difende da intrusioni malevole?

“La nostra disciplina offre gli strumenti per minimizzare il pericolo di abusi, secondo i principi di precauzione e prevenzione, che impongono misure di sicurezza e garanzie di protezione dati già nella fase di progettazione e impostazione della struttura tecnologica. Rispettando questi criteri, si può valorizzare al massimo grado l’innovazione”.

Si può immaginare uno scambio di dati criptato o anonimizzato?

“Lo scambio e, prima ancora, la raccolta dei dati devono avvenire nel modo meno invasivo possibile per gli interessati, privilegiando l’uso di dati pseudonimizzati (ove non addirittura anonimi), ricorrendo alla reidentificazione laddove vi sia tale necessità, ad esempio per contattare i soggetti potenzialmente contagiati. Nella complessa filiera in cui si articolerebbe il contact tracing, soggetti privati – a partire dalle grandi piattaforme – dovrebbero porre il patrimonio informativo di cui dispongono a disposizione dell’autorità pubblica, alla quale dovrebbe invece essere riservata la fase dell’analisi dei dati, che necessita delle garanzie e della responsabilità degli organi dello Stato. In ogni caso, le società coinvolte in questo progetto dovrebbero possedere requisiti di affidabilità e trasparenza di azione. Nella valutazione è fondamentale il vaglio di conformità ai requisiti di protezione dati, per la garanzia dei diritti degli interessati, per l’attendibilità dell’analisi dei dati e anche per la sicurezza nazionale. Non sottovaluterei l’odierno richiamo in proposito da parte del Copasir”.

Come si potrà poi tornare alla “normalità” una volta finita emergenza?

“La chiave è nella proporzionalità, lungimiranza e ragionevolezza degli interventi, oltre che nella loro temporaneità. Il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole dal modello coreano a quello cinese, scambiando per efficienza la rinuncia a ogni libertà e la delega cieca all’algoritmo per la soluzione salvifica”.