Il Garante privacy europeo (Edps), Wojciech Wiewiorowski, ha scritto al direttore generale di DG Connect Roberto Viola per chiarire alcuni punti del dibattito in corso sul data tracing, ricordando che si tratta di una misura necessariamente temporanea e fissando i paletti su quanto sarà possibile in termini di raccolta, utilizzo e conservazione dei dati.
Di fronte all’epidemia di coronavirus, “condivido e sostengo il suo appello per l’urgente messa a punto di un approccio coordinato europeo per affrontare l’emergenza nel modo più efficiente, efficace e rispettoso delle norme. C’è un chiaro bisogno di agire su scala europea adesso”, scrive l’Edps (European data protection supervisor). Tuttavia, Wiewiorowski tiene a sottolineare alcuni “elementi di attenzione” sulla sicurezza e l’accesso ai dati.
Il chiarimento sulle “terze parti”: dati riservati e non riutilizzabili
Nella misura in cui i dati ottenuti dalla Commissione europea restano anonimi, e sono anche aggregati per ulteriore tutela, la procedura esula dalla portata delle regole del Gdpr. “Tuttavia, si applicano comunque gli obblighi sulla sicurezza delle informazioni basata sulla Decisione della Commissioine 2017/46, così come gli obblighi di riservatezza in base alle Staff Regulations per tutto il personale della Commissione che si trovi a elaborare le informazioni”, sottolinea l’Edps. Il Garante privacy europeo aggiunge: “Se la Commissiione dovesse affidarsi a terze parti per elaborare le informazioni, queste terze parti dovranno applicare misure di sicurezza equivalenti ed essere legate a severi obblighi di riservatezza e divieto di ulteriori utilizzi”.
Wiewiorowski evidenzia anche l’importanza di applicare misure adeguate per garantire la trasmissione sicura dei dati dagli operatori di telecomunicazione. Il Garante ritiene inoltre “preferibile” limitare l’accesso ai dati a esperti autorizzati in epidemiologia, protezione dei dati e data science.
Il data tracing resti una misura “straordinaria”
Il commissario Ue al mercato interno Thierry Breton, secondo quanto riportato da Politico, ha sentito in conference call i top manager delle aziende di telecomunicazione europee e ha chiesto di fornire i dati anonimizzati e aggregati dei loro utenti mobili per aiutare a tracciare e arginare l’epidemia di Covid-19. Il piano di Bruxelles è per ora una bozza ma permetterebbe alla Commissione, non alle telco, di gestire il modo in cui i dati sono usati e darebbe alle autorità dell’Ue il controllo dei metadati su centinaia di milioni di smartphone nel nostro continente.
Il Garante privacy europeo ricorda che le misure di data tracing, suggerite per aiutare a combattere la diffusione del coronavirus, sono, appunto, misure emergenziali e temporanee. Wiewiorowski condivide la linea adottata da Viola: i dati ottenuti dagli operatori mobili andranno cancellati non appena l’emergenza finisce. Si deve poter tornare indietro da questa misura straordinaria.
“Vorrei anche ribadire l’importanza della piena trasparenza verso il pubblico sugli scopi e le modalità delle misure che saranno adottate”, conclude l’Edps. Wiewiorowski ha chiesto a Viola di coinvolgere il suo Data Protection Officer durante tutto il processo “per assicurare che i dati usati siano stati efficacemente resi anonimi” e sottolinea ancora che, se la Commissione riterrà di dover modificare le modalità di elaborazione dei dati raccolti dalle telco, sarà necessaria una nuova consultazione con l’Edps.
LA LETTERA DEL GARANTE PRIVACY UE
