La Commissione europea (DG for Justice and Consumers Unit C.3 – Data protection) aveva chiesto nelle scorse settimane il parere del Comitato Europeo per la Protezione dei Dati sul Progetto di linee-guida in materia di app per il contrasto della pandemia dovuta al Covid-19.
La presidente del comitato stesso Andrea Jelinek ha risposto con un articolato documento, che è stato tradotto e messo in linea sul sito del Garante per la protezione dei dati personali e di cui si propongono di seguito i passaggi principali e qualificanti.
[…] Il Comitato accoglie con favore l’iniziativa della Commissione mirante a definire un approccio coordinato a livello europeo, in cui le app per telefonia mobile possano divenire una delle misure previste per consentire alle persone di rivestire un ruolo attivo nella lotta alla pandemia. Il Comitato ha ribadito più volte che l’attuazione dei principi di protezione dati e il rispetto di diritti e libertà fondamentali non costituiscono soltanto un obbligo di legge, ma anche un presupposto indispensabile per rafforzare l’efficacia di ogni iniziativa che voglia utilizzare i dati nel contrasto alla diffusione del COVID-19, nonché nella definizione delle strategie di uscita graduale dall’emergenza.
[…] ogni soluzione tecnica dovrà essere analizzata in modo approfondito e caso per caso. Inoltre, il Comitato ritiene che vada nella giusta direzione l’indicazione fornita nelle linee-guida quanto alla necessità fondamentale di consultare le autorità di protezione dati così da assicurare la liceità dei trattamenti di dati personali nel rispetto dei diritti delle persone, conformemente alle legislazioni in materia di protezione dei dati.
La messa a punto delle app deve avvenire secondo criteri di responsabilizzazione, documentando attraverso una valutazione di impatto sulla protezione dei dati tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default; inoltre, il codice sorgente dovrebbe essere reso pubblico così da permettere la più ampia valutazione possibile da parte della comunità scientifica.
[…] il Comitato prenderà in considerazione specificamente l’impiego di app per le finalità di tracciamento dei contatti e di segnalazione, essendo questi gli ambiti ove è richiesta particolare attenzione al fine di ridurre al minimo le ingerenze nella vita privata delle persone consentendo, al tempo stesso, di trattare i dati al fine di tutelare la salute pubblica.
[…] Il Comitato accoglie con grande favore la proposta della Commissione di prevedere l’adozione di tali app su base volontaria, attraverso una scelta compiuta dai singoli nel segno di una responsabilità collettiva. È bene osservare che l’adozione volontaria va di pari passo alla fiducia individuale, e ciò sottolinea ulteriormente l’importanza dei principi di protezione dati.
Il Comitato osserva come la volontarietà dell’utilizzo dell’app per il tracciamento dei contatti non significhi che il trattamento di dati personali da parte di soggetti pubblici debba fondarsi necessariamente sul consenso. Qualora un servizio sia fornito da un soggetto pubblico che operi sulla base di un mandato conferito dalla legge e conformemente ai requisiti fissati in tale legge, il fondamento giuridico più idoneo per il trattamento dei dati risulta essere la necessità del trattamento stesso per l’adempimento di un compito nell’interesse pubblico. Il fondamento giuridico per l’utilizzo delle app potrebbe individuarsi nella promulgazione di leggi nazionali che promuovano l’impiego di app su base volontaria senza alcuna penalizzazione per chi non intendesse farne uso. Ciò significa che gli interventi legislativi in oggetto non dovrebbero essere strumentali all’imposizione di un obbligo di utilizzo, e che le persone dovrebbero essere libere di scegliere se installare o disinstallare l’app. Alla normativa qui descritta potrebbero associarsi idonee attività di comunicazione a livello nazionale tese a promuovere l’uso di questi strumenti, con campagne di sensibilizzazione e supporto rivolte ai minori, ai disabili o ai settori della popolazione con un minor livello di istruzione e formazione, così da evitare un’adozione a macchia di leopardo o una conoscenza imperfetta dell’evoluzione della patologia nonché scongiurare ogni possibile discriminazione in ambito sanitario. Lacune informative dovute a un uso disattento dell’app da parte delle persone, o magari al malfunzionamento della batteria del dispositivo, possono pregiudicare seriamente l’utilità pubblica di questi strumenti.
Le app per il tracciamento dei contatti non necessitano di geolocalizzare i singoli utenti. L’obiettivo che perseguono non è seguire gli spostamenti individuali o imporre il rispetto di specifiche prescrizioni, bensì individuare eventi (il contatto con soggetti positivi) che hanno natura probabilistica e che possono anche non verificarsi per la maggioranza degli utenti, soprattutto nella fase post-emergenziale. Raccogliere dati sugli spostamenti di una persona durante il funzionamento di un’app di tracciamento dei contatti configurerebbe una violazione del principio di minimizzazione dei dati, oltre a comportare gravi rischi in termini di sicurezza e privacy.
Le autorità sanitarie e gli studiosi hanno tutti gli strumenti per individuare quali eventi abbiano caratteristiche tali da imporre la condivisione delle relative informazioni, tenendo conto delle modalità, del luogo e del tempo in cui si verificano, secondo un rigido parametro di necessità come previsto dalla legge. A loro spetta anche definire alcuni dei requisiti funzionali delle app.
[…] Infine, le app in questione non sono piattaforme per l’allarmismo sociale o per la stigmatizzazione. Tutt’altro: dovrebbero essere strumenti per dare alle persone la possibilità di fare la propria parte. Come scrive la Commissione nella proposta di linee-guida, il loro unico obiettivo è “permettere alle autorità sanitarie pubbliche di individuare persone che siano venute in contatto con soggetti positivi al COVID-19 e chiedere a tali persone di porsi in auto-isolamento, eseguendo rapidamente un test e fornendo indicazioni di comportamento, se del caso, anche in caso si manifestino sintomi”. A questo scopo, è essenziale la qualità dei dati oggetto di trattamento. […] Tutti i contatti con i singoli interessati devono avvenire solo attraverso le autorità sanitarie e previa valutazione di dati fortemente probanti, evitando al massimo processi inferenziali. La Commissione dovrebbe anche chiarire il ruolo attribuito alla “rubrica del proprietario del dispositivo” in base alle linee-guida.
Gli algoritmi utilizzati nelle app per il tracciamento dei contatti dovrebbero operare sotto la stretta vigilanza di personale qualificato al fine di limitare i falsi positivi e i falsi negativi; in nessun caso le “indicazioni di comportamento” dovrebbero scaturire da processi esclusivamente automatizzati. […] Il Comitato sconsiglia assolutamente di memorizzare dati direttamente identificativi nel dispositivo dell’utente, e in ogni caso i dati dovranno essere cancellati il prima possibile.
Il Comitato concorda pienamente con la raccomandazione di evitare l’utilizzo del sistema di emergenza qui descritto una volta cessato lo stato di crisi, e in via generale di cancellare o anonimizzare i dati raccolti.
Infine, il Comitato e tutti i suoi componenti, cui è demandato il compito di fornire consulenza e garantire la corretta applicazione del RGPD e della direttiva e-privacy, dovrebbero essere coinvolti in tutto il processo di elaborazione e implementazione delle misure in oggetto. Il Comitato ricorda che saranno presto pubblicate specifiche linee-guida in materia di geolocalizzazione e altri strumenti di tracciamento nel contesto dell’emergenza COVID-19.
[…]