Il Comitato Europeo per la Protezione dei Dati accoglie con favore l’iniziativa della Commissione europea sul Progetto di linee-guida in materia di app per il contrasto della pandemia dovuta al Covid-19, mirante a definire un approccio coordinato a livello europeo, in cui le app per telefonia mobile possano divenire una delle misure previste per consentire alle persone di rivestire un ruolo attivo nella lotta alla pandemia. L’attuazione dei principi di protezione dati e il rispetto di diritti e libertà fondamentali non costituiscono soltanto un obbligo di legge, ma anche un presupposto indispensabile per rafforzare l’efficacia di ogni iniziativa che voglia utilizzare i dati nel contrasto alla diffusione del COVID-19, nonché nella definizione delle strategie di uscita graduale dall’emergenza (Comunicato Garante provacy 15 aprile 2020).
Considerata l’impossibilità di individuare soluzioni onnicomprensive nel contesto specifico, nonché la necessità di tenere conto di una molteplicità di fattori, fra cui i possibili impatti sulla salute delle persone, ogni soluzione tecnica dovrà essere analizzata in modo approfondito e caso per caso, con la consultazione delle autorità di protezione dati in modo da assicurare la liceità dei trattamenti di dati personali.
La messa a punto delle app deve avvenire secondo criteri di responsabilizzazione, documentando attraverso una valutazione di impatto sulla protezione dei dati tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default; inoltre, il codice sorgente dovrebbe essere reso pubblico così da permettere la più ampia valutazione possibile da parte della comunità scientifica.
A oggi, sulla base delle informazioni fornite dalla Commissione, il Comitato può prendere in esame soltanto l’obiettivo generale che si intende perseguire con le app in questione. In particolare il Comitato, nella sua risposta, prende in considerazione specificamente l’impiego di app per le finalità di tracciamento dei contatti e di segnalazione, essendo questi gli ambiti ove è richiesta particolare attenzione al fine di ridurre al minimo le ingerenze nella vita privata delle persone consentendo, al tempo stesso, di trattare i dati al fine di tutelare la salute pubblica.
Se le app in questione dovessero rivelarsi strumentali alla realizzazione di politiche di salute pubblica, potranno garantire la massima efficacia solo se saranno utilizzate dalla quota più ampia possibile della popolazione, in uno sforzo collettivo di contrasto del virus. La Commissione propone di prevedere l’adozione di tali app su base volontaria, attraverso una scelta compiuta dai singoli nel segno di una responsabilità collettiva. Tuttavia la volontarietà dell’utilizzo dell’app per il tracciamento dei contatti non significa che il trattamento di dati personali da parte di soggetti pubblici debba fondarsi necessariamente sul consenso. Qualora un servizio sia fornito da un soggetto pubblico che operi sulla base di un mandato conferito dalla legge e conformemente ai requisiti fissati in tale legge, il fondamento giuridico più idoneo per il trattamento dei dati risulta essere la necessità del trattamento stesso per l’adempimento di un compito nell’interesse pubblico. Il fondamento giuridico per l’utilizzo delle app potrebbe individuarsi nella promulgazione di leggi nazionali che promuovano l’impiego di app su base volontaria senza alcuna penalizzazione per chi non intendesse farne uso. Ciò significa che gli interventi legislativi in oggetto non dovrebbero essere strumentali all’imposizione di un obbligo di utilizzo, e che le persone dovrebbero essere libere di scegliere se installare o disinstallare l’app. Ad una tale normativa potrebbero associarsi idonee attività di comunicazione a livello nazionale tese a promuovere l’uso di questi strumenti, con campagne di sensibilizzazione e supporto rivolte ai minori, ai disabili o ai settori della popolazione con un minor livello di istruzione e formazione, in modo tale da evitare un’adozione a macchia di leopardo e scongiurare ogni possibile discriminazione in ambito sanitario. Lacune informative dovute a un uso disattento dell’app da parte delle persone, o magari al malfunzionamento della batteria del dispositivo, possono pregiudicare seriamente l’utilità pubblica di questi strumenti.
Le app per il tracciamento dei contatti non necessitano di geolocalizzare i singoli utenti, l’obiettivo infatti non è quello seguire gli spostamenti individuali o imporre il rispetto di specifiche prescrizioni, ma di individuare eventi che hanno natura probabilistica, vale a dire il contatto con soggetti positivi. Raccogliere dati sugli spostamenti di una persona durante il funzionamento di un’app di tracciamento dei contatti configurerebbe una violazione del principio di minimizzazione dei dati, oltre a comportare gravi rischi in termini di sicurezza e privacy.
Le autorità sanitarie e gli studiosi hanno tutti gli strumenti per individuare quali eventi abbiano caratteristiche tali da imporre la condivisione delle relative informazioni, tenendo conto delle modalità, del luogo e del tempo in cui si verificano, secondo un rigido parametro di necessità come previsto dalla legge. A loro spetta anche definire alcuni dei requisiti funzionali delle app.
Altra questione controversa riguarda la memorizzazione di tali eventi. Una memorizzaizone decentralizzata appare maggiormente in linea con il principio di minimizzazione.
Infine, le app in questione non sono piattaforme per l’allarmismo sociale o per la stigmatizzazione, il loro unico obiettivo è “permettere alle autorità sanitarie pubbliche di individuare persone che siano venute in contatto con soggetti positivi al COVID-19 e chiedere a tali persone di porsi in auto-isolamento, eseguendo rapidamente un test e fornendo indicazioni di comportamento, se del caso, anche in caso si manifestino sintomi”. I passi da compiere per “individuare persone che siano venute in contatto con soggetti positivi al COVID-19” sono tutt’altro che facili da realizzare. Le informazioni, attraverso notifiche in-app, possono essere fornite assicurandosi che l’app tratti solo pseudonimi randomizzati. Si dovrebbe prevedere, inoltre, un meccanismo in grado di garantire la correttezza delle informazioni inserite nell’app ogniqualvolta una persona sia dichiarata positiva, visto che da tale informazione possono scaturire notifiche ad altre persone concernenti la loro esposizione al virus. Un meccanismo del genere potrebbe basarsi, per esempio, sull’impiego di un codice monouso scannerizzabile dalla persona quando questa riceve i risultati di un test. Tutti i contatti con i singoli interessati devono avvenire solo attraverso le autorità sanitarie e previa valutazione di dati fortemente probanti, evitando al massimo processi inferenziali. La Commissione dovrebbe anche chiarire il ruolo attribuito alla “rubrica del proprietario del dispositivo” in base alle linee-guida.
Gli algoritmi utilizzati nelle app per il tracciamento dei contatti dovrebbero operare sotto la stretta vigilanza di personale qualificato al fine di limitare i falsi positivi e i falsi negativi; in nessun caso le “indicazioni di comportamento” dovrebbero scaturire da processi esclusivamente automatizzati. Le “indicazioni” in argomento non dovrebbero fare in alcun modo riferimento a informazioni potenzialmente identificative di altri interessati, né l’impiego dell’app o di sue componenti (pannello di controllo, impostazioni di configurazione, ecc.) dovrebbe consentire la reidentificazione di altri soggetti, positivi o meno al COVID-19. Il Comitato sconsiglia assolutamente di memorizzare dati direttamente identificativi nel dispositivo dell’utente, e in ogni caso i dati dovranno essere cancellati il prima possibile.
