Il Presidente del Comitato europeo per la protezione dei dati, con comunicato del 15 aprile u.s., su sollecitazione del Presidente della Commissione Europea, ha espresso apprezzamento in merito all’iniziativa della Commissione volta a definire, con apposite “linee-guida in materia di app a supporto della lotta contro la pandemia dovuta al COVID-19”, un approccio coordinato a livello europeo nell’utilizzo delle app per telefonia mobile come possibile misura per consentire alle persone di rivestire un ruolo attivo nella lotta alla pandemia, ribadendo, nel contempo, che “l’attuazione dei principi di protezione dati e il rispetto di diritti e libertà fondamentali non costituiscono soltanto un obbligo di legge, ma anche un presupposto indispensabile per rafforzare l’efficacia di ogni iniziativa che voglia utilizzare i dati nel contrasto alla diffusione del COVID-19, nonché nella definizione delle strategie di uscita graduale dall’emergenza”.
Il Comitato, tuttavia, consapevole dell’impossibilità di individuare soluzioni onnicomprensive nel contesto specifico, nonché della necessità di tenere conto di una molteplicità di fattori rispetto alle opzioni disponibili - fra cui i possibili impatti sulla salute delle persone -, precisa che ogni soluzione tecnica dovrà essere analizzata in modo approfondito e caso per caso, ritenendo, comunque, che vada nella giusta direzione l’indicazione fornita nelle linee-guida in merito alla necessità fondamentale di consultare le autorità di protezione dati così da assicurare la liceità dei trattamenti di dati personali nel rispetto dei diritti delle persone, conformemente alle legislazioni in materia di protezione dei dati.
Il Comitato, inoltre, sulla base delle indicazioni fornite dalla Commissione, segnala la possibilità di prendere in esame esclusivamente l’obiettivo generale che si intende perseguire con le app al fine di verificarne la conformità con i principi di protezione dati, nonché i meccanismi previsti per l’esercizio dei diritti e delle libertà da parte degli interessati, prendendo in considerazione l’impiego delle app per le finalità di tracciamento dei contatti e di segnalazione, essendo questi gli ambiti ove è richiesta particolare attenzione al fine di ridurre al minimo le ingerenze nella vita privata delle persone e consentendo, al tempo stesso, di trattare i dati al fine di tutelare la salute pubblica.
Tanto ciò premesso il Comitato ha espresso il proprio parere in merito al progetto di “linee-guida in materia di app a supporto della lotta contro la pandemia dovuta al COVID-19” che gli è stato sottoposto dalla Commissione Europea, con particolare riferimento, agli aspetti di seguito riportati sinteticamente:
1) l’adozione di tali app su base volontaria, attraverso una scelta compiuta dai singoli nel segno di una responsabilità collettiva, non significa che il trattamento di dati personali da parte di soggetti pubblici debba fondarsi necessariamente sul consenso. Il fondamento giuridico per l’utilizzo delle app potrebbe individuarsi nella promulgazione di leggi nazionali che promuovano l’impiego di app su base volontaria senza alcuna penalizzazione per chi non intendesse farne uso. In altre parole gli interventi legislativi in oggetto non dovrebbero essere strumentali all’imposizione di un obbligo di utilizzo, e le persone dovrebbero essere libere di scegliere se installare o disinstallare l’app, supportate anche da una idonea attività di comunicazione a livello nazionale.
2) le app per il tracciamento dei contatti non necessitano di geolocalizzare i singoli utenti in virtù dell’obiettivo che perseguono di individuare eventi (il contatto con soggetti positivi) che hanno natura probabilistica e che possono anche non verificarsi per la maggioranza degli utenti, soprattutto nella fase post-emergenziale.
3) le autorità sanitarie e gli studiosi sono i soggetti deputati ad individuare quali eventi abbiano caratteristiche tali da imporre la condivisione delle relative informazioni, tenendo conto delle modalità, del luogo e del tempo in cui si verificano, secondo un rigido parametro di necessità come previsto dalla legge. A tale soggetto spetterebbe, altresì, la definizione di alcuni requisiti funzionali delle app.
4) la memorizzazione degli eventi potrebbe avvenire sia in locale che in modalità centralizzata, purché siano previste adeguate misure di sicurezza, benché la soluzione decentralizzata sia maggiormente in linea con il principio di minimizzazione.
5) essenziale è la qualità dei dati oggetto di trattamento; le informazioni, attraverso notifiche in-app, possono essere fornite assicurandosi che l’app tratti solo pseudonimi randomizzati e dovrebbe prevedersi un meccanismo in grado di garantire la correttezza delle informazioni inserite nell’app ogniqualvolta una persona sia dichiarata positiva.
6) gli algoritmi utilizzati nelle app per il tracciamento dei contatti dovrebbero operare sotto la stretta vigilanza di personale qualificato al fine di limitare i falsi positivi e i falsi negativi; in nessun caso le “indicazioni di comportamento” dovrebbero scaturire da processi esclusivamente automatizzati e non dovrebbero fare in alcun modo riferimento a informazioni potenzialmente identificative di altri interessati, né l’impiego dell’app o di sue componenti (pannello di controllo, impostazioni di configurazione, ecc.) dovrebbe consentire la reidentificazione di altri soggetti, positivi o meno al COVID-19. È sconsigliata assolutamente la memorizzazione dei dati direttamente identificativi nel dispositivo dell’utente, e in ogni caso i dati dovranno essere cancellati il prima possibile.
Il Comitato, infine, condivide la raccomandazione della Commissione di evitare l’utilizzo del sistema di emergenza una volta cessato lo stato di crisi, e in via generale di cancellare o anonimizzare i dati raccolti.
Il parere è liberamente consultabile e scaricabile dal sito istituzionale del Garante al seguente link ma, per praticità, lo alleghiamo anche alla presente.