As part of a Community approach to combating and containing the diffusion of the COVID-19 virus (the “coronavirus”), the European Commission has adopted the Guide to Data Protection in Applications to Support the Fight Against the COVID 19 Pandemic (the “Guide”).

Herewith below you can find the second part of the analysis of the aforesaid guidelines (the first part is available here) concerning privacy by design and by default, measures to be taken in order to ensure compliance with the principles of lawfulness,  purposes of data minimization, access and storage limitation, based on the various features of the apps under review.

IL FATTO:

La Commissione Europea ha approfittato dell’adozione della Guida per individuare quali funzionalità tipiche delle applicazioni mobili siano in grado di fornire un concreto supporto agli stati membri nell’ambito della lotta al coronavirus. Per questo motivo la Commissione ha espressamente limitato l’ambito di applicazione dei principi individuati dalla propria Guida alle applicazioni digitali, di natura facoltativa, che presentino una o più delle seguenti funzionalità: (i) meramente informativa; (ii) di verifica dei sintomi o di telemedicina; ed infine (iii) di tracciatura dei contatti (c.d. “contact tracing”) ed allerta. Ciascuna delle funzionalità sopra citate è caratterizzata da elementi peculiari, che comportano la necessità di adottare approcci differenziati al fine di garantire la conformità delle stesse alla vigente normativa in materia di tutela dei dati personali: nell’ambito della presente disamina ci occuperemo in particolare della funzionalità di tracciatura dei contatti, il cui fine è la raccolta dei dati di altri utenti che possano essere stati esposti al contagio al fine di avvertirli del rischio di infezione.

Fatto salvo quanto già indicato nella prima parte della disamina della Guida con riferimento alla base giuridica applicabile, un rilevante principio viene espresso in materia di funzionalità di contact tracing e rispetto del principio di minimizzazione, il quale prevede che siano oggetto di trattamento dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. In particolare, la Commissione si esprime in maniera netta a favore dell’impiego della tecnologia BLE (Bluetooth Low Energy) al fine di ricostruire la catena di trasmissione del virus, in quanto essa da un lato sarebbe in grado di offrire maggiori garanzie in materia di precisione – e dunque qualità – della rilevazione, e dall’altro consentirebbe di evitare l’utilizzo di dati di localizzazione (ad es. raccolti mediante il GPS), poco funzionali e non strettamente necessari rispetto alla finalità del trattamento. Ma la Commissione va oltre: specifica infatti che di norma non sarà necessario raccogliere né l’esatto momento né il luogo del contatto, essendo sufficiente memorizzare il giorno in cui esso è avvenuto, e a condizione che la vicinanza tra i soggetti e la durata del contatto siano sufficienti da far sorgere un concreto rischio di infezione. I parametri da utilizzare per determinare il rischio di contagio dovranno essere elaborati con il supporto di scienziati e delle autorità sanitarie.

Altro tema particolarmente delicato è la regolamentazione dell’accesso ai dati raccolti con le modalità indicate al precedente capoverso. La Guida indica come preferibile la soluzione del c.d. trattamento “decentralizzato”: i dati di prossimità andranno salvati direttamente sul dispositivo dell’utente, mediante l’utilizzo di identificativi soggetti a cifratura e pseudonimizzazione, suscettibili di re-identificazione e trasmissione alle autorità sanitarie unicamente qualora il soggetto titolare del dispositivo presso il quale i dati sono raccolti sia risultato positivo al virus. Né la persona infetta sarà informata dei nominativi delle persone che verranno allertate, né tali soggetti verranno a conoscenza del nominativo dell’infetto o del giorno e luogo in cui è avvenuto il contatto a rischio.

La Guida si occupa poi delle modalità di contatto dei soggetti che siano entrati in contatto con un utente poi risultato positivo: ciò potrà avvenire mediante invio automatico di un messaggio di allerta da parte dell’app, previa approvazione e/o conferma da parte dell’autorità sanitaria, di modo da garantire la correttezza dell’informazione e, al contempo, escludere la possibilità di applicazione di decisioni basate esclusivamente su un processo automatizzato.

Ultimo profilo affrontato è quello della garanzia del rispetto del principio di limitazione della conservazione, secondo il quale i dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Ebbene, la Commissione stabilisce che i dati di prossimità raccolti mediante le applicazioni dotate di funzionalità di contact tracing dovrebbero essere cancellati – in maniera automatica – decorso un mese dalla raccolta.

PERCHÉ È IMPORTANTE:

Nonostante l’assenza di carattere cogente (ed un’adozione non proprio tempestiva), la Guida in esame rappresenta un formidabile strumento a supporto degli stati membri ai fini dell’individuazione e sviluppo di soluzioni tecnologiche che sappiano contemperare le esigenze connesse ad un efficace contenimento della pandemia ed il rispetto dei diritti fondamentali dei cittadini.

Dei principi elaborati dalla Commissione sarà senz’altro necessario tenere debito conto nella fase di sviluppo dell’app “Immuni”, che ad oggi appare la soluzione digitale prescelta dal Governo italiano per contrastare l’emergenza epidemiologica nel corso dell’ormai famigerata “fase 2”. Le premesse, tuttavia, non sono delle migliori: basti ricordare che il Garante per la protezione dei dati personali ha escluso un proprio coinvolgimento nel processo che ha portato alla selezione dell’app.