Le indicazioni del Comitato europeo per la protezione dei dati personali circa la individuazione di linee guida sulle app per il contrasto della pandemia da Coronavirus

Le indicazioni del Comitato europeo per la protezione dei dati personali circa la individuazione di linee guida sulle app per il contrasto della pandemia da Coronavirus

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Avv. Pier Paolo Muià – Dott.ssa Maria Muià

Lettera della Presidente del Comitato Europeo per la Protezione dei Dati alla Commissione europea sul Progetto di linee guida in materia di app per il contrasto della pandemia dovuta al Covid-19

Premessa

Al fine di limitare i contagi dovuti al Covid-19 nella nuova fase post lockdown, i vari governi nazionali stanno rivolgendo il loro interesse sull’utilizzo di un app che sia in grado di ricostruire i contatti che il soggetto risultato positivo al Covid-19 ha precedentemente avuto, al fine di poter ricostruire la catena di eventuali contagi ed avvisare le persone interessate. Per tale ragione la Commissione europea, al fine di definire un approccio uniforme a livello europeo si è rivolta al Comitato Europeo per la Protezione dei Dati chiedendo un parere sul progetto di Linee-guida relativo a questa tipologia di app.

Il parere del Comitato

Nel parere che è chiamato a dare, il Comitato ha preso in esame l’obiettivo generale che si intende perseguire con le app di tracciamento dei contatti e di segnalazione, al fine di verificarne la conformità con i principi di protezione dati, nonché i meccanismi previsti per l’esercizio dei diritti e delle libertà da parte degli interessati, al fine di ridurre al minimo le ingerenze nella vita privata delle persone consentendo, al tempo stesso, di trattare i dati al fine di tutelare la salute pubblica.

In primo luogo, il Comitato si è espresso favorevolmente alla proposta della Commissione di prevedere l’utilizzo di queste app su base volontaria, lasciando la scelta se utilizzare o meno l’app alle singole persone, facendo appello al senso di responsabilità collettiva.

La volontarietà dell’utilizzo dell’app per il tracciamento dei contatti, però, non significa che il trattamento di dati personali da parte di soggetti pubblici debba fondarsi necessariamente sul consenso. Infatti, quando un servizio è fornito da un soggetto pubblico che opera sulla base di un mandato conferito dalla legge e conformemente ai requisiti fissati in tale legge, il fondamento giuridico più idoneo per il trattamento dei dati risulta essere la necessità del trattamento stesso per l’adempimento di un compito nell’interesse pubblico. In questo caso, sarebbe, pertanto, utile adottare leggi nazionali che promuovano l’impiego di app su base volontaria senza prevedere alcuna penalizzazione per chi sceglie di non installarla.

Per incentivare la popolazione ad utilizzare l’app, che per essere efficace alla lotta alla diffusione del Covid-19 dovrà essere utilizzata dalla maggioranza della popolazione, il Comitato suggerisce di porre in essere attività di comunicazione a livello nazionale tese a promuovere l’uso di questi strumenti, con campagne di sensibilizzazione e supporto rivolte ai minori, ai disabili o ai settori della popolazione con un minor livello di istruzione e formazione, così da evitare un’adozione a macchia di leopardo o una conoscenza imperfetta dell’evoluzione della patologia nonché scongiurare ogni possibile discriminazione in ambito sanitario.

Il Comitato specifica, poi, che la finalità mirata attraverso l’utilizzo di app per il tracciamento è quella di individuare l’avvenuto contatto con soggetti positivi al Covid-19 che hanno natura probabilistica e che possono anche non verificarsi per la maggioranza degli utenti, non certo quello di seguire gli spostamenti individuali attraverso la geolocalizzazione degli utenti, o quella di imporre il rispetto di specifiche prescrizioni. Infatti, il Comitato ricorda che raccogliere dati sugli spostamenti di una persona durante il funzionamento di un’app di tracciamento dei contatti configurerebbe una violazione del principio di minimizzazione dei dati, oltre a comportare gravi rischi in termini di sicurezza e privacy.

Il Comitato passa, poi, ad analizzare un altro aspetto meritevole di attenzione, vale a dire le modalità di memorizzazione di quegli eventi che secondo gli studiosi hanno le caratteristiche tali da imporre la condivisione delle relative informazioni. Secondo il Comitato sono due gli scenari ipotizzabili, entrambi valevoli: quella della memorizzazione dei dati in locale, all’interno dei dispositivi degli utenti, e quella di memorizzazione dei dati in modo centralizzato. Secondo il Comitato, entrambe le ipotesi sono valide purché siano previste adeguate misure di sicurezza, e che la titolarità dei trattamenti possa variare a seconda dell’obiettivo perseguito. Ad esempio, il titolare del trattamento e le tipologie di dati trattati potranno essere diversi se l’obiettivo è fornire informazioni in-app piuttosto che contattare telefonicamente la persona. Detto ciò il Comitato esprime il proprio favore verso l’ipotesi di memorizzazione dei dati in modo centralizzato perché maggiormente in linea con il principio di minimizzazione.

A conclusione del suo parere il Comitato, riproponendo le parole della Commissione europea nel descrivere l’obiettivo dell’app di tracciamento (“permettere alle autorità sanitarie pubbliche di individuare persone che siano venute in contatto con soggetti positivi al COVID-19 e chiedere a tali persone di porsi in auto-isolamento, eseguendo rapidamente un test e fornendo indicazioni di comportamento, se del caso, anche in caso si manifestino sintomi”), raccomanda di avere estrema attenzione nella trasmissione delle informazioni attraverso notifiche in-app. Il Comitato consiglia, infatti, di trasmettere le informazioni necessarie assicurandosi che l’app tratti solo pseudonimi randomizzati, e di prevedere un meccanismo in grado di garantire la correttezza delle informazioni inserite nell’app ogniqualvolta una persona sia dichiarata positiva, visto che da tale informazione possono scaturire notifiche ad altre persone concernenti la loro esposizione al virus. A tal fine, il Comitato suggerisce di utilizzare un codice monouso scannerizzabile dalla persona quando questa riceve i risultati di un test. Suggerisce, poi, di ideare un meccanismo di richiamata, mettendo a disposizione delle persone un numero di telefono o un canale di contatto che permetta di ricevere maggiori informazioni da una persona preposta a fare ciò.

Per scongiurare, poi, qualsivoglia stigmatizzazione, le indicazioni di comportamento non dovrebbero fare in alcun modo riferimento a informazioni potenzialmente identificative di altri interessati, né l’impiego dell’app o di sue componenti (pannello di controllo, impostazioni di configurazione, ecc.) dovrebbe consentire la reidentificazione di altri soggetti, positivi o meno al COVID-19. Inoltre, si dovrebbe assolutamente evitare di memorizzare dati direttamente identificativi nel dispositivo dell’utente, prevedendo la cancellazione degli stessi in un breve tempo.

In conclusione, il Comitato si congeda dalla Commissione ricordando la pubblicazione, a breve, delle linee guida in materia di geolocalizzazione e altri strumenti di tracciamento nel contesto dell’emergenza COVID-19.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!