segnalazione 20 aprile 2020
Studi - Trasporti Commissione UE: Orientamenti sulle app a sostegno della lotta alla pandemia di covid-19 relativamente alla protezione dei dati

La Commissione UE ha pubblicato gli Orientamenti sulle app (C/2020/2523) a sostegno della lotta alla pandemia di covid-19 relativamente alla protezione dei dati. Il documento stabilisce le caratteristiche e i requisiti cui le app devono rispondere per garantire il rispetto della legislazione dell'UE in materia di protezione dei dati personali e della vita privata, in particolare del regolamento generale sulla protezione dei dati (Regolamento GDPR n. 2016/679) e della direttiva e-privacy (Direttiva 2002/58/CE).

Gli Orientamenti fanno seguito alla Raccomandazione della Commissione dell'8 aprile 2020, relativa a un pacchetto di strumenti comuni dell'Unione per l'uso della tecnologia e dei dati al fine di contrastare la crisi Covid-19 e uscirne, in particolare per quanto riguarda le applicazioni mobili e l'uso di dati anonimizzati sulla mobilità. La Raccomandazione ha previsto lo sviluppo di un approccio coordinato a livello dell'UE ("pacchetto di strumenti") per l'uso delle applicazioni mobili, per consentire ai cittadini di adottare efficaci misure di distanziamento sociale e per scopi di allerta, prevenzione e tracciamento dei contatti per limitare la propagazione della Covid-19. La raccomandazione ha previsto la pubblicazione da parte della Commissione di orientamenti sui risvolti dell'uso delle applicazioni in questo campo, in riferimento ai dati personali e alla vita privata.

Gli Orientamenti trattano le app facoltative a sostegno della lotta alla pandemia di Covid-19 (app scaricate, installate e utilizzate su base volontaria dalle persone) con una o più delle seguenti funzionalità:

- dare informazioni precise alle persone sulla pandemia di Covid-19;

- funzionalità di controllo dei sintomi per offrire alle persone questionari di autovalutazione e di orientamento; tale funzionalità consente alle autorità sanitarie pubbliche di dare indicazioni ai cittadini sui test diagnostici della Covid-19 e informazioni sull'auto-isolamento, su come evitare di trasmettere la malattia e su quando è necessario rivolgersi a un medico;

- funzionalità di tracciamento dei contatti e allerta, per allertare le persone che si sono trovate per un certo tempo in prossimità di una persona infetta, per dare informazioni ad esempio sull'opportunità di mettersi in auto-quarantena e su dove sottoporsi ai test;

- offrire un canale di comunicazione tra pazienti e medici nelle situazioni di auto-isolamento o per effettuare ulteriori diagnosi e dare consulenza sui trattamenti (maggiore ricorso alla telemedicina).

A norma della direttiva e-privacy l'uso di un'app che va a toccare i diritti alla riservatezza delle comunicazioni è possibile solo mediante una legge che sia necessaria, opportuna e proporzionata al fine di conseguire determinati obiettivi specifici.

Occorre garantire il rispetto della legislazione dell'UE in materia di protezione dei dati personali e della vita privata, in quanto le funzionalità contenute nelle app possono incidere in misura diversa su un'ampia gamma di diritti sanciti dalla Carta dei diritti fondamentali dell'UE: dignità umana, rispetto della vita privata e familiare, protezione dei dati di carattere personale, libertà di circolazione, non discriminazione, libertà d'impresa, libertà di riunione e di associazione.

Si prevede in tal senso che:

1. Le autorità sanitarie nazionali (o i soggetti che svolgono compiti nel pubblico interesse nel campo della salute) devono essere titolari del trattamento, responsabili del rispetto del GDPR;

2. occorre garantire che la persona mantenga il controllo, quindi l'installazione dell'app sul dispositivo dovrebbe avvenire su base volontaria e senza conseguenze negative per la persona che decide di non scaricare/utilizzare l'app; i dati di prossimità Bluetooth devono essere conservati sul dispositivo della persona; la persona dovrebbe essere in grado di esercitare i diritti previsti dal GDPR (in particolare, accesso, rettifica e cancellazione); le autorità sanitarie dovrebbero fornire alle persone tutte le informazioni necessarie relative al trattamento dei propri dati personali (conformemente agli articoli 12 e 13 del GDPR e all'articolo 5 della direttiva e-privacy); le app dovrebbero essere disattivate al più tardi quando la pandemia sarà dichiarata sotto controllo.

Criteri specifici sono previsti per limitare la divulgazione di dati/l'accesso ai dati. In particolare per la funzionalità "tracciamento dei contatti" e "allerta" si prevede che:

-per i dati delle persone infette, le app generino identificativi pseudonimi generati arbitrariamente per i telefoni che sono in contatto con l'utente e che le autorità sanitarie dovrebbero avere accesso soltanto ai dati di prossimità del dispositivo della persona infetta, in modo che possano contattare le persone a rischio di infezione. La persona infetta non dovrebbe essere informata dell'identità delle persone con le quali ha avuto un contatto potenzialmente rilevante dal punto di vista epidemiologico e che saranno allertate;

- per i dati delle persone che sono state in contatto epidemiologico con la persona infetta, l'identità della persona infetta non dovrebbe essergli comunicata ed é sufficiente far loro sapere che sono state in contatto epidemiologico con una persona infetta nel corso degli ultimi 16 giorni.

Per quanto riguarda la garanzia della sicurezza dei dati, la Commissione raccomanda di conservare i dati sul dispositivo terminale della persona in forma criptata, utilizzando tecniche crittografiche all'avanguardia. I dati di prossimità dovrebbero essere generati e conservati sul dispositivo terminale della persona soltanto in forma criptata e pseudonimizzata. Al fine di impedire il tracciamento da parte di terzi, dovrebbe essere possibile attivare il Bluetooth senza dover ricorrere ad altri servizi di localizzazione. Durante la raccolta dei dati di prossimità tramite il Bluetooth a bassa energia (BLE) è preferibile creare e conservare gli identificativi utente temporanei che vengono periodicamente modificati invece di conservare il vero identificativo del dispositivo. Questa misura offre un'ulteriore protezione contro le intercettazioni e il tracciamento da parte di hacker e rende pertanto più difficile identificare le persone. La Commissione raccomanda che il codice sorgente dell'app sia reso pubblico e accessibile a fini di riesame. Tutte le trasmissioni dal dispositivo personale alle autorità sanitarie nazionali devono essere criptate. Qualora la legislazione nazionale preveda che i dati personali raccolti possono essere trattati anche per scopi di ricerca scientifica, si dovrebbe far ricorso, di norma, alla pseudonimizzazione.

Gli Orientamenti non trattano ulteriori condizioni, restrizioni comprese, che gli Stati membri potrebbero aver inserito nelle rispettive legislazioni nazionali in relazione al trattamento dei dati relativi alla salute, non sono giuridicamente vincolanti e non pregiudicano il ruolo della Corte di giustizia dell'UE, l'istituzione che può dare l'interpretazione autentica del diritto dell'UE.