L’utilizzo delle app per il contact tracing, ovvero il tracciamento degli spostamenti delle persone finalizzato al contenimento dei contagi da coronavirus, deve essere volontario, non obbligatorio. Lo ha detto la Commissione europea col pieno supporto del Comitato europeo per la protezione dei dati (Edpb, European data protection board).
Il comitato ha scritto in una lettera – di cui è stato relatore il Garante Privacy italiano – a firma della presidente Andrea Jelinek, che il rispetto delle norme Ue sulla protezione dei dati personali (Gdpr) è un principio inderogabile e nel parere inviato all’esecutivo europeo l’Edpb accoglie con favore l’iniziativa della Commissione di sviluppare un approccio pan-europeo nella lotta all’epidemia di Covid-19, in cui l’utilizzo delle app mobili può essere parte integrante e efficace strumento per la salvaguardia della salute pubblica. Ma l’utilizzo da parte delle persone dovrà avvenire su base volontaria.
Difficile equilibrio tra privacy e salute pubblica
“L’Epdb ha ripetutamente affermato che l’implementazione dei principi della data protection e il rispetto dei diritti e delle libertà fondamentali non solo è un obbligo imposto dalla legge ma un requisito per rafforzare l’efficacia di qualunque iniziativa data-based volta a contrastare la diffusione del virus e dare supporto alle strategie di normalizzazione”, si legge nella lettera.
Nel caso le app di contact tracing si dimostrino rilevanti nelle politiche sulla salute pubblica, scrive ancora l’Edpb, queste applicazioni possono raggiungere il massimo dell’efficacia se usate dalla più ampia fetta possibile della popolazione, in uno sforzo collettivo per combattere il virus. Inoltre, servirà omogeneità funzionale, interoperabilità e utilizzo coerente tra tutti gli individuali nell’uso delle applicazioni, pena una mancanza di efficienza. Al tempo stesso, l’Edpb “dà convinto supporto alla proposta della Commissione europea di optare per un’adozione volontaria di tali app, una scelta che dovrebbe essere fatta dalle singole persone in nome della responsabilità verso la collettività. L’adozione volontaria è associata alla fiducia nei singoli individui, e questo prova ulteriormente l’importanza dei principi della protezione dei dati”. Nelle app di contact tracing occorre minimizzare le interferenze con la vita privata pur permettendo di elaborare i dati utili a salvaguardare la salute pubblica.
L’Edpb nota anche che il fatto di aderire al contact tracing su base volontaria non significa che l’elaborazione dei dati personali. da parte delle autorità pubbliche abbia necessariamente bisogno del consenso. In questo caso, infatti, le regole del Gdpr non sarebbero violate, perché esiste una necessità di operare in nome dell’interesse pubblico.
Nelle implementazioni nazionali occorre evitare l’health divide
Il comitato europeo scrive ancora che l’attuazione di leggi nazionali che promuovono l’uso volontario della app senza alcuna conseguenza negativa per le persone che non la usano potrebbe essere la corretta base legale per l’impiego di queste app. Anche a livello nazionale, “gli interventi legislativi non andrebbero intesi come strumento per spingere a un’adozione forzata e le persone dovrebbero essere lasciate libere di installare o disinstallare la app come desiderano”.
Le leggi nazionali andranno accompagnate da una adeguata campagna di comunicazione al pubblico per promuovere questi strumenti e la loro utilità e per assistere tutte le fasce della popolazione che per livello di istruzione, età o altri fattori potrebbero non essere in grado di usare la app. Lo scopo è evitare la creazione di un “health divide”: se un individuo ha scelto di installare la app di contact tracing dovrebbe essere messo nelle condizioni di usarla nel modo corretto per evitare l’arrivo alle autorità sanitarie di dati incompleti, minando l’efficacia di questo strumento di contenimento dei contagi.
In Italia la ministra dell’Innovazione Paola Pisano in audizione alla Camera ha parlato di una app da scaricare sullo smartphone solo se lo si vuole e in totale garanzia di anonimato. Dunque, nessun obbligo e nessuna identificazione dei cittadini. “Il lavoro della task force è terminato – ha detto la ministra – e la shortlist delle soluzioni è sul tavolo di Palazzo Chigi che dovrà ora selezionare quella che si potrà usare nella fase di emergenza ma anche in quella della ripresa.
No alla geolocalizzazione degli utenti
L’Edpb afferma anche che le app di contact tracing non richiedono il tracciamento della location dei singoli utenti. Lo scopo non è seguire i movimenti delle persone o imporre specifici comportamenti. La funzione principale è invece portare alla luce eventi – i contatti con persone positive al virus – che comunque sono solo una probabilità e per molti utenti potrebbero non verificarsi mai, specialmente nella fase di normalizzazione. Raccogliere invece i dati sui movimenti degli individui nel contesto delle app di contact tracing violerebbe il principio della data minimisation, secondo cui i dati raccolti vanno conservati e usati solo per il tempo strettamente necessario e gli scopi precedentemente definiti.
Le autorità sanitarie e gli scienziati sono i più idonei a definire che cosa rappresenti un “evento” da condividere con le autorità e anche a suggerire requisiti funzionali per le app di contact tracing.
Il nodo dello storage dei dati
Quanto alla conservazione dei dati – altro tema fondamentale per l’Edpb – si può sia ricorrere allo storage locale sui dispositivi delle persone sia a una conservazione centralizzata. Sono entrambe alternative valide, ammesso che siano create adeguate misure di sicurezza, ma la soluzione della conservazione decentrata è più in linea con il principio della data minimisation.
L’Edpb conferma di essere in linea con le raccomandazioni della Commissione Ue anche sul fatto che, terminata l’emergenza coronavirus, le app di tracing devono essere disattivate e i dati raccolti cancellati o anonimizzati.
L’Edpb e i suoi membri, incaricati di vigilare sulla corretta applicazione del Gdpr, chiedono di essere informati lungo tutto il processo di elaborazione e implementazione delle misure di contact tracing. Il Board pubblicherà nei prossimi giorni delle linee guida sulla geolocalizzazione e altri strumenti di tracciamento nel contesto dell’emergenza Covid-19.
