Un anniversaire sous tension

Un compleanno teso

Osservatorio Legale n. 24 – Maggio 2020

Un compleanno tesoIl GDPR celebra il suo secondo anniversario in un contesto particolarmente turbolento per i diritti fondamentali.

Quanto sarà resiliente il sistema europeo di protezione dei dati di fronte alle attuali sfide sanitarie?

Già messo alla prova nella lotta al terrorismo, il fondamento dei diritti che tutelano gli individui in Europa è adeguato agli sviluppi che stiamo vivendo oggi?

  • Leggi di emergenza e “soluzionismo” tecnologico

Leggi di emergenza e sviluppi tecnologici che consentono tracciamento degli individui si stanno moltiplicando in Europa e nel resto del mondo.

A ben guardare, non tutte queste iniziative sono uguali.

All'interno dell'Unione Europea, ad esempio, le leggi d'emergenza francese e ungherese sono molto diverse in termini di restrizioni e ambito di applicazione.

In Francia, il governo ha dovuto affrontare un acceso dibattito parlamentare, in particolare sulle questioni del tracciamento delle persone infette e della quarantena preventiva dei malati. Alcune disposizioni sono state persino censurate dal Consiglio Costituzionale.

L'Ungheria va oltre, limitando in generale il ruolo del suo parlamento e, più specificamente, le tutele previste dal GDPR in materia di profilazione, diritto degli individui ad accedere ai propri dati e diritto all'oblio.

Ci sono anche differenze significative nel confronto tra l'app tedesca di tracciamento "Covid", che si basa su un sistema decentralizzato con una raccolta dati minima, e l'app del Regno Unito, i cui dati (identificabili) vengono conservati dal governo per vent'anni senza alcuna valutazione d'impatto preventiva.

L'Agenzia dell'Unione europea per i diritti fondamentali (FRA) ha pubblicato due relazioni in cui valuta l'impatto delle misure adottate dagli Stati europei sui diritti fondamentali.

Mette in guardia contro il sviluppo di misure intrusive e ildipendenza a questo nuovo stato di cose.

Mentre gli individui devono ovviamente beneficiare delle informazioni più complete possibili, nonché dei mezzi di controllo (consenso, diritti di opposizione e cancellazione) nell'ambito dell'implementazione dei sistemi di tracciamento, Le autorità garanti della protezione dei dati sottolineano che la legalità di questi sistemi non può basarsi esclusivamente sul consenso delle persone interessate..

Come sottolinea la CNIL nel suo parere sull'applicazione StopCovid, ora operativa, "la reale utilità del dispositivo dovrà essere studiata più approfonditamente dopo il suo lancio".

La durata dell’attuazione del sistema deve essere subordinata ai risultati di questa valutazione periodica.”

Tali valutazioni ex post saranno sufficienti? Un esame approfondito dell'utilità dei nuovi dispositivi di tracciamento dovrebbe, in linea di principio, precedere l'implementazione del trattamento, anche (e soprattutto) in situazioni di emergenza, quando vengono trattati dati sensibili.

  • Tutele istituzionali

Oltre al Parlamento e a istituzioni come la CNIL, anche i tribunali francesi sono chiamati a pronunciarsi sulla raccolta dei dati.

È il caso del Consiglio di Stato, che con ordinanza del 18 maggio ha ordinato allo Stato di cessare tutte le misure di sorveglianza con droni per controllare il confinamento a Parigi.

Lo stesso vale per il tribunale di Rennes, che ha descritto lautilizzando il file ADOC (archivio delle multe) per verificare la recidiva delle infrazioni alle norme di confinamento.

Occorre sottolineare che queste recenti decisioni si fondano sull'esistenza o meno di una base giuridica, senza mettere in discussione in modo più sostanziale la proporzionalità delle misure coercitive.

E che dire della proporzionalità di queste misure? Le questioni etiche sollevate da una possibile deriva nei metodi di sorveglianza sono state sufficientemente prese in considerazione?

Le recenti raccomandazioni dell’OMS riguardanti l’etica delle tecnologie di tracciamento indicano la sottile linea di demarcazione tra sorveglianza sanitaria e sorveglianza della popolazione, e i maggiori rischi a cui vanno incontro le persone emarginate.

L'OMS sostiene un'efficace supervisione degli attori pubblici e privati coinvolti nella gestione dei dati sulla popolazione.

Il documento elenca i principi essenziali da rispettare nel contesto attuale e fornisce un elenco molto utile delle recenti comunicazioni delle autorità pubbliche e delle organizzazioni internazionali (un'ampia raccolta è disponibile anche sul sito web della Global Privacy Assembly).

  • Il ruolo essenziale degli attori dietro i trattamenti

Queste considerazioni evidenziano la necessità di una riflessione approfondita sulla responsabilità degli attori coinvolti nei sistemi di sorveglianza, a livello di enti pubblici ma anche di attori privati.

Prima di proiettarci nel “mondo del futuro”, diamo un'occhiata agli strumenti di cui disponiamo oggi.

L'originalità del GDPR rispetto al precedente quadro giuridico risiede in particolare nelle misure di accountability che prevede.  Il titolare del trattamento dei dati, sia esso un'azienda pubblica o privata, deve essere ritenuto responsabile.

È responsabile della valutazione dello sviluppo di strumenti di gestione dei dati alla luce non solo di questioni economiche o politiche, ma anche dei diritti fondamentali, in particolare attraverso un'analisi preventiva dell'impatto del trattamento sui diritti delle persone.

E questo obbligo è accompagnato da multe, come è appena successo a Finland Post, condannata per non aver effettuato un'analisi d'impatto prima di procedere all'elaborazione dei dati.

L'integrazione della protezione dei dati nella progettazione di un dispositivo di elaborazione e la configurazione del dispositivo per limitare i dati raccolti, noti anche come "privacy by design" e "privacy by default", costituiscono altri due elementi essenziali per tenere conto dei diritti degli individui prima di qualsiasi elaborazione dei dati.

È questo ruolo fondamentale del GDPR che la Presidente del Comitato europeo per la protezione dei dati, Andrea Jelinek, ricorda nel suo messaggio in occasione dell'anniversario del Regolamento.

Il GDPR è adattato alla crisi che stiamo attraversando, ma è responsabilità non solo delle autorità di controllo ma anche e soprattutto dei titolari del trattamento dei dati giocare al gioco.

IL rispetto dei diritti fondamentali è senza dubbio, oggi più che mai, un passo essenziale per garantire la Fiducia e ce l'haaccettazione da parte di individui di nuovi sviluppi tecnologici.

Senza fiducia, è in gioco l'efficacia delle misure sanitarie e l'esito stesso della crisi che stiamo attraversando. 

Anna Cristina Lacoste

Avvocato specializzata in diritto dei dati, è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT