In bici al lavoro, e accettiamo di essere monitorati, ma giammai per combattere una pandemia.

By Dario Di Maria Posted in Privacy - cybersecurity, Uncategorized Tagged ,

Confronto tra l’acquisizione dei dati nell’ambito di un’iniziativa molto diffusa in vari Comuni italiani, e la lotta alla pandemia. Infine qualche considerazione finale.

Negli ultimi anni diversi comuni, da quelli medio-piccoli a quelli più grandi, hanno risposto con entusiasmo a vari bandi nazionali ed europei per incentivare la mobilità sostenibile. In particolare proponevano di andare al lavoro in bici, invece che in auto o con mezzi pubblici, e in cambio offrivano premi (buoni acquisto, denaro, sconti, ecc…). Per ogni chilometro percorso, veniva calcolato un premio (tanti comuni riconoscevano 25 centesimi per chilometro).
Ovviamente la partecipazione dei cittadini presupponeva l’installazione di un’app o un dispositivo collegato al cellulare, in grado di monitorare tutti gli spostamenti.
Periodicamente i dati venivano acquisiti dal Comune, per fare i calcoli dovuti.
I dati erano molto precisi, poichè si doveva dimostrare non solo di essere andati in bici e di avere percorso un certo numero di chilometri, ma anche che i percorsi effettuati erano compatibili con il percorso casa-lavoro e con gli orari di lavoro. Inoltre i dati dovevano essere associati pure ad un cittadino specifico. Qualche bando prevedeva anche la partecipazione di minorenni, per il percorso casa-scuola.
Quindi i dati erano: nome, cognome, residenza, codice fiscale, datore di lavoro, luogo di lavoro, orario di lavoro, tragitti effettuati, orari dei tragitti effettuati, il tutto anche per soggetti minorenni in qualche caso.
Tutto ciò per qualche decina di euro in più.
Nessuno ha sollevato obiezioni, nessuna levata di scudi, non ho trovato nessun parere del Garante della Privacy, nè titoloni di giornali che hanno gridato allo scandalo. E dire che l’acquisizione dei dati era massivo, per lungo tempo, spesso effettuato da società private che fornivano l’app e il dispositivo, e della durata della conservazione dei dati non si sapeva nulla. Qualche Comune (non tutti) ha formulato una generica informativa privacy.
E per combattere il coronavirus, quando si chiede di cedere i dati della propria cronologia degli ultimi 15 giorni, che saranno anonimizzati e usati esclusivamente per combattere l’epidemia e poi saranno distrutti, no, non ci va bene, ci vogliono leggi emergenziali.
Onestamente il confronto tra le due situazioni non regge.
Innanzitutto l’importanza: guadagnare pochi euro vs lotta ad una pandemia. Secondo loco, l’arco temporale: tutti i dati relativi agli spostamenti per diversi mesi vs i dati degli spostamenti di 15 giorni.
Inoltre, i dati: nel primo caso i dati sono legati ad un soggetto individuato (nome, cognome, residenza, luogo di lavoro, datore di lavoro, ecc…) vs i dati anonimizzati.
Già la normativa attuale prevede la possibilità di effettuare tali trattamenti in situazioni di emergenza.
Infatti ciascun soggetto risultato positivo, deve collaborare con l’autorità per ricostruire i suoi spostamenti, ma, allo stato attuale, i dati sono acquisiti verbalmente e trascritti su supporto cartaceo, e quindi sono totalmente inidonei a essere incrociati con i dati degli altri soggetti positivi.
Già il Comitato Europeo per la protezione dei dati (European Data Protection Board) ha dato il proprio parere positivo, affermando che le pubbliche autorità potrebbero elaborare i dati della localizzazione in modo anonimo per generare dei report sulla concentrazione dei soggetti positivi in una determinata zona.
(https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_it).
E anche il Garante privacy ha sostanzialmente ribadito lo stesso concetto nel parere reso sull’ordinanza della Protezione Civile all’inizio della crisi, che autorizza il personale della Protezione Civile al trattamento dei dati:
Le disposizioni contenute nell’ordinanza risultano idonee a rispettare le garanzie previste dalla normativa in materia di protezione dei dati personali nel contesto di una situazione di emergenza. Rilevava un solo appunto:
Si evidenzia, tuttavia, la necessità che, alla scadenza del termine dello stato di emergenza, siano adottate da parte di tutte le Amministrazioni coinvolte negli interventi di protezione civile di cui all’ordinanza, misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali in capo a tali soggetti“.
E’ quindi evidente che anche l’attuale corpo giuridico di norme vigenti in materia permette il trattamento di tali dati.
A me preoccuperebbe, invece, come ha giustamente osservato la giornalista Stefania Maurizi (giornalista che ha collaborato con Julian Assange), che in questo contesto storico, invece di utilizzare le limitate deroghe oggi consentite, si introducessero delle norme emergenziali destinate a durare ben oltre lo stato di emergenza, come è successo negli Stati Uniti dopo l’11 settembre e che ha portato ai ben noti problemi in materia di sorveglianza di massa.
Quindi ribadisco che già ora gli strumenti permettono di raccogliere ed elaborare i dati necessari, e non sono necessarie, anzi, non devono essere approvate, leggi speciali emergenziali.

Comments are closed.