Il Comitato europeo per la protezione dei dati (CEPD), che raggruppa le autorità europee per la protezione dei dati, ha emesso, il 21 aprile 2020, le sue linee guida sull’uso dei dati di localizzazione e sul contact tracing al fine di stabilire norme comuni, nell’insieme degli Stati membri dell’UE, in materia di protezione dei dati nell’ambito dell’epidemia di Covid-19.
E’ evidente que la soluzione migliore per combattere la diffusione del Covid-19 e tornare alla normalità sarebbe lo sviluppo di un vaccino. Purtroppo, l’elaborazione e la messa a punto di un vaccino richiede tempo. L’Organizzazione mondiale della sanità (OMS) ha dichiarato che ci vorrà almeno un anno per ottenere un prodotto utilizzabile su vasta scala
Altri strumenti possono, allora, essere utilizzati dagli Stati membri per controllare e arginare l’epidemia di Covid-19, che può diffondersi da uomo a uomo molto rapidamente. Da qui l’idea di usare le app per il monitoraggio dei contatti per uscire rapidamente dall’isolamento. Di per sé, il contact tracing non è una novità trattandosi di un metodo sanitario che consente di identificare tutte le persone che hanno avuto un contatto, ravvicinato o duraturo, con una persona infetta.
Questo lavoro di censimento permette di risalire la catena dei contatti, di allertare le persone a rischio, di rilevare il Covid-19, di prendere in carico, se del caso, il paziente colpito dal virus e di isolarlo. Il contact tracing può essere realizzato in diversi modi:
- Il monitoraggio della popolazione potrebbe farsi tramite personale sanitario. Ma ciò richiederebbe molto tempo e per fermare un’epidemia così virulenta come il Covid-19, il tempo è diventato prezioso.
- Oppure, un aiuto potrebbe arrivare dallo sviluppo di applicazioni di tracciamento digitale. In questo caso, l’utilizzo di dati di geolocalizzazione (GPS) è fortemente sconsigliato dalla Commissione europea in quanto mette a rischio la privacy dei cittadini dell’UE. Una soluzione migliore, sulla quale esiste ormai un ampio consenso, è quella basata sull’utilizzo della tecnologia Bluetooth – come, ad esempio, le app StopCovid, in Francia, e Immuni, in Italia – che è meno invasiva per quanto riguarda il diritto alla tutela della privacy non implicando il trattamento dei dati di geolocalizzazione.
Il CEPD è favorevole allo sviluppo del dispositivo di tracciamento digitale dei contatti per lottare contro il Covid-19 e aiutare gli Stati membri dell’UE a gestire al meglio la Fase 2 di uscita dall’isolamento[1].
In primo luogo, il CEPD ricorda che il RGPD (Regolamento generale europeo sulla protezione dei dati) e la Direttiva 2002/58/CE (detta direttiva e-privacy) prevedono già norme che consentono l’uso di dati anonimi o a carattere personale per motivi importanti di interesse pubblico. Nella fattispecie, aiutare i governi degli Stati membri dell’UE a gestire lo stato di emergenza sanitaria legato all’epidemia di Covid-19 costituisce una missione di interesse generale.
L’utilizzazione di dispositivi di tracciamento digitale, in un contesto così eccezionale, deve avvenire unicamente su base volontaria, garantendo la massima trasparenza. Ciò è indispensabile per assicurare la fiducia nel dispositivo di controllo dei contatti e favorirne l’adozione da parte di una componente significativa della popolazione europea. Naturalmente, le misure adottate a livello nazionale o europeo sono temporanee e restano in vigore fino alla fine della crisi di Covid-19.
Il CEPD precisa che il trattamento dei dati personali deve ispirarsi ai principi di necessità, proporzionalità ed efficacia. I dati trattati devono essere anonimi e le violazioni della privacy delle persone devono essere proporzionate all’obiettivo perseguito.
Ne consegue che l’utilizzazione del dispositivo di controllo dei contatti deve soddisfare talune condizioni:
Il download e l’utilizzo delle app devono includere solo identificativi univoci e pseudonimi. Tali identificativi devono essere rinnovati con una frequenza compatibile con la finalità di contenere il virus e di limitare il rischio di identificazione e di geolocalizzazione delle persone.
Conformemente al principio della minimizzazione del trattamento dei dati, il dispositivo di tracciamento digitale dei contatti non deve raccogliere informazioni non collegate o non necessarie (ad esempio dati personali, identificatori di comunicazione, directory del dispositivo, messaggi, registrazioni di chiamate, ecc.) al perseguimento dell’obiettivo finale che è quello di combattere la pandemia di Covid-19. Tale dispositivo deve piuttosto basarsi su tecniche crittografiche specifiche per garantire la memorizzazione, l’autenticazione, l’integralità e la riservatezza degli scambi.
Il server responsabile della centralizzazione degli identificativi delle persone esposte a Covid-19 deve adottare misure di sicurezza, organizzative e tecniche, di altissimo livello per garantire la protezione dei dati degli interessati.
La segnalazione degli utenti esposti al Covid-19 sulle app deve essere soggetta ad autorizzazione, ad esempio utilizzando un codice monouso. Se la conferma non può essere ottenuta in modo sicuro, non si deve procedere ad alcun trattamento dei dati.
gp@giovannellapolidoro.com
_____________________________________________________________________
[1] E’ possibile ritrovare le raccomandazioni del CEPD sul sito : www.edpb.europa.eu.