Il Comitato europeo per la protezione dei dati (EDPB) ha rilasciato una lettera rivolta alla Commissione Europea in merito alla bozza delle “Linee Guida della Commissione Europea sulle applicazioni a sostegno della lotta contro la pandemia COVID-19”.
Nella sua lettera, l’EDPB si concentra specificamente sullo sviluppo di app, finalizzate al tracciamento dei contatti con persone potenzialmente positive al COVID-19 e dotate di specifiche funzioni di avviso, ricordando che per quanto sia legittimo il trattamento di dati personali per la salvaguardia della salute pubblica, occorre prestare attenzione allo sviluppo e all’utilizzo di tali strumenti, al fine di ridurre al minimo le interferenze con la vita privata dei soggetti interessati.
L’EDPB ritiene necessario che lo sviluppo delle app debba essere realizzato in modo responsabile, documentando con una specifica Valutazione d’Impatto (DPIA) tutti i meccanismi di privacy by design e privacy by default implementati e rendendo pubblico il codice sorgente, al fine di consentire il controllo dello stesso da parte della comunità scientifica.
L’EDPB dichiara di sostenere fermamente la proposta della Commissione di adottare tali app su base volontaria. Il semplice fatto che il tracciamento dei contatti avvenga su base volontaria non significa, però, che il trattamento dei dati personali da parte delle Autorità pubbliche si basi necessariamente sul consenso. La base giuridica adottata per il trattamento dei dati nell’ambito dei servizi erogati dalle Autorità pubbliche è da ricercarsi nella necessità di svolgere un compito di interesse pubblico e, di conseguenza, nell’emanazione di leggi nazionali che promuovano l’uso volontario di questi strumenti, senza alcuna conseguenza pregiudizievole per coloro che decidano di non farne uso.
L’EDPB ribadisce che l’obiettivo delle app non è seguire i movimenti degli individui, ma monitorare i contatti della popolazione con soggetti positivi. Dal momento che tali movimenti potrebbero non dare luogo a un contagio effettivo, si dovrà osservare con attenzione il principio di minimizzazione dei dati, al fine di abbattere i rischi sulla sicurezza e sui dati personali.
Una raccomandazione del Comitato è di non considerare tali app quali piattaforme social per la diffusione di allarmi sociali o per dare origine a una qualunque forma di “stigmatizzazione”. Questi strumenti offrono alle persone l’opportunità di giocare un ruolo essenziale nel contrasto alla diffusione del virus e devono consentire alle Autorità sanitarie pubbliche di identificare gli individui che siano entrati in contatto con una o più persone infette da COVID-19, invitarli a sottoporsi volontariamente a misure di quarantena, a effettuare test rapidi di controllo, nonché fornir loro consigli pratici nel caso in cui sviluppassero specifici sintomi.
Affinché siano limitati i fenomeni dei “falsi positivi” e “falsi negativi”, gli algoritmi utilizzati nelle applicazioni per la ricerca dei contatti dovrebbero inoltre funzionare sotto la stretta supervisione di personale qualificato.
Il Comitato ribadisce infine che, una volta superata la crisi, il sistema di emergenza non dovrebbe restare operativo e, in linea di massima, i dati raccolti dovrebbero essere cancellati o resi anonimi.
A questo punto, apparirà di fondamentale importanza analizzare puntualmente le Linee Guida sulla geolocalizzazione e altri strumenti di tracciamento nel contesto di epidemia da CVID-19, che verranno pubblicate nei prossimi giorni.