Fonte: Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19, adottate il 21 aprile 2020.
Da un po’ di tempo si sta discutendo circa l’uso di app per il tracciamento dei contatti, al fine di monitorare il diffondersi dei contagi da COVID-19. Molti sono gli interrogativi e le preoccupazioni che la questione pone e molti soggetti sono favorevoli ma tanti altri non lo sono affatto. In proposito, si rammenti che il monitoraggio sistematico e su larga scala dell’ubicazione e/o dei contatti tra persone fisiche costituisce una grave interferenza nella vita privata. I principi generali di efficacia, necessità e proporzionalità devono guidare qualsiasi misura adottata dagli Stati membri o dalle istituzioni dell’UE che comporti il trattamento di dati personali per combattere il COVID-19.
Prima di implementare una qualsiasi app di questo genere bisogna effettuare un’attenta valutazione d’impatto sulla protezione dei dati, in quanto il trattamento configura una probabilità di rischio elevato (dati relativi alla salute, adozione prevista su larga scala, monitoraggio sistematico, uso di una nuova soluzione tecnologica, ecc.). Sarebbe quindi opportuno pubblicare gli esiti di tale valutazione affinché i soggetti interessati possano prendere consapevolezza dei rischi e delle opportunità che ne derivano
Tali app possono essere legittimate solo facendo affidamento su un’adozione volontaria da parte degli utenti per ciascuno dei rispettivi scopi. Ciò implica, in particolare, che le persone che non possono (o non vogliono) utilizzare tali applicazioni non dovrebbero subire alcun pregiudizio. Devono essere rispettati tutti i principi di cui al Regolamento UE n. 679/2016 ovvero:
• deve essere definita chiaramente la titolarità del trattamento di un’eventuale app per il tracciamento dei contatti (principio di responsabilizzazione);
• le finalità del tracciamento devono essere sufficientemente specifiche da poter escludere trattamenti ulteriori per scopi non correlati alla gestione della crisi sanitaria causata da COVID-19 (limitazione della finalità);
• deve essere garantito che l’uso dei dati personali sia adeguato, necessario e proporzionato (principio di minimizzazione e della protezione dei dati fin dalla progettazione e per impostazione predefinita). Si noti che le app per il tracciamento dei contatti non necessitano del tracciamento della posizione dei singoli utenti poiché basta utilizzare i dati di prossimità; tali app possono funzionare senza l’identificazione diretta delle persone, quindi, devono essere adottate misure adeguate per prevenire la reidentificazione; le informazioni raccolte devono risiedere nell’apparecchiatura terminale dell’utente e devono essere raccolte solo le informazioni pertinenti e solo ove strettamente necessarie.
Occorre inoltre individuare le categorie di dati ed i soggetti ai quali i dati personali possono essere comunicati, nonché per quali scopi.
A seconda del grado di interferenza, occorrerà integrare salvaguardie ulteriori tenendo conto della natura, della portata e delle finalità del trattamento. Infine, bisognerà prevedere i criteri per stabilire quando l’app dovrà essere disinstallata ed a chi spetti assumere tale determinazione. Infatti, l’attuale crisi sanitaria non deve trasformarsi in un’occasione per derogare rispetto al principio di limitazione della conservazione dei dati la quale dovrà essere limitata alla luce delle reali esigenze e della rilevanza medica (periodo di incubazione, studi epidemiologici, ecc.) ed i dati personali devono essere conservati solo per la durata della crisi dovuta al COVID-19. Successivamente, tutti i dati personali devono essere cancellati o resi anonimi.
Il Comitato europeo per la protezione dei dati sottolinea che a nessuno dovrebbe essere chiesto di scegliere tra una risposta efficace all’attuale crisi e la tutela dei diritti fondamentali poiché entrambi gli obiettivi possono essere raggiunti. Infatti, il diritto europeo in materia di protezione dei dati consente l’uso responsabile dei dati personali per la gestione della salute, garantendo al contempo che non siano erosi i diritti e le libertà individuali.