Nel periodo storico che stiamo vivendo le soluzioni suggerite per contrastare il Covid-19 sono molteplici. In un’ottica di parziale riapertura delle attività economiche del Paese (cd. Fase 2), si è considerata l’opportunità di introdurre dei sistemi digitali di controllo sulle persone più severi e più impattanti ma che consentano perlomeno di isolare solo chi realmente (o potenzialmente) infetto.
A tal proposito, nel parere reso il 15 aprile 2020 dal Comitato europeo sulla protezione dei dati (EDPB) alla Commissione europea, sul progetto di Linee-guida in materia di App a supporto della lotta contro la pandemia dovuta al Coronavirus, si è affrontata la tematica della liceità e della conformità di tali strumenti con i principi di protezione dei dati personali, nonché dei meccanismi previsti per l’esercizio dei diritti e delle libertà da parte degli interessati.
Il Comitato, in qualità di organismo che riunisce tutte le Autorità garanti europee, ha accolto con favore l’iniziativa, poiché mirante a definire un approccio comune e coordinato a livello europeo, in cui le App per telefonia mobile possano divenire una delle misure previste per consentire alle persone di rivestire un ruolo attivo nella lotta al coronavirus.
Tali applicazioni (cd. “Contact Tracing Apps”) permetterebbero di tracciare tutte le persone con le quali sono venute in contatto gli utenti, al fine di poter individuare quelle positive.
Come precisato dal Comitato, la messa a punto di queste app naturalmente deve avvenire secondo criteri di responsabilizzazione, documentando attraverso una valutazione di impatto sulla protezione dei dati tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default; inoltre, il codice sorgente dovrebbe essere reso pubblico così da permettere la più ampia valutazione possibile da parte della comunità scientifica.
Inoltre si esclude la location tracking (il tracciamento della posizione) dei singoli utenti, atteso che la finalità non è quella di tracciare gli spostamenti delle persone né quella di far rispettare coattivamente le prescrizioni.
Raccogliere dati sulla geolocalizzazione configurerebbe una violazione del principio di minimizzazione dei dati, oltre a comportare gravi rischi in termini di sicurezza e privacy, anche in considerazione dell’impressionante numero di dati sensibili che verrebbe raccolto.
Per tale ragione appare preferibile, come indicato dalla Commissione Ue, propendere per App basate su sistemi di prossimità, come il bluetooth, in quanto maggiormente selettivi e, pertanto, di minore impatto sulla privacy.
Una volta individuato un soggetto positivo, l’autorità sanitaria competente procederà alla raccolta dei dati anche delle persone con le quali sì è relazionato, valutandone preliminarmente la rilevanza e la pertinenza, compiendo infine una selezione delle informazioni raccolte.
E’ altresì compito dello stesso personale qualificato di informare i soggetti positivi o coloro che ne sono venuti in contatto con positivi, telefonicamente o mediante altri canali, pur sempre preservandone la riservatezza.
Il personale dovrà inoltre attuare/ordinare l’adozione di misure tecniche per porre tali soggetti in quarantena; fornire le istruzioni necessarie per una efficace igienizzazione anche degli ambienti ed infine sottoporli tempestivamente al tampone, sia che si tratti di soggetti sintomatici che asintomatici purchè potenzialmente positivi.
In ogni caso, gli algoritmi utilizzati nelle app per il tracciamento dei contatti devono operare sotto la stretta vigilanza di addetti specializzati, al fine di limitare i falsi positivi e i falsi negativi. In nessun caso le “indicazioni di comportamento” possono scaturire da processi esclusivamente automatizzati.
Si pone, oltre ciò, il problema della conservazione dei dati, realizzabile in due modalità, entrambe ritenute lecite dal Comitato: l’archiviazione locale nei dispositivi degli utenti o l’archiviazione centralizzata. In entrambi i casi devono essere previste delle adeguate misure di sicurezza e la titolarità dei trattamenti potrà variare a seconda dell’obiettivo perseguito in ultima analisi dall’app.
La soluzione decentralizzata è tuttavia quella che appare maggiormente in linea con il principio di minimizzazione dei dati.
Per garantire l’anonimato ed impedire l’identificazione dell’interessato, le persone dovranno infatti essere individuate tramite pseudonimi o utilizzando ad esempio dei codici identificativi.
Da quanto emerge dalla dichiarazione della Presidente del Comitato Andrea Jelinek si esclude poi una adozione obbligatoria delle app di tracciamento, sussistendo unicamente un principio della volontaria adesione del singolo.
La volontarietà della partecipazione diventa un elemento necessario per una collaborazione attiva dell’utente, fondata sul senso di responsabilità collettiva oltre che sulla fiducia individuale di poter contare su un servizio trasparente e corretto che persegua unicamente gli scopi per i quali è preposto.
Come sottolineato dal Comitato però dalla volontarietà dell’utilizzo dell’app per il tracciamento dei contatti non ne consegue che il trattamento di dati personali da parte di soggetti pubblici debba fondarsi necessariamente sul consenso.
In particolare: “qualora un servizio sia fornito da un soggetto pubblico che operi sulla base di un mandato conferito dalla legge e conformemente ai requisiti fissati in tale legge, il fondamento giuridico più idoneo per il trattamento dei dati risulta essere la necessità del trattamento stesso per l’adempimento di un compito nell’interesse pubblico. Il fondamento giuridico per l’utilizzo delle app potrebbe individuarsi nella promulgazione di leggi nazionali che promuovano l’impiego di app su base volontaria senza alcuna penalizzazione per chi non intendesse farne uso.”
Tuttavia il successo di tale strumento necessita dell’adesione di circa il 60% della popolazione pertanto occorre sensibilizzare tale quota di cittadini per ottenere risulti soddisfacenti, come precisato dal Garante della privacy italiano, anche mediante idonee attività di comunicazione a livello nazionale tese a promuoverne l’uso, con campagne di sensibilizzazione e supporto rivolte ai minori, ai disabili o ai settori della popolazione con un minor livello di istruzione e formazione.
Infine una volta cessato lo stato di emergenza sanitaria, secondo il EDPB, le app dovranno essere dismesse e tutti i dati, in qualunque forma conservati, con l’eccezione dei dati aggregati e pienamente anonimi a fini di ricerca o statistici, dovranno essere cancellati o resi anonimi.
L’esigenza di debellare definitivamente il covid-19 non può non tenere conto dell’impatto che certi strumenti potrebbero avere sulle persone. E’ necessario pertanto adottare soluzioni non troppo invasive, riducendo quindi al minimo l’ingerenza nella vita privata delle persone pur riconoscendo che un’emergenza sanitaria senza precedenti come quella a cui stiamo assistendo debba inevitabilmente ammettere deroghe per la tutela della salute pubblica.
Occorre scongiurare infine la possibilità che tali app diventino uno strumento di discriminazione e biasimo nei confronti dei contagiati dal virus: non devono infatti trasformarsi in piattaforme per l’allarmismo sociale o per la stigmatizzazione.
Come specificato dalla Commissione europea, le contact tracing apps hanno l’unico obiettivo di permettere alle autorità sanitarie pubbliche di individuare persone che siano venute in contatto con soggetti positivi al Covid-19 e chiedere a tali persone di porsi in auto-isolamento, eseguendo rapidamente un test e fornendo indicazioni di comportamento, se del caso, anche in caso si manifestino sintomi.
VP
