Nell’ambito dello sviluppo di un approccio comunitario al contrasto ed al contenimento della diffusione del virus COVID-19 (il “coronavirus”), la Commissione Europea ha emanato le proprie linee guida in materia di applicazioni mobili a supporto della lotta alla pandemia, con focus specifico sugli aspetti legati alla tutela dei dati personali ad esse correlati.

Si è infatti ritenuto che l’impiego di tecnologie digitali (ad es. di c.d. “contact tracing” o tracciatura dei contatti) possa costituire un utile strumento a disposizione delle autorità sanitarie nazionali ai fini del monitoraggio e contenimento della diffusione del virus, soprattutto in una fase post-emergenziale e di ritorno alla normalità, a condizione che l’utilizzo di tali soluzioni avvenga nel pieno rispetto dei diritti e delle libertà fondamentali dei cittadini, tra cui, in primo luogo, il diritto degli individui alla riservatezza ed al rispetto per la propria vita privata.

Segue la prima parte dell’analisi delle linee guida in questione, avente ad oggetto una serie di principi di carattere generale, destinatati a trovare applicazione a prescindere dalle specifiche funzionalità delle singole applicazioni.

IL FATTO:

Al termine di un processo di consultazione che ha visto il coinvolgimento del Comitato Europeo per la Protezione dei Dati, in data 16 aprile la Commissione Europea ha adottato la versione definitiva della Guida alla protezione dei dati nell’ambito delle applicazioni a sostegno della lotta contro la pandemia COVID 19 (la “Guida”), al momento disponibile unicamente in lingua inglese.

L’obiettivo della Guida – non legalmente vincolante – è quello di supportare gli stati membri nell’identificare le soluzioni tecnologiche meno intrusive per gli interessati, individuando le caratteristiche ed i requisiti idonei a garantire la conformità delle stesse alla cornice normativa vigente a livello europeo in materia di tutela dei dati personali, composta dal Regolamento (UE) 2016/679 (“GDPR”) e dalla Direttiva (CE) 2002/58 (“Direttiva e-privacy”).

In primo luogo, la Commissione si esprime in maniera piuttosto netta a favore dell’impiego di applicazioni facoltative. La possibilità di ricorrere a soluzioni obbligatorie non viene ad ogni modo esclusa, a condizione che questo avvenga a seguito di un’attenta analisi e sulla base di una specifica disposizione normativa emanata nel rispetto dei principi di necessità, appropriatezza e proporzionalità.

In secondo luogo, la Guida sottolinea l’importanza di individuare delle soluzioni che garantiscano l’interoperabilità tra diversi sistemi, di modo che l’effort dei singoli stati membri nello sviluppo di una soluzione non venga poi del tutto vanificato in un ambito comunitario caratterizzato dalla libera circolazione delle merci e delle persone.

La Commissione sottolinea poi come sia cruciale che la titolarità dei trattamenti dei dati raccolti tramite le applicazioni mobili sia individuata in capo alle autorità sanitarie nazionali, di modo da offrire maggiori garanzie sia con riferimento al rispetto degli obblighi di trasparenza, sia con riferimento al rispetto del principio di limitazione delle finalità.

Quanto poi alle basi giuridiche applicabili al caso di specie, la Guida procede ad una indispensabile distinzione: mentre le autorità sanitarie locali potranno di norma trattare i dati personali, anche particolari, in assenza del consenso degli interessati, facendo leva sul fatto che il trattamento risulta necessario per e sfruttando, con riferimento ai dati sanitari, la deroga di cui all’art. 9 del GDPR, l’eventuale utilizzo dei dati di prossimità sarà sempre condizionato all’acquisizione del consenso libero, specifico, esplicito ed informato dell’interessato, in virtù di quanto stabilito dalla Direttiva e-privacy.

Infine, la Commissione – accogliendo i suggerimenti in tal senso forniti dal Comitato Europeo per la Protezione dei Dati con missiva del 14 aprile 2020 – sottolinea l’importanza che nel processo di sviluppo ed implementazione delle soluzioni tecnologiche in grado di fornire un supporto nella lotta al coronavirus siano coinvolte le autorità nazionali di controllo in materia di protezione di dati personali e che i relativi trattamenti siano sottoposti ad apposita valutazione d’impatto ai sensi dell’art. 35 del GDPR.

Il documento esamina anche le misure da adottare per garantire il rispetto dei principi di minimizzazione, limitazione della finalità, limitazione di accesso e limitazione della conservazione, distinguendo tra le diverse funzionalità proprie delle app in questione: tali misure saranno oggetto di approfondimento nella seconda parte dell’analisi della Guida.

PERCHÉ È IMPORTANTE:

Nonostante l’assenza di carattere cogente (ed un’adozione non proprio tempestiva), la Guida in esame rappresenta un formidabile strumento a supporto degli stati membri ai fini dell’individuazione e sviluppo di soluzioni tecnologiche che sappiano contemperare le esigenze connesse ad un efficace contenimento della pandemia ed il rispetto dei diritti fondamentali dei cittadini.

Dei principi elaborati dalla Commissione sarà senz’altro necessario tenere debito conto nella fase di sviluppo dell’app “Immuni”, che ad oggi pare la soluzione digitale prescelta dal Governo italiano per contrastare l’emergenza epidemiologica nel corso dell’ormai famigerata “fase 2”. Le premesse, tuttavia, non sono delle migliori: basti ricordare che il Garante per la protezione dei dati personali ha recentemente escluso un proprio coinvolgimento nel processo che ha portato alla selezione dell’app.