Le linee guida per l’app tracciamenti dettate dal comitato europeo per la protezione dei Dati.

Le linee guida per l’app tracciamenti dettate dal comitato europeo per la protezione dei Dati.

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

Avv. Pier Paolo Muià – Dott. Gianfranco Maccarone

Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19 – 21 aprile 2020

Premessa

L’emergenza legata alla rapida diffusione del Covid-19 ha portato, nelle ultime settimane, i Governi degli Stati membri dell’UE a prendere in considerazione l’adozione di strumenti di raccolta e trattamento dei dati personali, in modo da poter impiegare le informazioni raccolte per limitare e prevenire la diffusione del contagio. Tale scelta comporta, indubbiamente, una frizione con la normativa a tutela della riservatezza, in particolar modo con il Reg. UE 2016/679 (GDPR) e con la Direttiva 2002/58/CE, che ha richiesto l’intervento del Comitato Europeo per la protezione dei dati, il quale – come noto – si configura quale organo indipendente, il cui scopo è garantire l’applicazione in maniera uniforme e coerente delle norme a tutela dei dati da parte degli Stati membri.

Lo scorso 21 aprile, il Comitato Europeo per la Protezione dei dati ha, difatti, pubblicato un documento di soft law contenente le Linee-guida, finalizzate ad uniformare le emanande disposizioni in materia di localizzazione, tracciamento, raccolta e trattamento dei dati degli utenti, in modo che siano conformi ai principi in materia di tutela della privacy, nonché a fornire un supporto operativo per la corretta configurazione ed utilizzo dell’app che sarà all’uopo sviluppata.

 

Le linee guida del Comitato

Le Linee Guida sono suddivise in quattro capitoli:

  • Introduzione e Contesto”;
  • “Utilizzo dei dati relativi all’ubicazione”;
  • App per il tracciamento dei contatti”;
  • Conclusione”.

Nel capitolo introduttivo, il Comitato esplicita la finalità cui dovrà ispirarsi l’utilizzo della tecnologia per la raccolta ed il trattamento dei dati personali, ovvero quella di strumento ad ausilio degli utenti per tutelare la propria salute, in relazione all’emergenza Covid-19, respingendo dunque qualsiasi finalità di natura repressiva, e che, pertanto, l’utilizzo di un’app per il tracciamento dei contatti dovrebbe essere esclusivamente su base volontaria, escludendo che possa configurarsi qualsiasi pregiudizio per i cittadini che non intendano avvalersene. Inoltre, viene specificato che l’utilizzo dei dati ha funzione prettamente ausiliaria, quale parametro di valutazione dell’efficacia delle misure di sanità pubblica, le quali restano, in ogni caso, insostituibili.

L’ambito di applicazione del documento viene determinato per:

  • l’utilizzo dei dati di localizzazione, finalizzato alla costruzione di modelli di diffusione del virus, quale strumento di valutazione dell’efficacia delle misure di isolamento e quarantena;
  • l’utilizzo dei dati relativi al tracciamento dei contatti, finalizzato ad interrompere la diffusione del contagio, mediante avviso ai soggetti che hanno avuto contatti con persone risultate positive al virus.

Procedendo nella trattazione, le Linee Guida si soffermano sulle fonti da cui trarre i dati relativi all’ubicazione degli utenti, con cui costruire un modello diffusionale del virus e valutare l’efficacia complessiva delle misure di contenimento; tali fonti sono costituite, in sostanza, dagli operatori delle telecomunicazioni mobili e dai prestatori di servizi connessi alla società dell’informazione (es. motori di ricerca e servizi di trasporto, ecc.). A tal proposito, il Comitato mette in luce i limiti posti dalla legislazione di settore alle operazioni inerenti la raccolta ed il trattamento dei dati. In particolare, evidenzia che i dati raccolti dagli operatori delle telecomunicazioni mobili, prima di essere trasmessi alle Autorità, devono essere anonimizzati e, se riguardanti la posizione del device (smartphone, tablet, ecc.) in uso all’utente, devono essere tramessi con il suo consenso, conformemente agli artt. 6 e 9 della Direttiva 2002/58/CE; mentre, per quanto attiene ai dati memorizzati direttamente sul device dell’utente, indipendentemente che siano già archiviati o che vengano archiviati dal fornitore del servizio, questi possono essere trattati solo con il consenso dell’utente medesimo e solo se necessari alla fornitura del servizio, secondo il dettato dell’art. 5 della Direttiva 2002/58/CE. Tale regolamentazione può essere derogata, come previsto all’art. 15 della già citata direttiva, solo nel rispetto dei principi di adeguatezza, proporzionalità e specificità propri di una società democratica. Inoltre, viene evidenziato che il riutilizzo dei dati raccolti per costruire modelli è consentito o previo consenso dell’interessato o in base a specifiche disposizione contenute nelle singole normative nazionali, purché nel rispetto dei principi di necessarietà e proporzionalità.

Le Linee Guida, in proposito, si soffermano sul concetto di anonimizzazione dei dati, esplicitando la differenza sussistente tra dati anonimizzati e dati pseudoanonimizzati. I primi, infatti, sono depurati di qualsiasi riferimento che consenta l’identificazione una persona fisica determinabile, attraverso la loro raccolta e trattamento in forma aggregata (cd. Big Data), mentre i secondi, essendo riferibili ad un determinato soggetto o ad un numero ristretto di soggetti, si prestano (seppur cifrati) a consentire la re-identificazione attraverso un processo induttivo, in quanto caratterizzati da una forte correlazione con il soggetto interessato.

Tale distinzione comporta non poche differenze stante la differente disciplina applicabile. I dati anonimizzati, infatti, sono liberamente utilizzabili, mentre i dati pseudoanonimizzati rientrano nella più stringente regolamentazione inerente la protezione dei dati.

Successivamente, partendo da queste distinzioni, le Linee Guida si soffermano sull’utilizzo un’apposita app per il monitoraggio sistematico e su larga scala dell’ubicazione e dei contatti interpersonali degli utenti, che – viene ricordato – costituisce un grave ingerenza nella sfera privata dei cittadini. In ragione di ciò, il documento raccomanda, innanzitutto, una chiara individuazione della figura del titolare del trattamento e, pur ammettendo soluzioni alternative, ritiene che tale ruolo possa essere assunto dalle autorità sanitarie nazionali.

Viene, inoltre, raccomandata l’adozione di algoritmi verificabili, in ossequio al principio di trasparenza, e la supervisione da parte di personale sanitario qualificato della correttezza dei risultati forniti dalla raccolta di dati, onde evitare che il cittadino si trovi esposto a restrizioni della propria libertà (es. isolamento, quarantena) a causa di falsi positivi, dovuti ad un trattamento esclusivamente automatizzato.

Il Comitato richiama altresì il rispetto dei principi di adeguatezza, proporzionalità e necessarietà dei dati raccolti, escludendo, in ogni caso, che tali dati possano essere utilizzati per finalità diverse dalla gestione della presente crisi sanitaria. A tal proposito, evidenzia che dovrebbero essere esclusi dalla raccolta dati anagrafici, registrazioni di chiamate e simili e che i dati raccolti dovrebbero essere cancellati o anonimizzati al momento del venir meno dell’emergenza.

Inoltre, vengono dettati una serie di requisiti inerenti la realizzazione dell’app, specificando che per il tracciamento dei contatti l’app dovrebbe utilizzare i dati di prossimità, non necessitando del tracciamento della posizione dei singoli utenti, previa adozione di idonee misure per evitare una reidentificazione e che i dati raccolti dovrebbero essere conservati nel device dell’utente. Il Comitato raccomanda, poi, l’impiego di strumenti di crittografia a protezione dei dati e di individuare gli utenti attraverso codici identificativi e pseudonimi, al fine di evitare di risalire alla loro identità.

Quanto al valore del consenso dell’utente per il riutilizzo ed il trattamento dei propri dati, il documento rileva che, prevedendo l’utilizzo dell’app solo su base volontaria, questo potrebbe essere sostituito direttamente da specifica previsione legislativa. Infatti, in tal caso, il consenso sarebbe desumibile dalla scelta del soggetto di scaricare l’app sul proprio device, previa adeguata comunicazione da parte delle Autorità del link da cui scaricare l’app, onde evitare l’utilizzo di applicazioni sviluppate da terze parti.

In ogni caso, viene raccomandata l’elaborazione e la pubblicazione di una valutazione d’impatto sulla protezione dei dati, che il monitoraggio sistematico e su larga scala degli utenti attraverso dispositivi tecnologici potrebbe avere.

In chiusura, il documento conclude evidenziando che l’utilizzo dei dati raccolti con tecnologie digitali potrebbe certamente risultare uno strumento chiave per la lotta alla diffusione del covid-19, ma che tale utilizzo non può andare a discapito dei diritti e delle libertà individuali.

Volume consigliato

La tutela della privacy in ambito sanitario

La tutela della privacy in ambito sanitario

Pier Paolo Muià, 2018,

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro...



Diventa autore di Diritto.it

Scarica il documento

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!