Aggiornato il 03/11/2022
La Commissione europea ha pubblicato il primo rapporto di valutazione sul Regolamento europeo in materia di protezione dei dati personali (GDPR), trascorsi due anni dalla sua prima applicazione. Il rapporto mostra che il Regolamento ha raggiunto la maggior parte dei suoi obiettivi, garantendo ai cittadini Ue un solido insieme di diritti e creando un nuovo sistema europeo di governance. Nelle prime righe il rapporto afferma: “The GDPR strengthened data protection safeguards, provides individuals with additional and stronger rights, increased transparency, and ensures that all those that handle personal data under its scope of application are more accountable and responsible.”
Difficile non condividere la dichiarazione: il Regolamento fissa diritti importanti a tutela dell’individuo e crea le condizioni perché chi tratta i dati personali lo faccia in modo responsabile.
Ma ve ne è consapevolezza? La cultura necessaria a garantire il rispetto di tali diritti e a farli valere è effettivamente diffusa?
Il trattamento dei dati personali: l’esperienza degli ultimi mesi
Guardando all’esperienza degli ultimi mesi, qualche dubbio sorge. Si potrà dire che il periodo è eccezionale e che tra i diritti che sono stati compressi il diritto alla privacy tutto sommato non è poi quello che più ci sta a cuore. La domanda, però, non è se per affrontare una situazione molto pericolosa siamo disposti a qualche rinuncia sul fronte dei nostri diritti ma se di tale rinuncia siamo coscienti. Solo in questo caso possiamo valutare se essa sia giustificata dalla situazione e quindi effettivamente necessaria.
Dal dibattito sulla app Immuni si potrebbe dedurre che nel nostro Paese la sensibilità al tema della protezione dei dati personali ci sia e sia alta: cittadini preoccupati hanno chiesto tutele adeguate, singolarmente o attraverso le associazioni che rappresentano i loro diritti, manifestando le proprie perplessità sui rischi per la protezione e sicurezza dei dati raccolti.
Le preoccupazioni, condivise a livello europeo, hanno indotto prima l’Edpb (European Data Protection Board) ad emanare le linee guida sull’uso degli strumenti di tracciamento (Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak) e quindi la Commissione a prendere posizione con la Comunicazione sulle App supporting the fight against COVID 19 pandemic.
In Italia con il Decreto Legge 30 aprile 2020 n. 28 sono stati fissati i principi a cui deve attenersi il sistema di allerta Covid-19, prevedendo che sia effettuata e costantemente aggiornata la valutazione di impatto richiesta dal Regolamento. Il Garante, prima, ha dato il parere sulla proposta normativa per la previsione di un’applicazione volta al tracciamento dei contagi da Covid-19 (29 aprile 2020) e poi ha autorizzato l’utilizzo dell’App (1 giugno 2020) sulla base della valutazione di impatto effettuata dal Ministero della salute (28 maggio 2020).
Le polemiche sono proseguite e continuano ancor oggi: non tutti si sono convinti che l’app non violi i diritti sui dati personali ma questo fa parte del dibattito democratico. Del resto, il diritto di dissentire si concretizza nel principio cardine – derivante direttamente dal Regolamento – che legittima il trattamento dei dati personali di Immuni, e cioè l’assoluta libertà di ciascuno di scaricarla.
Analoga attenzione, tuttavia, non è stata e non è riservata alle continue e reiterate richieste di dati personali sanitari che provengono da chiunque e che chiunque asseconda. Sembra quasi che i nostri dati diventino personali, e quindi da tutelare, solo quando a richiederli sia lo Stato mentre lo siano decisamente meno quando a pretenderli siano altri, il datore di lavoro, chi organizza il centro estivo per i bambini, il gestore del ristorante, l’ente locale che regola l’accesso agli uffici, l’amministratore di condominio o l’app fatta in casa.
Nello stesso tempo gestori di dati e soggetti interessati
È come se fossimo rimasti legati ad un’idea di privacy “vecchio stile” dove i nostri diritti debbono essere difesi dal Grande Fratello di orwelliana memoria, senza accorgerci che tecnologia distribuita e capacità elaborativa diffusa fanno di tutti noi sia dei gestori di dati (titolari secondo il linguaggio del Regolamento) che degli interessati, cioè delle persone a cui i dati si riferiscono. Da questo doppio ruolo anziché derivare maggiore attenzione e consapevolezza, consegue una sorta di ambiguità di fondo, di complicità. E il risultato è una raccolta indiscriminata di dati personali, il più delle volte di natura particolare come quelli sanitari, quasi senza rendersene conto. Pensiamo al negoziante che chiede al cliente di sottoscrivere un documento dichiarando di non avere la febbre o al datore di lavoro che registra ogni giorno la temperatura dei propri dipendenti anche se essa è normale e non supera la fatidica soglia dei 37,5.
Sì, perché una certa sordità alla protezione dei dati personali si accompagna ad una mentalità borbonica in virtù della quale se una legge impone un divieto, ad esempio di entrare in un luogo pubblico con la febbre, chi gestisce questo luogo non si limita ad informare chi vi accede (sia mai che qualcuno non sappia che con la febbre non si esce di casa!), ma gli chiede una dichiarazione che conosce il divieto, o addirittura che la febbre non ce l’ha, senza considerare che ciò comporta una raccolta di dati personali, talvolta addirittura sanitari.
Se gli individui fossero effettivamente consapevoli dei loro “additional and stronger rights” e se gli stessi quando si trovano di fronte alla scelta di raccogliere o meno i dati fossero “more accountable and responsible” (come dice il Rapporto della Commissione) evidentemente il cortocircuito delle autocertificazioni per combattere il coronavirus (!) non vi sarebbe.
Fino a che punto è lecito raccogliere dati personali?
Si dirà che il Regolamento consente il trattamento dei dati personali quando è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, ma siamo davvero sicuri che la dichiarazione sottoscritta salvaguarda tali interessi in modo più incisivo di un’informazione adeguata?
In genere l’obiezione alla timida osservazione dell’illegittimità della raccolta (timida perché il rischio di passare per untori è molto alto!) è che è prevista dalla legge. In effetti il Regolamento consente i trattamenti necessari ad adempiere ad un obbligo legale ma la domanda è quale sia la legge il cui adempimento comporta di ricorrere a tale raccolta.
Prendiamo ad esempio un caso, quello della ristorazione. Il DPCM 11 giugno 2020 stabilisce che essa è consentita secondo i protocolli indicati dalle Linee guida adottati dalle Regioni o dalla Conferenza delle Regioni. Le regole di comportamento dettate da quest’ultima prevedono due contesti in cui è ammessa la raccolta di dati dei clienti: la rilevazione della temperatura corporea, in modo da impedire l’accesso nel caso in cui essa sia superiore alla soglia; la conservazione per 14 giorni dell’elenco dei clienti che hanno prenotato per poterli rintracciare, nell’ipotesi in cui si verifichi un caso di coronavirus. Le Linee guida della Regione Lombardia (giusto per prenderne una), confermando la tenuta dell’elenco dei clienti che hanno prenotato, prevedono la rilevazione della temperatura solo per i dipendenti.
Sulla base di queste considerazioni, è evidentemente priva di base giuridica (e quindi non è legittima) la raccolta nei ristoranti della dichiarazione con cui il cliente attesta di non avere avuto contatti con chi ha contratto la malattia o la tenuta del registro della temperatura dei clienti o dei dipendenti. Parimenti priva di base giuridica è la raccolta di chi interpreta l’obbligo di tenere i dati delle prenotazioni, facendo compilare un modulo con nome e cognome, indirizzo di residenza, anno di nascita, numero di cellulare e mail. Scusate il puntiglio ma le Linee guida prescrivono di tenere i dati che si raccolgono per la prenotazione, cioè non più di nome e cognome e numero di cellulare.
In alcuni casi, è pure richiesta una dichiarazione con cui il cliente attesta che i commensali seduti al suo tavolo siano dei congiunti e quindi non siano tenuti a rispettare le distanze sociali. Le Linee guida della Regione Lombardia precisano espressamente che tale aspetto afferisce alla responsabilità individuale. La dichiarazione è evidentemente del tutto ingiustificata.
Quello della ristorazione è ovviamente solo un esempio. Vi sono altri contesti in cui si raccolgono indiscriminatamente dati personali, nonostante il Garante per la protezione dei dati personali abbia fornito precise indicazioni in piena emergenza sanitaria dei trattamenti legittimi e di quelli che non lo sono.
Nelle FAQ relative al trattamento dei dati personali nel contesto lavorativo pubblico e privato ha chiarito, ad esempio, che il datore di lavoro può rilevare la temperatura corporea del personale dipendente, degli utenti, fornitori, visitatori e clienti all’ingresso della propria sede ma può registrare solamente la circostanza del superamento della soglia da parte del dipendente e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro. La tenuta di un registro di entrata con la data e l’ora di rilevazione della temperatura e i gradi della stessa è evidentemente illegittima. Il fatto che sia una prassi diffusa non la rende meno scorretta.
Quel che pare spesso sfuggire è il cosiddetto principio di minimizzazione, in base ai quali i dati debbono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. E ciò nonostante sia uno dei cardini centrali su cui poggia tutta la struttura del Regolamento. Insieme all’altro, parimenti disatteso, della trasparenza. I moduli con cui sono raccolti i dati sono raramente corredati di un’adeguata informativa. Con la conseguenza che non solo sono raccolti dati senza che ve ne sia un’effettiva necessità ma di questi dati non è dato sapere che fine facciano, a chi siano comunicati, per quanto tempo siano conservati etc.
La conservazione dei dati personali
La durata di conservazione è un altro aspetto che merita una riflessione. Se per l’app Immuni il termine per la cancellazione dei dati è stabilita (i dati saranno conservati fino alla conclusione dell’emergenza sanitaria e al più tardi entro il 31 dicembre), per le altre raccolte dei dati essa è spesso un mistero. L’elenco dei clienti che hanno prenotato vanno conservati per 14 giorni ma le varie dichiarazioni per quanto tempo sono tenute?
La determinazione del periodo in cui i dati vengono conservati è compito del titolare del trattamento, espressione della sua “accountability” nella gestione del loro trattamento. Purtroppo, spesso le informative, quando presenti, richiamano dei generici termini di legge che non rassicurano in alcun modo chi le guardi con un po’ di attenzione: la legge, infatti, non prescrivendo il trattamento dei dati personali, non definisce ovviamente neppure la durata di conservazione dei dati e quindi il riferimento a quanto in essa prescritto lascia decisamente perplessi.
Non resta che confidare nel fatto che i dati raccolti non siano di grande interesse per il titolare, che conseguentemente non abbia motivo per conservarli. Ma è proprio vero? I dati raccolti possono rilevare abitudini, frequentazioni, relazioni etc. e come tali rappresentano un bel patrimonio di informazioni sulla clientela di cui, nel contesto precedente al Covid-19, non era facile disporre.
Obiettivo: cambiare la cultura e i comportamenti
La strada da percorrere perché i diritti riconosciuti dal Regolamento siano effettivamente esercitati e rispettati è, dunque, ancora lunga. Del resto la stessa Commissione nel suo Rapporto evidenzia come “the ultimate objective of the GDPR is to change the culture and behaviour of all actors involved for the benefit of the individuals” e fissa tra gli obiettivi futuri quello di creare “a European common culture of data protection” che consenta quel cambio di rotta nei comportamenti, auspicato a beneficio di tutti.
Peccato che nessuna delle azioni future descritte al capitolo 3 del Rapporto (Way forward), tutte sicuramente opportune, sia specificatamente diretta a creare nei cittadini europei la giusta consapevolezza dei propri diritti alla protezione dei dati personali e la corrispondente responsabilizzazione quando gli stessi siano chiamati a trattare i dati personali di altri.
