APP per il contrasto della pandemia dovuta al Covid-19
I principi contenuti nella lettera inviata dalla Presidente dell'EDPB alla Commissione Europea
Il Comitato Europeo per la Protezione dei Dati, ha accolto l'iniziativa della Commissione Europea mirante a definire un approccio coordinato a livello europeo, in cui le app per telefonia mobile possano divenire una delle misure previste per consentire alle persone di rivestire un ruolo attivo nella lotta alla pandemia.
Il Comitato ha ribadito che "l'attuazione dei principi di protezione dati e il rispetto di diritti e libertà fondamentali non costituiscono soltanto un obbligo di legge, ma anche un presupposto indispensabile per rafforzare l'efficacia di ogni iniziativa che voglia utilizzare i dati nel contrasto alla diffusione del COVID-19".
Nella lettera che la Presidente dell'EDPB ha inviato alla Commissione Europea lo scorso 14 aprile, emergono gli orientamenti che andranno a costituire le linee guida per lo sviluppo e la diffusione di tali tecnologie.
Ripercorriamo alcuni punti salienti contenuti nel parere del Comitato Europeo:
1) Ogni soluzione tecnica dovrà essere analizzata in modo approfondito. Sarà fondamentale consultare le autorità di protezione dati in modo da assicurarne la liceità dei trattamenti.
2) La messa a punto delle app dovrà avvenire secondo criteri di responsabilizzazione, documentando attraverso una valutazione di impatto sulla protezione dei dati tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default.
3) Il codice sorgente dovrebbe essere reso pubblico così da permettere la più ampia valutazione possibile da parte della comunità scientifica.
4) Il fondamento giuridico per l'utilizzo delle app potrebbe individuarsi nella promulgazione di leggi nazionali che promuovano l'impiego di app su base volontaria senza alcuna penalizzazione per chi non intendesse farne uso.
5) Saranno incentivate idonee attività di comunicazione a livello nazionale volte a promuoverne l'uso, attraverso campagne di sensibilizzazione e supporto rivolte ai minori, ai disabili o ai settori della popolazione con un minor livello di istruzione e formazione.
6) Le app per il tracciamento dei contatti non necessitano di geolocalizzare i singoli utenti. Raccogliere dati sugli spostamenti di una persona configurerebbe una violazione del principio di minimizzazione dei dati.
7) La questione della memorizzazione degli "eventi" che necessitano di essere condivisi può essere affrontata in due modalità: memorizzazione dei dati in locale, all'interno dei dispositivi stessi o memorizzazione centralizzata purché vengano garantite adeguate misure di sicurezza. Il Comitato sottolinea che la soluzione decentralizzata è maggiormente in linea con il principio di minimizzazione.
8) Le app non sono piattaforme di allarmismo sociale. Il loro obiettivo è permettere alle autorità sanitarie di individuare le persone che siano venute a contatto con soggetti positivi al Covid-19 e chiedere a tali persone di porsi in auto-isolamento, eseguire rapidamente test e fornendo indicazioni sui comportamenti da seguire.
9) Gli algoritmi utilizzati nelle app dovrebbero operare sotto la stretta vigilanza di personale qualificato; in nessun caso le "indicazioni di comportamento" dovrebbero scaturire da processi esclusivamente automatizzati.
10) Il Comitato sconsiglia assolutamente di memorizzare dati direttamente identificativi nel dispositivo dell'utente, e in ogni caso i dati dovranno essere cancellati il prima possibile.
11) Evitare l'utilizzo del sistema di emergenza descritto una volta cessato lo stato di crisi, e in via generale di cancellare o anonimizzare i dati raccolti.
