Apps per il tracciamento dei contagi da COVID-19 e privacy: le indicazioni del Comitato Europeo per la Protezione dei Dati Personali

In questi ultimi giorni, il dibattito sulle applicazioni per il tracciamento dei contagi da COVID-19 non accenna a placarsi. Sempre più nutrito, infatti, è il novero di commentatori ed esperti che si sono interrogati sull’effettiva utilità dei software di contact tracing e sul potenziale impatto che la loro implementazione potrebbe avere sul diritto alla riservatezza ed alla protezione dei dati personali della popolazione interessata. In una recente lettera indirizzata alla Commissione Europea (impegnata nella definizione di apposite linee guida per gli Stati membri) il Comitato Europeo per la Protezione dei dati personali ha espresso il proprio autorevole parere tecnico sul tema, fornendo interessanti indicazioni sulle caratteristiche e sui requisiti minimi che tali strumenti debbono presentare per risultare compliant con la normativa europea in materia di data protection.

Queste le principali considerazioni del Comitato:

  • se è lodevole la non obbligatorietà dell’installazione, la volontarietà sottesa all’utilizzo dell’app non implica che il fondamento di liceità del trattamento debba essere individuato nel consenso dell’utente, al quale pertanto esso non dovrà esser richiesto. La base giuridica più appropriata, infatti, è costituita dalla necessità del trattamento per l’esecuzione di un compito di interesse pubblico, enunciato in provvedimenti legislativi che promuovano (ma non impongano) l’utilizzo delle app in questione;
  • l’unica finalità del trattamento legittimamente perseguibile, mediante l’utilizzo di simili software, è quella di permettere alle autorità sanitarie l’identificazione delle persone che hanno avuto contatti con individui risultati positivi al COVID-19, al fine di contattarli per invitarli alla quarantena ed alla sottoposizione a tampone e per fornire loro consigli sulle ulteriori azioni da intraprendere, specie nel caso in cui insorgano sintomi tipici dell’infezione. Pertanto, debbono essere approntate soluzioni tecniche che consentano di attivare il processo di identificazione soltanto a fronte di una conferma della positività dell’utente – onde evitare di diffondere allarmi ingiustificati – e procedure operative affidate alla gestione diretta delle autorità sanitarie, unici soggetti competenti a valutare l’opportunità della presa di contatto e a fornire indicazioni comportamentali scientificamente comprovate;
  • poiché lo scopo perseguito attraverso l’utilizzo di tali applicazioni non si estende al monitoraggio degli spostamenti della popolazione o all’enforcement delle prescrizioni in materia di circolazione delle persone, è da escludersi la liceità dell’eventuale geolocalizzazione degli utenti: oltre a violare il principio di minimizzazione, l’impiego di una simile funzionalità creerebbe grandi rischi per la sicurezza e per la privacy;
  • è preferibile – poiché maggiormente conforme al principio di minimizzazione – che i dati raccolti dall’app siano conservati esclusivamente sul dispositivo utilizzato dall’utente, piuttosto che archiviati in un database centralizzato pubblico o privato; qualunque la soluzione tecnica prescelta, dovranno in ogni caso essere approntate misure tecniche che garantiscano un adeguato livello di sicurezza. Sempre in quest’ottica, si raccomanda l’adozione di soluzioni atte ad evitare che informazioni utili all’identificazione possano essere archiviate direttamente sul dispositivo dell’utente, e comunque a garantirne la tempestiva cancellazione non appena possibile;
  • la massima efficienza di simili applicazioni rispetto agli obiettivi di sanità pubblica perseguiti è assicurata soltanto dall’ampia diffusione e dal corretto uso dello strumento da parte della popolazione;
  • è auspicabile che i dati trattati nell’attuale contesto emergenziale vengano cancellati o resi anonimi, una volta terminata la situazione di crisi che ne ha giustificato la raccolta.

In questo momento di grande incertezza, non resta che auspicare ulteriori autorevoli interventi del Comitato, volti ad orientare i legislatori e le istituzioni nella definizione di strategie di contrasto e di contenimento della pandemia che siano efficaci e che garantiscano, al contempo, la tutela del fondamentale diritto di ogni individuo alla propria riservatezza ed alla protezione dei propri dati personali.

 

Il contenuto di questo elaborato ha valore meramente informativo e non costituisce un parere professionale sugli argomenti trattati, né può essere in tal senso interpretato.

Per ulteriori informazioni o approfondimenti si prega di contattare il vostro consulente Nexum di riferimento ovvero di scrivere al seguente indirizzo soscontratti@nexumlegal.it