App Contact Tracing, le linee guida dei Garanti Privacy Ue

ROMA - Sono state pubblicare dal Comitato Europeo sulla Protezione Dati (EDPB) le linee guida sulle app per la lotta al Covid-19 che, contenute in una lettera firmata dal presidente Andrea Jelinek e indirizzata alla Commissione Ue, ribadiscono la necessità di dare vita a un modello paneuropeo di app e di analizzare tutte le diverse app in modo dettagliato.

I Garanti Ue non si stanno indirizzando verso una app unica per tutta l’Europa, ma verso un approccio paneuropeo che condivida determinati principi, da applicare poi su diverse app declinate a livello nazionale. Si legge che la messa a punto delle app deve avvenire secondo criteri di responsabilizzazione, documentando attraverso una valutazione di impatto sulla protezione dei dati tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default; il codice sorgente dovrebbe essere reso pubblico, così da permettere la più ampia valutazione possibile da parte della comunità scientifica.

Il principio dell'adozione volontaria

Il Comitato condivide il principio dell’adozione volontaria della app, che già la Commissione UE aveva sostenuto, ovvero che non è previsto l’obbligo di legge. E' evidente che queste app non devono avere l ruolo di piattaforme social o di stigma pubblico ai danni dei contagiati: hanno un solo scopo, che è permettere alle autorità sanitarie di contattare coloro che sono entrati in contatto con persone positive e ordinare loro la quarantena. Al fine di assicurare l’anonimato, sarà da prevedere l’anonimizzazione delle persone, tramite pseudonimi e l’utilizzo di codici identificativi mono uso.

E' demandato alle autorità sanitarie il compito di identificare ciò che costituisce un evento da condividere, nel caso in cui si verificasse, a patto che sia assolutamente necessario regsitrarlo ai fini della lotta al virus.

Due opzioni per l'archiviazione degli eventi

Un altro problema che è stato oggetto di discussione è l’archiviazione di tali eventi. “Sono previste due opzioni principali: archiviazione locale dei dati all’interno dei dispositivi degli utenti o conservazione centralizzata. L’EDPB è del parere che entrambe possano essere valide alternative. Possono essere considerate responsabili del trattamento diverse entità, a seconda dell’obiettivo finale dell’app (ad es. il titolare del trattamento e i dati trattati possono essere diversi se l’obiettivo è fornire informazioni in-app o contattare la persona al telefono, per fare un esempio). L’EDPB intende sottolineare che la soluzione decentralizzata è più in linea con la minimizzazione principio”.

"Maneggiare" con cura i dati

Dovrà essere personale qualificato a maneggiare gli algoritmi usati nelle app di tracciamento, così che siano ridotti al minimo i rischi di falsi positivi e negativi. Le informazioni ai pazienti saranno gestite da persone e non affidate ad algoritmi automatizzati. Sarà inoltre necessario che comunicare telefonicamente o tramite altro canale, tenendo sempre presente la necessità di garantire l’anonimato per evitare rischi di stigma sociale.

Il Comitato ribadisce la massima disponibilità a fornire ogni ulteriore indicazione alle istituzioni dell’Ue e a tutti i soggetti, coinvolti a vario titolo nella messa a punto e nell’utilizzo di queste app ai fini del contrasto al COVID-19. Quando questa grave crisi sanitaria verrà superata, è auspicio dell’EDPB che venga smantelalto l’intero sistema e cancellati o resi anonimi tutti i dati raccolti.