As part of an EU approach to fighting and containing the diffusion of the COVID-19 virus (the “coronavirus”), the European Commission has issued its guidelines for mobile applications supporting the fight against the pandemic, specifically focusing on the related data protection features.

The implementation of digital technologies (e.g. “contact tracing”) seems to represent a useful tool for national health authorities to monitor and contain the diffusion of the virus, especially in the post-emergency phase when containment measures are lifted, provided that the use of such solutions are made in the full respect of the citizens’ fundamental rights and freedoms, including, first and foremost, the individuals’ right to privacy and respect for their private lives.

Herewith below is the first part of the analysis of the aforesaid guidelines, that set out a number of general principles intended for the application, regardless of the specific characteristics of the individual applications.

IL FATTO:

Al termine di un processo di consultazione che ha visto il coinvolgimento del Comitato Europeo per la Protezione dei Dati, in data 16 aprile la Commissione Europea ha adottato la versione definitiva della Guida alla protezione dei dati nell’ambito delle applicazioni a sostegno della lotta contro la pandemia COVID 19 (la “Guida”), al momento disponibile unicamente in lingua inglese.

L’obiettivo della Guida – non legalmente vincolante – è quello di supportare gli stati membri nell’identificare le soluzioni tecnologiche meno intrusive per gli interessati, individuando le caratteristiche ed i requisiti idonei a garantire la conformità delle stesse alla cornice normativa vigente a livello europeo in materia di tutela dei dati personali, composta dal Regolamento (UE) 2016/679 (“GDPR”) e dalla Direttiva (CE) 2002/58 (“Direttiva e-privacy”).

In primo luogo, la Commissione si esprime in maniera piuttosto netta a favore dell’impiego di applicazioni facoltative. La possibilità di ricorrere a soluzioni obbligatorie non viene ad ogni modo esclusa, a condizione che questo avvenga a seguito di un’attenta analisi e sulla base di una specifica disposizione normativa emanata nel rispetto dei principi di necessità, appropriatezza e proporzionalità.

In secondo luogo, la Guida sottolinea l’importanza di individuare delle soluzioni che garantiscano l’interoperabilità tra diversi sistemi, di modo che l’effort dei singoli stati membri nello sviluppo di una soluzione non venga poi del tutto vanificato in un ambito comunitario caratterizzato dalla libera circolazione delle merci e delle persone.

La Commissione sottolinea poi come sia cruciale che la titolarità dei trattamenti dei dati raccolti tramite le applicazioni mobili sia individuata in capo alle autorità sanitarie nazionali, di modo da offrire maggiori garanzie sia con riferimento al rispetto degli obblighi di trasparenza, sia con riferimento al rispetto del principio di limitazione delle finalità.

Quanto poi alle basi giuridiche applicabili al caso di specie, la Guida procede ad una indispensabile distinzione: mentre le autorità sanitarie locali potranno di norma trattare i dati personali, anche particolari, in assenza del consenso degli interessati, facendo leva sul fatto che il trattamento risulta necessario per e sfruttando, con riferimento ai dati sanitari, la deroga di cui all’art. 9 del GDPR, l’eventuale utilizzo dei dati di prossimità sarà sempre condizionato all’acquisizione del consenso libero, specifico, esplicito ed informato dell’interessato, in virtù di quanto stabilito dalla Direttiva e-privacy.

Infine, la Commissione – accogliendo i suggerimenti in tal senso forniti dal Comitato Europeo per la Protezione dei Dati con missiva del 14 aprile 2020 – sottolinea l’importanza che nel processo di sviluppo ed implementazione delle soluzioni tecnologiche in grado di fornire un supporto nella lotta al coronavirus siano coinvolte le autorità nazionali di controllo in materia di protezione di dati personali e che i relativi trattamenti siano sottoposti ad apposita valutazione d’impatto ai sensi dell’art. 35 del GDPR.

Il documento esamina anche le misure da adottare per garantire il rispetto dei principi di minimizzazione, limitazione della finalità, limitazione di accesso e limitazione della conservazione, distinguendo tra le diverse funzionalità proprie delle app in questione: tali misure saranno oggetto di approfondimento nella seconda parte dell’analisi della Guida.

PERCHÉ È IMPORTANTE:

Nonostante l’assenza di carattere cogente (ed un’adozione non proprio tempestiva), la Guida in esame rappresenta un formidabile strumento a supporto degli stati membri ai fini dell’individuazione e sviluppo di soluzioni tecnologiche che sappiano contemperare le esigenze connesse ad un efficace contenimento della pandemia ed il rispetto dei diritti fondamentali dei cittadini.

Dei principi elaborati dalla Commissione sarà senz’altro necessario tenere debito conto nella fase di sviluppo dell’app “Immuni”, che ad oggi pare la soluzione digitale prescelta dal Governo italiano per contrastare l’emergenza epidemiologica nel corso dell’ormai famigerata “fase 2”. Le premesse, tuttavia, non sono delle migliori: basti ricordare che il Garante per la protezione dei dati personali ha recentemente escluso un proprio coinvolgimento nel processo che ha portato alla selezione dell’app.