Attenti a quell’app covid-19 che forse viola la privacy: ieri l’Autorità Garante Privacy ha accolto una segnalazione su C-Healer presentata inizialmente via Twitter e successivamente in modo formale dall’utente @sonoclaudio, con il contributo di @relationsatwork e di @prevenzione, ritenendola fondata.
L’app C-Healer è gestita da un’associazione privata, utilizzata per organizzare supporto medico ai malati di Covid-19 e metterli in contatto con medici disposti a prestare assistenza. In apparenza, quindi, lo scopo dichiarato pare meritorio. Ad uno sguardo più approfondito, però, leggendo le pagine del sito di riferimento, i termini e condizioni di uso del servizio e la modulistica, l’app e l’associazione sottostante si manifestano in realtà come qualcosa di differente, non fosse altro che per l’ingente mole di dati trattati al solo fine, dichiarato, di mettere in contatto un utente bisognoso di cure con un professionista disposto a dare consigli e prestare assistenza medica.
L’iniziativa è stata notata da molti, ciascuno con la propria ottica. Alcuni hanno riconosciuto nell’iniziativa una sospirata alternativa alle cure ufficiali, altri hanno riconosciuto nella medesima iniziativa un tentativo di carpire utenti, con vacue promesse, facendo leva sul disperato bisogno di persone malate. Altri, come il sottoscritto, si sono limitati ad inorridire rispetto al tema del trattamento dei dati personali, come desumibile dagli elementi visibili dell’App, del sito e della documentazione di accesso all’iniziativa.
A seguito di queste osservazioni sono quindi stati analizzati a fondo alcuni elementi di compliance al GDPR riscontrando una serie di elementi fattuali e mettendo il lavoro di analisi all’attenzione del Garante.
Indice degli argomenti
L’intervento del Garante privacy su C-Healer
In particolare, scrive il Garante in una nota: “L’Autorità ricorda che la normativa italiana ed europea prevede un divieto generale di trattare i dati di “categorie particolari di dati”, tra cui rientrano quelli sulla salute, ad eccezione di alcuni casi esplicitamente indicati – ad esempio per motivi di interesse pubblico o per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria – e solo in seguito all’adozione di particolari garanzie”.
Godetevi i commenti al tweet del @GPDP_IT.
Fino a quando non accadrà che i #dati #personali e #sensibili di queste persone li ritroveremo in rete, liberamente disponibili all’uso per cani, porci e truffatori di ogni specie. https://t.co/qKijX5VKXH— Claudio (@sonoclaudio) December 30, 2021
“Per tale motivo”, continua la nota, “alla luce dei primi elementi raccolti sul caso specifico, il Garante ha deciso di verificare se sono state rispettate tutte prescrizioni e tutele previste per i trattamenti connessi all’utilizzo di app mediche. Al fine di valutare la liceità dei trattamenti dei dati personali posti in essere tramite l’app, sarà approfondita la base giuridica di tale attività e le finalità perseguite dall’Associazione, il rispetto dei principi di base in materia di protezione dei dati personali”.
Perché è importante l’intervento del Garante
Ogni giorno il Garante Privacy si dedica ad attività di vigilanza ed interviene al fine di sanzionare e bloccare chi non rispetta i requisiti e gli adempimenti imposti dalla legge a chiunque intenda trattare dati personali.
Sia la segnalazione che l’intervento del Garante sono focalizzati unicamente sul rispetto dei requisiti minimi nell’acquisizione dei dati, sul loro trattamento, sulla necessaria trasparenza e sull’adempimento delle misure previste a garanzia dei dati degli utenti (siano essi i medici e i pazienti coinvolti).
Il particolare ambito delle cure domiciliali è divisivo e rappresenta per alcuni un’alternativa, in contrapposizione alle cure ufficiali gestite dalla sanità pubblica. Questo aspetto non è presente nell’attività del Garante e non è citato nella segnalazione, se non nei termini in cui qualifica un trattamento di dati particolari, pertanto, più rischiosi e delicati da trattare.
Il problema dell’app che tratta dati sanitari
Come ricorda il Garante nel comunicato stampa emesso ieri, i dati personali particolari (noti come dati sensibili) non possono essere trattati, se non in alcuni casi previsti dalla legge e con misure di prevenzione rafforzate. Già ad un primo sguardo, l’app oggetto di indagine sembra violare questo divieto e ignorare le misure che la legge chiede di attuare.
In particolare, la gestione delle basi di legittimazione e delle finalità dei trattamenti paiono incomprensibili poiché svincolate le une dalle altre. L’utente non ha la possibilità di comprendere ciò che avverrà e ciò che capiterà ai suoi dati personali.
Anche il consenso chiesto è fortemente penalizzato dall’opacità delle informazioni e non può essere definito un consenso informato, né reso in modo volontario. Anche il fatto che sia chiesto un unico consenso per una pluralità di trattamenti balza all’attenzione di qualunque utente e contrasta con i principi base della normativa di riferimento, il GDPR. Accertare queste ipotesi è l’unico intento del Garante.
L’importanza della protezione che i dati sensibili meritano risulta evidente pensando a quanto possano essere vulnerabili le persone che, spaventate dalla malattia, cercano ogni possibile appiglio di salvezza, sottovalutando le conseguenze di altri aspetti che, in tali circostanze, appaiono ai loro occhi marginali, insignificanti e magari di ostacolo rispetto ad una finalità impellenti come la cura delle malattie e la salute fisica. In questo contesto, purtroppo, operano spesso attori che, abusando dello stato di emergenza, della paura delle persone e della loro fragilità, agiscono in modo non etico, accumulando dati non necessari e monetizzandoli o, quanto meno, violando il fondamentale diritto alla protezione dei dati a cui ogni persona, in particolare chi è fragile, ha diritto.
Prevenire danni e trattamenti illeciti di dati personali
Nonostante il periodo festivo, il Garante ha accolto la segnalazione e si è attivato con una tempistica stupefacente, probabilmente riconoscendo a prima vista fondati motivi e una elevata pericolosità del trattamento che ora è oggetto di indagine.
A seguito del tempestivo intervento dell’Autorità, “si è assistito all’usuale diluvio di risposte volgari o violente”, così si è espresso il Garante in un messaggio su Twitter, affermando inoltre che “Continueremo a diffondere la cultura della protezione dei dati personali. Esiste una comunità attenta, sensibile presente. Grazie a quanti sono intervenuti per ricordarlo”.
Le scomposte voci di dissenso rispetto all’iniziativa paiono accomunate dalla confusione dei ruoli: il Garante mira unicamente a far rispettare norme di legge, non a scrivere tali norme né ad affossare o promuovere iniziative private sulla base di un giudizio di opportunità o di legalità o, ancora, di conformità ad uno o l’altro pensiero. Chiaramente la libertà di cui godiamo, e che proprio il GDPR ci assicura, implica che si possa dissentire dall’operato del Garante; tuttavia resta un dovere esprimere le proprie opinioni in modo informato e consapevole e questo, purtroppo, viene spesso dimenticato.
Il 2021 si conclude dunque con un intervento forte, chiesto da gente comune, destinato alla gente comune e orientato a prevenire i danni e i trattamenti illeciti dei dati personali di chi, in questo momento, ha più bisogno di aiuto e protezione. Questo è un messaggio molto forte e un ottimo auspicio per l’attività a venire del Autorità Garante per la Protezione dei Dati Personali.
