Le indicazioni del Comitato europeo per la protezione dei dati personali circa la individuazione di linee guida sulle app per il contrasto della pandemia da Coronavirus

Lettera della Presidente del Comitato Europeo per la Protezione dei Dati alla Commissione europea sul Progetto di linee guida in materia di app per il contrasto della pandemia dovuta al Covid-19

Premessa

Al fine di limitare i contagi dovuti al Covid-19 nella nuova fase post lockdown, i vari governi nazionali stanno rivolgendo il loro interesse sull’utilizzo di un app che sia in grado di ricostruire i contatti che il soggetto risultato positivo al Covid-19 ha precedentemente avuto, al fine di poter ricostruire la catena di eventuali contagi ed avvisare le persone interessate. Per tale ragione la Commissione europea, al fine di definire un approccio uniforme a livello europeo si è rivolta al Comitato Europeo per la Protezione dei Dati chiedendo un parere sul progetto di Linee-guida relativo a questa tipologia di app.

Il parere del Comitato

Nel parere che è chiamato a dare, il Comitato ha preso in esame l’obiettivo generale che si intende perseguire con le app di tracciamento dei contatti e di segnalazione, al fine di verificarne la conformità con i principi di protezione dati, nonché i meccanismi previsti per l’esercizio dei diritti e delle libertà da parte degli interessati, al fine di ridurre al minimo le ingerenze nella vita privata delle persone consentendo, al tempo stesso, di trattare i dati al fine di tutelare la salute pubblica.

In primo luogo, il Comitato si è espresso favorevolmente alla proposta della Commissione di prevedere l’utilizzo di queste app su base volontaria, lasciando la scelta se utilizzare o meno l’app alle singole persone, facendo appello al senso di responsabilità collettiva.

La volontarietà dell’utilizzo dell’app per il tracciamento dei contatti, però, non significa che il trattamento di dati personali da parte di soggetti pubblici debba fondarsi necessariamente sul consenso. Infatti, quando un servizio è fornito da un soggetto pubblico che opera sulla base di un mandato conferito dalla legge e conformemente ai requisiti fissati in tale legge, il fondamento giuridico più idoneo per il trattamento dei dati risulta essere la necessità del trattamento stesso per l’adempimento di un compito nell’interesse pubblico. In questo caso, sarebbe, pertanto, utile adottare leggi nazionali che promuovano l’impiego di app su base volontaria senza prevedere alcuna penalizzazione per chi sceglie di non installarla.

Per incentivare la popolazione ad utilizzare l’app, che per essere efficace alla lotta alla diffusione del Covid-19 dovrà essere utilizzata dalla maggioranza della popolazione, il Comitato suggerisce di porre in essere attività di comunicazione a livello nazionale tese a promuovere l’uso di questi strumenti, con campagne di sensibilizzazione e supporto rivolte ai minori, ai disabili o ai settori della popolazione con un minor livello di istruzione e formazione, così da evitare un’adozione a macchia di leopardo o una conoscenza imperfetta dell’evoluzione della patologia nonché scongiurare ogni possibile discriminazione in ambito sanitario.

Il Comitato specifica, poi, che la finalità mirata attraverso l’utilizzo di app per il tracciamento è quella di individuare l’avvenuto contatto con soggetti positivi al Covid-19 che hanno natura probabilistica e che possono anche non verificarsi per la maggioranza degli utenti, non certo quello di seguire gli spostamenti individuali attraverso la geolocalizzazione degli utenti, o quella di imporre il rispetto di specifiche prescrizioni. Infatti, il Comitato ricorda che raccogliere dati sugli spostamenti di una persona durante il funzionamento di un’app di tracciamento dei contatti configurerebbe una violazione del principio di minimizzazione dei dati, oltre a comportare gravi rischi in termini di sicurezza e privacy.

Il Comitato passa, poi, ad analizzare un altro aspetto meritevole di attenzione, vale a dire le modalità di memorizzazione di quegli eventi che secondo gli studiosi hanno le caratteristiche tali da imporre la condivisione delle relative informazioni. Secondo il Comitato sono due gli scenari ipotizzabili, entrambi valevoli: quella della memorizzazione dei dati in locale, all’interno dei dispositivi degli utenti, e quella di memorizzazione dei dati in modo centralizzato. Secondo il Comitato, entrambe le ipotesi sono valide purché siano previste adeguate misure di sicurezza, e che la titolarità dei trattamenti possa variare a seconda dell’obiettivo perseguito. Ad esempio, il titolare del trattamento e le tipologie di dati trattati potranno essere diversi se l’obiettivo è fornire informazioni in-app piuttosto che contattare telefonicamente la persona. Detto ciò il Comitato esprime il proprio favore verso l’ipotesi di memorizzazione dei dati in modo centralizzato perché maggiormente in linea con il principio di minimizzazione.

A conclusione del suo parere il Comitato, riproponendo le parole della Commissione europea nel descrivere l’obiettivo dell’app di tracciamento (“permettere alle autorità sanitarie pubbliche di individuare persone che siano venute in contatto con soggetti positivi al COVID-19 e chiedere a tali persone di porsi in auto-isolamento, eseguendo rapidamente un test e fornendo indicazioni di comportamento, se del caso, anche in caso si manifestino sintomi”), raccomanda di avere estrema attenzione nella trasmissione delle informazioni attraverso notifiche in-app. Il Comitato consiglia, infatti, di trasmettere le informazioni necessarie assicurandosi che l’app tratti solo pseudonimi randomizzati, e di prevedere un meccanismo in grado di garantire la correttezza delle informazioni inserite nell’app ogniqualvolta una persona sia dichiarata positiva, visto che da tale informazione possono scaturire notifiche ad altre persone concernenti la loro esposizione al virus. A tal fine, il Comitato suggerisce di utilizzare un codice monouso scannerizzabile dalla persona quando questa riceve i risultati di un test. Suggerisce, poi, di ideare un meccanismo di richiamata, mettendo a disposizione delle persone un numero di telefono o un canale di contatto che permetta di ricevere maggiori informazioni da una persona preposta a fare ciò.

Per scongiurare, poi, qualsivoglia stigmatizzazione, le indicazioni di comportamento non dovrebbero fare in alcun modo riferimento a informazioni potenzialmente identificative di altri interessati, né l’impiego dell’app o di sue componenti (pannello di controllo, impostazioni di configurazione, ecc.) dovrebbe consentire la reidentificazione di altri soggetti, positivi o meno al COVID-19. Inoltre, si dovrebbe assolutamente evitare di memorizzare dati direttamente identificativi nel dispositivo dell’utente, prevedendo la cancellazione degli stessi in un breve tempo.

In conclusione, il Comitato si congeda dalla Commissione ricordando la pubblicazione, a breve, delle linee guida in materia di geolocalizzazione e altri strumenti di tracciamento nel contesto dell’emergenza COVID-19.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM. Monica Mandico | 2019 Maggioli Editore 32.00 €  30.40 € Scopri di più