Nel corso della 23° sessione plenaria, tenutasi il 21 aprile 2020, l’European Data Protection Board (EDPB) ha adottato le Linee Guida 04/2020 “on the use of location data and contact tracing tools in the context of the COVID-19 outbreak”, volte a fornire uno strumento comune nel contesto europeo alle autorità pubbliche e agli attori privati impegnati nella ricerca di nuove soluzioni, basate sul trattamento dei dati, per monitorare e contenere la diffusione del COVID-19.
Seppur consapevole dell’impossibilità di individuare soluzioni onnicomprensive nel contesto specifico e rimarcando pertanto l’esigenza di una valutazione case by case, l’EDPB fa luce sulle condizioni e i principi da seguire nel contesto delle attività di geolocalizzazione degli utenti – necessarie al fine di monitorare la diffusione del virus e valutare l’efficacia delle misure di confinamento implementate – nonché nell’adozione di ulteriori strumenti di tracciamento con cui poter individuare coloro i quali siano venuti in contatto con soggetti positivi al COVID-19 e notificare a questi ultimi tale evento. In particolare, con riferimento all’utilizzo dei dati di localizzazione, l’EDPB rimarca l’esigenza di relegare ad extrema ratio il trattamento di dati personali, dovendosi sempre preferire, ove possibile, l’utilizzo di dati anonimi.
Per quanto riguarda le App per le finalità di tracciamento dei contatti e di segnalazione, queste ultime dovrebbero essere installate volontariamente dagli utenti, nel segno di una responsabilità collettiva, e non dovrebbero basarsi sul tracciamento dei singoli movimenti, ma piuttosto sulle informazioni di prossimità relative agli utenti. Inoltre, dalla lettura di tali Linee Guida emerge che: (i) il titolare del trattamento (auspicabilmente rinvenibile nelle autorità sanitarie nazionali) dovrebbe essere chiaramente individuato; (ii) le finalità devono essere sufficientemente specifiche, tali da escludere ulteriori trattamenti per scopi estranei alla gestione della crisi sanitaria; (iii) deve essere valutata attentamente la base giuridica di riferimento; (iv) il trattamento dovrà essere limitato ai soli dati rilevanti ed effettuato soltanto qualora sia assolutamente necessario; (v) le ulteriori informazioni eventualmente raccolte dovrebbero comunque risiedere sul dispositivo dell’utente ed essere trattate solo con il suo previo consenso; e (vi) il periodo di conservazione dovrebbe coincidere con la durata della pandemia, dovendo procedere successivamente alla cancellazione o anonimizzazione dei dati, salvo reali esigenze di natura medica ed epidemiologica. Inoltre, dovranno essere implementati by design idonei sistemi di cifratura dei dati e sarà necessario altresì effettuare una DPIA, la quale dovrà essere poi resa pubblica.
In ogni caso, queste app non possono sostituire gli operatori sanitari, ma devono intendersi quale mero strumento di supporto, da integrarsi ad un novero eterogeneo di misure nell’ambito della salute pubblica.
Autore: DLA Piper
