Author: Stefania Lani

Via libera al contact tracing

Con il decreto legge n. 28 del 30 aprile scorso il Governo ha dato il via libera al tracciamento, con l’applicazione Immuni, dei contagi da COVID-19, finalizzata a contenere la diffusione del virus.

Viste le polemiche suscitate nei giorni scorsi, cerchiamo di esaminare i dubbi più frequenti in merito ai possibili rischi di violazione della privacy.

Di cosa si tratta?

Viene istituita presso il Ministero della Salute una piattaforma per il tracciamento dei contatti tra le persone che, su base volontaria – probabilmente già a partire dalla fine di maggio[1] -, installeranno sui propri smartphone l’applicazione nota come app Immuni.

Titolare del trattamento dei dati personali raccolti tramite l’app è il Ministero della Salute, il quale, all’esito di una valutazione di impatto, costantemente aggiornata, effettuata ai sensi dell’art. 35 GDPR (Reg. UE 679/2016)[2], adotta misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali[3].

Queste le linee guida del sistema di contact tracing fissate dal decreto:

  • la piattaforma è affidata esclusivamente ad infrastrutture localizzate sul territorio nazionale e gestite da soggetti pubblici o società a totale partecipazione pubblica; i programmi informatici sviluppati per la realizzazione della piattaforma sono di titolarità pubblica;
  • informativa e trasparenza: prima di attivare l’app, agli utenti vengono date informazioni chiare circa le finalità e le operazioni di trattamento, le tecniche di pseudonimizzazione[4] utilizzate (per impedire l’identificazione degli interessati) e i tempi di conservazione dei dati;
  • possono essere raccolti solo dati necessari ad avvisare gli utenti che essi rientrano tra i contatti stretti di altri utenti accertati positivi al Covid-19 e ad agevolare l’eventuale adozione di misure di assistenza sanitaria in loro favore;
  • i dati raccolti non possano essere trattati per finalità diverse da quella indicate, salvo l’utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica;
  • i dati di prossimità dei dispositivi saranno resi anonimi o, se non è possibile, pseudonimizzati; in ogni caso è esclusa la geolocalizzazione dei singoli utenti;
  • l’utilizzo dell’applicazione e della piattaforma e i trattamenti dei dati personali saranno interrotti nel momento in cui sarà decretata la cessazione dello stato di emergenza disposto con delibera del Consiglio dei Ministri del 31 gennaio 2020 (30.6.2020), e comunque non oltre il 31 dicembre 2020; entro la medesima data saranno cancellati o resi definitivamente anonimi tutti i dati personali trattati, anche nei cellulari;
  • l’uso dell’app avverrà su base volontaria (non ci sarà quindi nessun obbligo a scaricarla) e il mancato utilizzo non comporterà alcuna conseguenza pregiudizievole o disparità di trattamento;
  • i diritti degli interessati (di cui agli articoli da 15 a 22 del Regolamento) potranno essere esercitati anche con modalità semplificate.

 

Come funziona concretamente l’applicazione?

Stando alle notizie che circolano, l’app Immuni funziona tramite il bluetooth degli smartphone (e non tramite GPS, che avrebbe permesso il tracciamento costante dei cittadini), non chiederà l’accesso ai numeri della rubrica, il numero telefonico dell’utente, né invierà SMS. Potrà determinare un contatto stretto tra due utenti, ma non rivelerà il luogo.

Come?

Quando ci si avvicina a qualcuno, i telefonini si scambiano in automatico un segnale anonimo cifrato che registra il contatto annotando anche la distanza ed il tempo; questo perché il rischio di contagio cambia a seconda che due persone sono entrate in contatto per pochi secondi o per mezzora, così come se si trovano a meno di un metro o a 10 metri di distanza.

Se una persona scopre di essere positiva, a tutti i codici registrati sullo smartphone del contagiato viene inviata una notifica; questo trasforma lo status di chi riceve il messaggio in giallo (contatto breve o a distanza) o in arancione (contatto ravvicinato o prolungato, ovvero a meno di due metri o per più di quindici minuti), senza che il destinatario della notifica sappia da chi sia stata generata, né il luogo in cui si sarebbe verificato il presunto contagio.

A quel punto dovrebbero scattare i test almeno per gli arancioni e quindi l’isolamento per i positivi.

I limiti e gli obiettivi fissati dal Governo con il decreto in commento hanno già incontrato il parere positivo del Garante per la Privacy[5], con queste motivazioni:

  1. il tracciamento è previsto da una norma di legge sufficientemente dettagliata quanto ad articolazione del trattamento dei dati personali, tipologia di dati raccolti, garanzie accordate agli interessati, temporaneità della misura;
  2. si fonda sull’adesione volontaria dell’interessato, escludendo ogni forma di condizionamento della determinazione individuale e, quindi, di disparità di trattamento basata sulla scelta di consentire o meno il tracciamento;
  3. è preordinato al perseguimento di fini di interesse pubblico indicati con sufficiente determinatezza ed escludendo il trattamento secondario dei dati così raccolti per fini diversi, salva la possibilità (nei termini generali previsti dal Regolamento) di utilizzo, in forma anonima o aggregata, a fini statistici o di ricerca scientifica;
  4. appare conforme ai principi di minimizzazione e ai criteri di privacy by design by default, nella misura in cui prevede la raccolta dei soli dati di prossimità dei dispositivi, il loro trattamento in forma pseudonima, sempre che non sia possibile in forma del tutto anonima, escludendo il ricorso a dati di geolocalizzazione e limitandone la conservazione al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine;
  5. si conforma al principio di trasparenza nei confronti dell’interessato, garantendone la dovuta informazione;
  6. ammette l’ulteriore precisazione delle caratteristiche di dettaglio del trattamento e delle misure di sicurezza adeguate da parte del Ministero della salute e, per quanto concerne il vaglio del Garante per la Privacy, mediante l’atto di cui all’art. 2-quinquiesdecies del Codice Privacy. In tali sedi potranno, inoltre, essere previste le modalità di intervento umano sulla decisione algoritmica, così da soddisfare anche i requisiti di cui all’articolo 22, par. 2, lett. b) – del Regolamento.

In conclusione, dunque, il sistema di contact tracing così come prefigurato dal DL n. 28 non appare in contrasto con i principi di protezione dei dati personali; non resta che verificarne la sua applicazione concreta.

 

 

[1] Non è ancora chiaro quando sarà disponibile di preciso l’applicazione, in quanto i test hanno preso avvio da poco.

[2] In breve: l’art. 35 GDPR, nel caso in cui in trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche, impone al titolare del trattamento di eseguire, prima che inizi il trattamento stesso, una valutazione di impatto, in maniera tale da adottare quelle misure che siano in grado di proteggere adeguatamente i dati da tali rischi.Il processo di valutazione, in particolare, descrive il trattamento, ne valuta la necessità e la proporzionalità, e i rischi per i diritti e  le libertà delle persone fisiche,  e determina  le misure adeguate per affrontarli. In altre parole, la valutazione di impatto, è il processo inteso a garantire e dimostrare la conformità del trattamento in questione ialla protezione dei dati.

[3] Tale potere è esercitato dal Garante della Privacy in forza dell’art. 36 comma V GDPR: (“…il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l’autorità di controllo, e ne ottengano l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica.”) e dell’art. 2 quinquies-decies Codice Privacy (“Trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico” – 1. Con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento, il Garante per la protezione dei dati personali puo’, sulla base di quanto disposto dall’articolo 36, paragrafo 5, del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio, prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento e’ tenuto ad adottare.”).

[4] La pseudonimizzazione è il procedimento in base al quale i dati personali oggetto di trattamento non possono più essere attribuiti a un interessato senza la combinazione con altre informazioni aggiuntive. Queste ultime devono essere conservate separatamente e devono essere protette da adeguate misure di sicurezza, sia tecniche, sia organizzative, al fine di garantire che non possano essere attribuite ad una persona identificata o identificabile.

[5] Il riferimento è al “Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19”, rilasciato dal Garante per la Privacy il 29 aprile scorso in forza dell’art. 36 comma IV GDPR (“Gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento.”).

Sito INPS in tilt: una violazione della privacy senza precedenti, altro che pesce d’aprile!

Lo scorso primo aprile abbiamo assistito al “banco di prova” della digitalizzazione del nostro Paese con riferimento all’emergenza COVID-19.

Migliaia di lavoratori autonomi a partita IVA, tra cui neofiti dei servizi digitali, aspettavano con ansia il primo d’aprile per poter richiedere, tramite il portale dell’INPS, l’agognato bonus promesso dal Decreto Cura Italia.

L’attesa era alle stelle, ma invece di sperimentare l’efficienza di un servizio erogato on-line, parecchi utenti hanno avuto, per errore, accesso ai profili di altri soggetti contenenti, ovviamente, informazioni e documenti personali[1]. Immediatamente è scattato il panico e c’è chi, per dimostrare il proprio sdegno, ha condiviso i dati altrui sui canali social.

Il presidente dell’Autorità Garante per la protezione dei dati personali, Antonello Soro, ha subito preso posizione, invitando l’Istituto a mettere in sicurezza i dati, non senza lasciarsi sfuggire un amaro commento: “Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.[2]

Un fattaccio che rischia di costare caro all’INPS. Vediamo quali sono le implicazioni giuridiche.

Un incidente di sicurezza che interessa i dati personali, quale quello del caso di specie (data breach) viene definito all’art. 4 n. 12 del GDPR (REG. UE 679/2016): «violazione dei dati personali»[3]: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.[4]

A bene vedere, le linee guida adottate dal “Gruppo di lavoro dell’articolo 29 per la tutela dei dati” (meglio noto nella versione anglosassone “Article 29 Working Party” o “WP29”)[5] hanno individuato tre tipologie di data breach: “confidentiality breach”, nel caso in cui ci sia una violazione non autorizzata o fortuita di dati personali o un accesso non autorizzato agli stessi; “availability breach”, nel caso in cui ci sia una perdita o la distruzione di dati personali; “integrity breach”, nel caso ci sia un’alterazione o una modifica non autorizzata o accidentale di dati personali. Ancora non sono noti i dettagli dell’accaduto, ma a prima vista sembrerebbe trattarsi di un “confidentiality breach” – o, almeno, così si auspica.

Il data breach è un evento che deve essere affrontato e gestito da subito per evitare che dall’incidente possano derivare all’interessato conseguenze di varia natura: danni fisici, materiali o immateriali alle persone fisiche, ad esempio attraverso la perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata ( v. Considerando 85 del GDPR).

Non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento deve notificare la violazione dei dati personali all’autorità di controllo competente (il Garante per la Protezione dei dati personali), senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione[6], è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche[7]. Oltre il termine di 72 ore, tale notifica deve essere corredata delle ragioni del ritardo (art. 33 GDPR).

L’INPS aveva quindi tempo sino al 4 aprile scorso (e così ha fatto il giorno seguente all’incidente) per inviare al Garante per la protezione dei dati personali una notifica contenente, come minimo, le seguenti informazioni (art. 33 GDPR):

  1. la natura della violazione. L’INPS ha dovuto dichiarare se si sia trattato di attacco hacker (come sembrerebbe dalle notizie date dall’Istituto ai media) o malfunzionamento del proprio sito dovuto a problemi tecnici (come ipotizzato dagli esperti di Cyber security);
  2. le indicazioni delle categorie degli interessati e del loro numero, nonché del numero approssimativo di registrazioni dei dati personali in questione;
  3. il nome e dati di contatto del responsabile della protezione dei dati (Data Protection Officer) o di altro punto di contatto presso cui ottenere più informazioni;
  4. la descrizione delle probabili conseguenze della violazione dei dati personali;
  5. la descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento (INPS nel caso di specie) per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

 

Per il caso di attacco hacker, l’INPS ha dovuto pertanto informare il Garante delle misure immediatamente adottate per fronteggiare tale attacco e di quelle che adotterà urgentemente per rimediare alle violazioni e per attenuarne gli effetti negativi; per l’eventualità, invece, di malfunzionamento del sito per motivi tecnici, l’INPS ha dovuto comunicare al Garante le misure immediatamente adottate per rendere fruibile il sito in maniera rapida e sicura e quelle che adotterà nell’immediato per evitare il ripetersi di tali inconvenienti.

Peraltro, trattandosi di una violazione che potrebbe rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche, oltre ad avvisare il Garante, l’INPS è stata chiamata ad effettuare una notifica anche a tutti gli utenti interessati dalla violazione cioè a tutti quegli utenti che, loro malgrado, hanno subito la violazione dei loro dati personali che, in molti casi, sono stati condivisi con degli sconosciuti.

Come previsto dall’art. 34 GDPR, anche la comunicazione all’interessato deve avvenire senza ingiustificato ritardo e deve descrivere, con un linguaggio semplice e chiaro, la natura della violazione dei dati personali (attacco hacker o problemi tecnici) e almeno il nominativo e i dati di contatto del responsabile della protezione dei dati (Data Protection Officer) o di altro punto deputato a rendere informazioni, la descrizione delle probabili conseguenze della violazione dei dati personali, nonché il titolare del trattamento abbia provveduto/intenda provvedere (nel più breve tempo possibile) ad evitarle/limitarle.

Ricevuta la notifica di data breach, spetta al Garante per la protezione dei dati effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’INPS e gli interventi necessari a tutelare i diritti e le libertà degli interessati.

Per ora il Garante, con comunicato del 2 aprile scorso, ha reso noto di aver già avviato l’istruttoria sull’accaduto e ha colto l’occasione per richiamare l’attenzione sulla “assoluta necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli, ad esempio sui canali social, rivolgendosi piuttosto allo stesso Garante per segnalare eventuali aspetti rilevanti” e ciò “al fine di non amplificare i rischi per le persone i cui dati personali sono stati coinvolti nel data breach e non incorrere in possibili illeciti”.

Quali le conseguenze per l’INPS?

Il rischio per l’Istituto (come quello di qualsiasi altro soggetto che effettua trattamento di dati personali, in circostanze analoghe) è quello di subire da parte del Garante per la Privacy una sanzione amministrativa (il GDPR prevede sanzioni amministrative pecuniarie fino ad un massimo di 20 milioni di euro e fino al 4% del fatturato annuo dell’esercizio precedente per le imprese), qualora quest’ultimo ravvisasse una responsabilità dell’istituto per non aver adempiuto agli obblighi in materia di data protection e di sicurezza informatica, oltre che di essere destinatario di contenziosi da parte degli utenti danneggiati[8].

 

 

[1] Per il momento si sa che i dati visualizzati riguardavano, oltre al nome e cognome, anche il codice fiscale e l’indirizzo email. Ancora non è chiaro se si potesse addirittura modificare il profilo.

[2] Eppure negli ultimi tempi si è registrata una indubbia attenzione alla materia della cybersecurity a livello normativo. Dopo l’approvazione della direttiva (UE) n. 1148/2016 (meglio nota come Direttiva NIS) – trasposta in Italia dal D.Lgs. 65/2018 e intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi degli Operatori di Servizi Essenziali (“OSE”, sono i soggetti, pubblici o privati, che forniscono servizi essenziali per la società e l’economia nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali) e dei Fornitori di Servizi Digitali (“FSD”, sono le persone giuridiche che forniscono servizi di e-commerce, cloud computing o motori di ricerca, con stabilimento principale, sede sociale o rappresentante designato sul territorio nazionale) – le istituzioni europee hanno continuato ad adottare misure intese a rafforzare la sicurezza cibernetica nell’Unione Europea. La principale di queste misure recentemente adottate consiste in un Regolamento volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali, e a rafforzare il ruolo dell’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione (ENISA): il cosiddetto Cybersecurity Act, entrato in vigore il 27 giugno 2019.

[3] Trattasi della traduzione del termine inglese “data breach”.

[4] Nel caso, quindi, in cui l’incidente non riguardi questa tipologia di dati, non si applicherà quanto previsto dal GDPR, perché, se è vero che tutti gli incidenti informatici riguardano i dati, non tutti riguardano i dati personali.

[5] Era il gruppo di lavoro comune delle autorità nazionali di vigilanza e protezione dei dati. Era un organismo consultivo indipendente, composto da un rappresentante della varie autorità nazionali, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione; con l’avvento del GDPR, divenuto applicabile il 25 maggio 2018, è stato sostituito dal Comitato europeo per la protezione dei dati (EDPB).

[6] Altrimenti detto accountability: il titolare ed il responsabile del trattamento devono adoperarsi in maniera tale da garantire la tutela dei dati personali da essi trattati. Nel GDPR non ci sono previsioni particolari che riguardano la modalità con cui attuare questo principio, viene lasciato ampio margine a questi soggetti affinché individuino in concreto le modalità che, nel singolo caso specifico, garantiscano la tutela dei dati.

[7] La notifica non è quindi richiesta quando il data breach non comporti un rischio elevato per l’interessato, per esempio, nell’ipotesi in cui i dati personali interessati siano già pubblici o quando i dati non possano essere letti perché crittografati.

[8] Articolo 82 GDPR – Diritto al risarcimento e responsabilità: “1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.”

La privacy dei pazienti va difesa ma non è un totem [cit. Antonello Soro, Presidente dell’Autorità Garante per la Protezione dei Dati Personali italiana]

Non so da voi, ma dove abito io ogni volta che si sente la sirena di un’ambulanza, parte la “caccia all’untore”.

C’è chi, in nome della tutela della salute pubblica, vorrebbe sapere non solo il nome e il cognome dei pazienti ricoverati con indicazioni aggiornate sul loro stato di salute, ma addirittura avere una lista dei positivi accertati e dei casi “sospetti” in isolamento; c’è poi chi replica che la salute è un dato “sensibile” da non rivelare mai.

Di questi tempi ci si pone sempre la medesima questione: dove finisce il diritto alla privacy del singolo e comincia la tutela dell’interesse pubblico?

Il dibattito è acceso ma una risposta si trova già nelle norme in vigore.

La pandemia in corso ha reso operativa una norma che solo qualche mese fa avremmo catalogato come un caso di scuola: si tratta dell’art. 9 par. 2 lett. i) del General Data Protection Regulation (GDPR – Regolamento UE 2016/679) che vieta il trattamento di categorie particolari di dati personali, tra i quali rientrano i dati relativi alla salute, senza il consenso dell’interessato, salvo il caso in cui  «il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale». In poche parole, il trattamento dei dati relativi alla salute effettuato per motivi di interesse pubblico[1] non richiede il consenso dell’interessato pur rimanendo soggetto a misure appropriate e specifiche a tutela dei diritti e delle libertà delle persone fisiche[2].

In Italia la prima disposizione sul  trattamento dei dati personali nell’ambito dell’attuale emergenza sanitaria si trova inserita nel Decreto-Legge del 9 marzo 2020, n. 14 “Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19” in vigore dal 10 marzo 2020[3].

 

Tale normativa, che ha ripreso quanto già previsto nell’Ordinanza del Capo del Dipartimento della Protezione Civile (O.C.D.P.C.) n. 630 del 3 febbraio 2020, pubblicata in data 8 febbraio 2020[4] autorizza espressamente, fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020 (e quindi fino a fine luglio 2020), il trattamento di dati personali e la comunicazione tra i soggetti operanti nel Servizio nazionale di protezione civile, “i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630” (quali le forze armate, le forze di polizia…), nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i “soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13” (quali le autorità locali e comunali), precisando che “possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10[5] del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19”.[6]

Pertanto, per ora, l’accertamento e la raccolta di informazioni circa i sintomi del Coronavirus e la rete dei contatti dei contagiati spetta agli operatori sanitari e al “sistema” attivato dalla protezione civile.

Ma non solo. Nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto, è permessa la comunicazione di tali dati anche a soggetti diversi da quelli sopra indicati (che di fatto solo quelli pubblici individuati nel Codice della Protezione Civile di cui al D.Lgs. n. 1/2018), ammettendo quindi anche soggetti privati, quali il datore di lavoro; per questi ultimi , tuttavia,  il Garante della Privacy con comunicato stampa del 2 marzo 2020 ha precisato che “I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.”.

 

In ogni caso l’attività di trattamento deve essere svolta nel rispetto dei principi dell’art. 5 del GDPR (liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione del titolare del trattamento).

Inoltre i titolari e i responsabili del trattamento, possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti con modalità semplificate, anche oralmente, a persone fisiche, espressamente designate, che operano sotto la loro autorità (nello specifico, si fa riferimento alle autorizzazioni di cui all’articolo 2 -quaterdecies del nostro Codice Privacy[7]); essendo preminente il diritto alla salute dell’intera collettività, è consentito omettere l’informativa di cui all’articolo 13 del GDPR[8] o fornire una informativa semplificata, previa comunicazione orale agli interessati di tale  limitazione.

I dati non potranno essere conservati oltre il termine dello stato di emergenza, cessato il quale sarà necessario adottare misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.

 

 

[1] Secondo il considerando 54 del GDPR in tale contesto la nozione di «sanità pubblica» dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all’assistenza sanitaria, la prestazione di assistenza sanitaria e l’accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità.

[2] Fermo restando che tale trattamento non dovrebbe comportare il trattamento dei dati personali per altre finalità da parte di terzi, quali datori di lavoro, compagnie di assicurazione e istituti di credito (considerando 54 GDPR).

[3] L’art. 14 “Disposizioni sul trattamento dei dati personali nel contesto emergenziale” del Decreto-legge 9.3.2020 n. 14 così recita: “1. Fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell’articolo 9, paragrafo 2, lettere g) , h) e i) , e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonché dell’articolo 2 -sexies , comma 2, lettere t) e u) , del decreto legislativo 30 giugno 2003, n. 196, i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19. 2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto. 3. I trattamenti di dati personali di cui ai commi 1 e 2 sono effettuati nel rispetto dei principi di cui all’articolo 5 del citato regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati. 4. Avuto riguardo alla necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 possono conferire le autorizzazioni di cui all’articolo 2 -quaterdecies del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, anche oralmente. 5. Nel contesto emergenziale in atto, ai sensi dell’articolo 23, paragrafo 1, lettera e) , del menzionato regolamento (UE) 2016/679, fermo restando quanto disposto dall’articolo 82 del decreto legislativo 30 giugno 2003, n. 196, i soggetti di cui al comma 1 possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione. 6. Al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020, i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.”.

[4] Rispetto alla quale, la nostra Autorità Garante per la Protezione dei dati personali, aveva espresso parere favorevole con Provvedimento n. 15 del 2 febbraio 2020.

[5] L’art. 10 del GDPR si riferisce al trattamento dei dati personali relativi a condanne penali e reati.

[6] In via generale il medico non può comunicare a terzi i dati sanitari, se non con il consenso del paziente.  Il medico è invece tenuto a segnalare all’autorità giudiziaria i dati in suo possesso anche senza il consenso del diretto interessato nei casi in cui sussista l’obbligo di referto (si pensi proprio alla segnalazione di malattie infettive o diffusive in cui si renda necessario tutelare la salute di un terzo o della collettività, oppure di un minore, di un soggetto disabile o comunque di un soggetto in situazione di particolare fragilità).

[7] Art. 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati) Cod. in materia di protezione dei dati personali: “1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilita’ e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. 2. Il titolare o il responsabile del trattamento individuano le modalita’ piu’ opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorita’ diretta.”

[8] Il GDPR prescrive all’art. 13 l’obbligo si sottoporre all’interessato l’informativa relativa al trattamento dei dati personali nel momento in cui sono raccolti i suoi dati.

Anche il diritto alla privacy va in quarantena?

È notizia del 23 marzo scorso che l’Ente Nazionale per l’Aviazione Civile (ENAC) ha concesso l’autorizzazione all’uso in deroga dei droni per monitorare gli spostamenti dei cittadini sul territorio comunale “nell’ottica di garantire il contenimento dell’emergenza epidemiologica coronavirus”[1].

Ma non solo, in questi giorni si discute l’ipotesi di tracciare, attraverso un’apposita app, gli spostamenti dei cittadini e ricostruire la loro rete di contatti per monitorare l’espansione del coronavirus sul territorio nazionale, il cd. contact tracing; qualcosa di simile è già stato fatto dalla Regione Lombardia analizzando i dati anonimi ed aggregati delle celle delle reti mobili per verificare se i cittadini -non i singoli, ma complessivamente- si stiano muovendo o meno oltre le poche centinaia di metri consentiti dalla propria abitazione.

Ma “spiare” gli italiani in nome della lotta al coronavirus è giuridicamente legittimo o è un abuso di potere?

Ne è emerso un dibattito che sostanzialmente vede contrapporsi due differenti fronti: se da un lato vi è l’esigenza di contenere il più possibile l’espansione del virus, dall’altro vi è il timore di trascendere in uno stato di polizia.

A prescindere da ogni considerazione politico-sociale, è legittimo subire limitazioni dei propri diritti purché conformi ai principi generali del nostro ordinamento, ovvero a condizione che tali limitazioni siano proporzionate ad esigenze specifiche e limitate nel tempo.

 

Questo è vero  anche per il diritto alla privacy, che è un diritto fondamentale riconosciuto sia a livello comunitario (il principio, espresso in prima battuta dalla Carta dei diritti fondamentali dell’UE, nella quale all’art. 8 viene affermato che Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano, è stato fatto proprio dal recente GDPR – General Data Protection Regulation n. 679/2016) sia nazionale (la sentenza della Corte Costituzionale n. 38 del 12.04.1973[2] ha collocato il diritto in esame tra i diritti inviolabili dell’uomo di cui all’art. 2 della nostra Costituzione ed è tutelato dal nostro Codice della Privacy che è stato adeguato GDPR).

Nello spirito complessivo del Regolamento GDPR il diritto alla protezione dei dati personali ha assunto un significato profondo: il GDPR nasce proprio con lo scopo di facilitare e rendere più sicura la circolazione dei dati, enfatizzando e ponendo quale fulcro di tutta la disciplina la tutela dei diritti degli interessati comunque coinvolti nelle attività di trattamento dei dati personali. Il Regolamento GDPR infatti si fonda sul principio che le attività di trattamento dei dati debbano  essere rivolte “al servizio dell’uomo” (come affermato nel Considerando n. 4) in un’ottica di tutela globale e complessiva. Da questo assunto discende che il diritto alla protezione dei dati non è un diritto assoluto, ma un diritto che viene riconosciuto per la sua funzione sociale e che va, pertanto, contemperato con gli altri diritti fondamentali dell’uomo di volta in volta rilevanti e prevalenti, come nel caso di specie, il diritto alla salute.

 

Proprio nell’ottica di operare un bilanciamento tra i diritti in questione e fermo restando che la geolocalizzazione, quale misura di prevenzione del contagio da Covid-19, astrattamente non è incompatibile con la normativa sulla protezione dei dati stabilita dal GDPR[3], il 19 marzo scorso il comitato europeo per la protezione dei dati – European Data Protection Board[4] (“EDPB”) ha reso la propria opinione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19, chiarendo, tra l’altro, che i dati delle telecomunicazioni relativi all’ubicazione possono essere utilizzati dall’operatore “solo se resi anonimi[5] o con il consenso dei singoli”. Tuttavia, l’EDPB ha precisato che “l’articolo 15 della direttiva e-privacy[6] consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica. Tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all’interno di una società democratica. Tali misure devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Inoltre, esse sono soggette al controllo giurisdizionale della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo”. E ancora: l’EDPB, ha precisato che “in presenza di situazioni di emergenza, le misure in questione devono essere rigorosamente limitate alla durata dell’emergenza”.

Anche in tema di utilizzo dei dati di localizzazione da dispositivi mobili (ad esempio l’ipotesi di geolocalizzare le persone o di inviare i messaggi di sanità pubblica ai soggetti che si trovano in una determinata area, via telefono o SMS) l’EDPB ha precisato che le autorità dovrebbero cercare di trattare i dati relativi all’ubicazione in modo anonimo (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi  sulla concentrazione di dispositivi mobili in un determinato luogo (“cartografia”). Nel caso, poi, in cui dati anonimi e aggregati non dovessero rivelarsi sufficienti o utili a scopi specifici, l’EDPB ricorda che, sempre all’articolo 15 della direttiva e-privacy, è prevista la possibilità di disposizioni nazionali di emergenza finalizzate a introdurre misure nell’interesse della sicurezza nazionale e della salute pubblica purché compatibili con i valori democratici (quali, ad esempio, la preservazione del diritto di difesa dell’interessato).

Anche il Garante per la Protezione dei Dati Personali italiano ha reso noto che nell’attuale contesto sanitario emergenziale l’adozione di misure “straordinarie” per il contrasto della pandemia del coronavirus è del tutto legittima, a condizione che vengano privilegiate le soluzioni meno invasive (ad esempio, optando per l’anonimizzazione dei dati) e che vengano rispettati i principi volti alla protezione dei dati, quali la proporzionalità delle misure in termini di durata e portata, la ridotta conservazione dei dati e la limitazione della finalità.

 

In Italia il decreto-legge del 9 marzo per il potenziamento del Servizio sanitario nazionale non autorizza espressamente la tracciabilità degli smartphone, né la geolocalizzazione o l’utilizzo di droni come mezzo per monitorare eventualmente i cittadini in quarantena o risultati positivi al virus per i quali è imposto divieto assoluto di uscire da casa.

Tuttavia, l’art. 14 del decreto[7] prevede, in via eccezionale, per la durata dell’emergenza COVID-19, una certa deroga al GDPR per il trattamento e la comunicazione da parte di soggetti qualificati dei dati sanitari dei cittadini interessati dal coronavirus. È a questa norma, come disposizione di carattere speciale, che qualcuno guarda, interrogandosi se essa non possa rappresentare uno spiraglio per l’introduzione di forme di contact tracing analoghe a quelle cinesi, in deroga alla norma generale del Codice Privacy, l’art. 132[8], che prevede trattamento dei dati di traffico (celle telefoniche o georeferenziazione) solo in casi eccezionali e nel rispetto di uno specifico procedimento.

In conclusione: non esistono preclusioni assolute nei confronti di misure come il tracciamento dei cellulari o l’utilizzo di droni per controllare gli spostamenti dei cittadini all’interno del territorio nazionale purché adottate le modalità più opportune in relazione alle esigenze di prevenzione, sempre nel rispetto del principio di proporzionalità, e che si tratti di misure temporalmente limitate.

 

 

 

[1] “Considerate le esigenze manifestate da numerosi Comandi di Polizie locali”, si legge nel documento, fino al 3 aprile 2020 si dispone che “le operazioni condotte con sistemi aeromobili a pilotaggio remoto con mezzi aerei di massa operativa al decollo inferiore a 25 kg, nella disponibilità dei Comandi di Polizia locale ed impiegati per le attività di monitoraggio” in questione, “potranno essere condotte in deroga ai requisiti di registrazione e di identificazione” fissate dall’articolo 8  del Regolamento Enac “Mezzi aerei a pilotaggio remoto” edizione 3 dell’11 novembre 2019″.

[2] La Corte Costituzionale con sentenza 12/04/1973 n. 38 colloca il diritto in esame tra quelli inviolabili dell’uomo garantiti costituzionalmente, richiamandosi anche all’art. 12 della “Dichiarazione Universale dei diritti dell’uomo” e all’art. 8 della “Convenzione europea dei diritti dell’uomo”. Afferma la Corte: “Non contrastano con le norme costituzionali ed anzi mirano a realizzare i fini dell’art. 2 affermati anche negli art. 3, comma 2, e 13, comma 1, che riconoscono e garantiscono i diritti inviolabili dell’uomo, fra i quali rientra quello del proprio decoro, del proprio onore, della propria rispettabilità, riservatezza , intimità e reputazione, sanciti espressamente negli art. 8 e 10 della Convenzione Europea sui diritti dell’uomo, gli art. 10 c.c., 96 e 97 L. 22/04/1941 n. 633…”.

[3] Il GDPR, all’art. 9, paragrafo 2, lettera i), detta una specifica base giuridica dei trattamenti che siano finalizzati a perseguire motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero, sulla base del diritto dell’Unione o degli Stati membri, purché siano previste misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato.

[4] Il comitato europeo per la protezione dei dati, istituito dal regolamento generale sulla protezione dei dati,  è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE. Il comitato ha il potere di adottare orientamenti generali per chiarire le disposizioni della normativa europea sulla protezione dei dati, così da fornire a tutti i destinatari di tali disposizioni un’interpretazione uniforme dei loro diritti e obblighi.

[5] Le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati.

[6] Il riferimento è alla direttiva 2002/58/CE del 12.7.2002 relativa alla vita privata e alle comunicazioni elettroniche (in attesa dell’emanazione del Regolamento e-privacy che è ancora in discussione) che, avendo natura di lex specialis, precisa e integra le previsioni generali in materia di protezione dei dati personali contenute nel GDPR (la natura di lex specialis della direttiva e-privacy risulta evidente alla luce della lettura dell’art. 95 del GDPR, secondo il quale il medesimo GDPR non impone obblighi supplementari per quanto riguarda le materie che sono soggette a obblighi specifici fissati dalla direttiva e-Privacy; nonché dal considerando 173, che conferma l’applicabilità del GDPR a tutti gli aspetti che non rientrano in obblighi specifici della Direttiva e-Privacy).

[7] Art. 14  Disposizioni  sul  trattamento  dei  dati  personali   nel   contesto  emergenziale.

1. Fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonchè per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell’articolo 9, paragrafo 2, lettere g), h) e i), e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonchè dell’articolo 2-sexies, comma 2,  lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196, i soggetti operanti nel Servizio nazionale di protezione  civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonchè gli uffici del Ministero della salute e  dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19.

2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonchè la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto.

3. I trattamenti di dati personali di cui ai commi 1 e 2 sono effettuati nel rispetto dei principi di cui all’articolo 5 del citato regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.

4. Avuto riguardo alla necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 Possono conferire le autorizzazioni di cui all’articolo 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, anche oralmente.

5. Nel contesto emergenziale in atto, ai sensi dell’articolo 23, paragrafo 1, lettera e), del menzionato  regolamento (UE) 2016/679, fermo restando quanto disposto dall’articolo 82 del decreto legislativo 30 giugno 2003, n. 196, i soggetti  di cui al comma 1 possono omettere l’informativa di cui all’articolo 13 del  medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione.

6. Al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020,  i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.

[8] Art. 132 Cod. Privacy – Conservazione di dati di traffico per altre finalità 1. Fermo restando quanto previsto dall’articolo 123, comma 2, i dati relativi al traffico telefonico sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione.19 1-bis. I dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni.20 2. [già abrogato] 3. Entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico ministero anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private. Il difensore dell’imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall’articolo 391-quater del codice di procedura penale. La richiesta di accesso diretto alle comunicazioni telefoniche in entrata può essere effettuata solo quando possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397; diversamente, i diritti di cui agli articoli da 12 a 22 del Regolamento possono essere esercitati con le modalità di cui all’articolo 2-undecies, comma 3, terzo, quarto e quinto periodo. 4. [già abrogato] 4-bis. [già abrogate] 4-ter. Il Ministro dell’interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell’Arma dei carabinieri e del Corpo della guardia di finanza, nonché gli altri soggetti indicati nel comma 1 dell’articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate da autorità investigative straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati. Il provvedimento, prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, può prevedere particolari modalità di custodia dei dati e l’eventuale indisponibilità dei dati stessi da parte dei fornitori e degli operatori di servizi informatici o telematici ovvero di terzi.25 4-quater. Il fornitore o l’operatore di servizi informatici o telematici cui è rivolto l’ordine previsto dal comma 4-ter deve ottemperarvi senza ritardo, fornendo immediatamente all’autorità richiedente l’assicurazione dell’adempimento. Il fornitore o l’operatore di servizi informatici o telematici è tenuto a mantenere il segreto relativamente all’ordine ricevuto e alle attività conseguentemente svolte per il periodo indicato dall’autorità. In caso di violazione dell’obbligo si applicano, salvo che il fatto costituisca più grave reato, le disposizioni dell’articolo 326 del codice penale. 4-quinquies. I provvedimenti adottati ai sensi del comma 4-ter sono comunicati per iscritto, senza ritardo e comunque entro quarantotto ore dalla notifica al destinatario, al pubblico ministero del luogo di esecuzione il quale, se ne ricorrono i presupposti, li convalida. In caso di mancata convalida, i provvedimenti assunti perdono efficacia. 5. Il trattamento dei dati per le finalità di cui al comma 1 è effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato prescritti dal Garante secondo le modalità di cui all’articolo 2-quinqiuesdecies, volti a garantire che i dati conservati possiedano i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete, nonchè ad indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di cui al comma 1. 5-bis. E’ fatta salva la disciplina di cui all’articolo 24 della legge 20 novembre 2017, n. 167.