App, dati e tecnologie contro il Covid-19 devono servire a dare maggiori strumenti alle persone, non a controllarle
ROMA - Linee-guida del Comitato europeo per la protezione dei dati - presieduto da Andrea Jelinek - sull'uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19.
1 Introduzione e contesto
1 Governi e soggetti privati si stanno orientando verso l'uso di soluzioni basate sui dati nell'ambito della risposta alla pandemia causata dal COVID-19, e ciò suscita numerose preoccupazioni in materia di tutela della vita privata.
2 Il Comitato europeo per la protezione dei dati sottolinea che il quadro giuridico in materia di protezione dei dati è stato concepito per essere flessibile e, in quanto tale, è in grado di conseguire una risposta efficace per limitare la pandemia e proteggere i diritti umani e le libertà fondamentali.
3 Il Comitato è fermamente convinto che, ove sia necessario ricorrere al trattamento di dati personali per gestire la pandemia causata dal COVID-19, la protezione dei dati è indispensabile per generare un clima di fiducia, creare le condizioni per l'accettabilità sociale di qualsiasi soluzione e garantire, pertanto, l'efficacia di tali misure. Poiché il virus non conosce confini, appare preferibile sviluppare un approccio comune europeo in risposta alla crisi attuale, o almeno realizzare una cornice di interoperabilità.
4 Il Comitato ritiene, in via generale, che i dati e le tecnologie utilizzati per contribuire alla lotta al COVID-19 debbano servire a dare maggiori strumenti alle persone, piuttosto che a controllarle, stigmatizzarle o reprimerne i comportamenti. Inoltre, mentre i dati e le tecnologie possono essere strumenti importanti, essi hanno limiti intrinseci e non possono che far leva sull'efficacia di altre misure di sanità pubblica. I principi generali di efficacia, necessità e proporzionalità devono guidare qualsiasi misura adottata dagli Stati membri o dalle istituzioni dell'UE che comporti il trattamento di dati personali per combattere il COVID-19.
5 Le presenti linee-guida chiariscono le condizioni e i principi per l'uso proporzionato dei dati di localizzazione e degli strumenti di tracciamento dei contatti, in due ambiti specifici : - Utilizzo dei dati di localizzazione a supporto della risposta alla pandemia tramite la definizione di modelli della diffusione del virus, al fine di valutare l’efficacia complessiva di misure di isolamento e quarantena; - Utilizzo del tracciamento dei contatti per informare le persone che sono probabilmente entrate in contatto ravvicinato con soggetti successivamente confermati positivi, al fine di interrompere tempestivamente la trasmissione del contagio.
6 L'efficienza del contributo che le app per il tracciamento dei contatti possono fornire alla gestione della pandemia dipende da molti fattori. Inoltre, tali applicazioni devono far parte di una strategia globale in materia di sanità pubblica per combattere la pandemia, compresi, tra l'altro, la sperimentazione e il successivo tracciamento manuale dei contatti ai fini dell'eliminazione di casi dubbi. La loro diffusione dovrebbe essere accompagnata da misure di sostegno volte a garantire che le informazioni fornite agli utenti siano contestualizzate e che le segnalazioni possano essere utili al sistema sanitario pubblico. In caso contrario, queste applicazioni potrebbero non esplicare appieno la propria efficacia.
5 Le presenti linee-guida chiariscono le condizioni e i principi per l'uso proporzionato dei dati di localizzazione e degli strumenti di tracciamento dei contatti, in due ambiti specifici : - Utilizzo dei dati di localizzazione a supporto della risposta alla pandemia tramite la definizione di modelli della diffusione del virus, al fine di valutare l’efficacia complessiva di misure di isolamento e quarantena; - Utilizzo del tracciamento dei contatti per informare le persone che sono probabilmente entrate in contatto ravvicinato con soggetti successivamente confermati positivi, al fine di interrompere tempestivamente la trasmissione del contagio.
6 L'efficienza del contributo che le app per il tracciamento dei contatti possono fornire alla gestione della pandemia dipende da molti fattori. Inoltre, tali applicazioni devono far parte di una strategia globale in materia di sanità pubblica per combattere la pandemia, compresi, tra l'altro, la sperimentazione e il successivo tracciamento manuale dei contatti ai fini dell'eliminazione di casi dubbi. La loro diffusione dovrebbe essere accompagnata da misure di sostegno volte a garantire che le informazioni fornite agli utenti siano contestualizzate e che le segnalazioni possano essere utili al sistema sanitario pubblico. In caso contrario, queste applicazioni potrebbero non esplicare appieno la propria efficacia.
7 Il Comitato sottolinea che il regolamento generale sulla protezione dei dati (RGPD) e la direttiva 2002/58/CE (la "direttiva relativa alla vita privata e alle comunicazioni elettroniche", direttiva e-privacy) contengono norme specifiche che consentono l'uso di dati anonimi o personali per sostenere le autorità pubbliche e altri soggetti, a livello nazionale e dell'UE, nel monitoraggio e nel contenimento della diffusione del virus SAR-CoV-22.
8 A tale riguardo, il Comitato si è già pronunciato sul fatto che il ricorso alle app per il tracciamento dei contatti dovrebbe essere volontario e non dovrebbe basarsi sulla tracciabilità dei movimenti individuali, bensì sulle informazioni di prossimità relative agli utenti.
2 UTILIZZO DEI DATI RELATIVI ALL'UBICAZIONE
2.1 Fonti dei dati relativi all'ubicazione
9 Per la modellizzazione della diffusione del virus e dell'efficacia complessiva delle misure di confinamento, esistono due principali fonti di dati relativi all’ubicazione:
- dati relativi all'ubicazione raccolti da fornitori di servizi di comunicazione elettronica (come gli operatori di telecomunicazioni mobili) nel corso della prestazione del loro servizio; e
- dati relativi all'ubicazione raccolti da fornitori di servizi della società dell'informazione, la cui funzionalità richiede l'uso di tali dati (ad esempio, navigazione, servizi di trasporto, ecc.).
10 Il Comitato ricorda che i dati relativi all'ubicazione raccolti dai fornitori di comunicazioni elettroniche possono essere trattati solo entro i limiti di cui agli articoli 6 e 9 della direttiva relativa alla vita privata e alle comunicazioni elettroniche. Ciò significa che tali dati possono essere trasmessi alle autorità o a terzi solo se sono stati resi anonimi dal fornitore oppure, per i dati indicanti la posizione geografica dell'apparecchiatura terminale di un utente, che non sono dati relativi al traffico, con il consenso previo degli utenti.
11 Per quanto riguarda le informazioni, compresi i dati relativi all'ubicazione, raccolte direttamente dall'apparecchiatura terminale, si applica l'articolo 5 (3) della direttiva relativa alla vita privata e alle comunicazioni elettroniche. Pertanto, l'archiviazione di informazioni sul dispositivo dell'utente o l'accesso alle informazioni già archiviate sono consentiti solo se i) l'utente ha prestato il consenso o ii) la memorizzazione e/o l'accesso sono strettamente necessari al servizio della società dell'informazione esplicitamente richiesto dall'utente.
12 Sono tuttavia possibili, a norma dell'articolo 15 della direttiva relativa alla vita privata e alle comunicazioni elettroniche, deroghe ai diritti e agli obblighi previsti quando tali deroghe costituiscono una misura necessaria, adeguata e proporzionata all'interno di una società democratica per determinati obiettivi.
13 Per quanto riguarda il riutilizzo dei dati di localizzazione raccolti da un fornitore di servizi della società dell'informazione a fini di modellizzazione (ad esempio attraverso il sistema operativo o alcune applicazioni precedentemente installate), devono essere soddisfatte ulteriori condizioni. In effetti, quando i dati sono stati raccolti in conformità all'articolo 5 (3) della direttiva relativa alla vita privata e alle comunicazioni elettroniche, essi possono essere trattati ulteriormente solo con il consenso supplementare dell'interessato o sulla base di una normativa dell'Unione o di uno Stato membro che costituisce una misura necessaria e proporzionata, in una società democratica, per salvaguardare gli obiettivi di cui all'articolo 23 (1) del RGPD.
2.2 Utilizzo di dati anonimizzati relativi all’ubicazione
14 Il Comitato sottolinea che, per quanto riguarda l'utilizzo dei dati relativi all'ubicazione, occorre sempre privilegiare il trattamento di dati anonimi piuttosto che di dati personali.
15 L'anonimizzazione fa riferimento all'uso di una serie di tecniche finalizzate a eliminare la possibilità di collegare i dati a una persona fisica identificata o identificabile con uno sforzo "ragionevole". Questo "test di ragionevolezza" deve tenere conto sia degli aspetti oggettivi (tempi, mezzi tecnici) sia di elementi di contesto che possono variare caso per caso (rarità di un fenomeno, la densità di popolazione, la natura e il volume dei dati). Se i dati non superano tale test, non sono anonimizzati e pertanto rientrano nel campo di applicazione del regolamento generale sulla protezione dei dati.
16 La valutazione della robustezza della tecnica di anonimizzazione adottata dipende da tre fattori: (i) individuabilità (singling out) (possibilità di isolare una persona all’interno di un gruppo sulla base dei dati); (ii) correlabilità (possibilità di correlare due record riguardanti la stessa persona); (iii) inferenza (possibilità di dedurre, con probabilità significativa, informazioni sconosciute relative a una persona).
17 Il concetto di anonimizzazione tende ad essere frainteso e spesso confuso con la pseudonimizzazione. Mentre l'anonimizzazione consente di utilizzare i dati senza restrizioni, i dati pseudonimizzati rientrano nel campo di applicazione del regolamento generale sulla protezione dei dati.
18 Esistono molte opzioni per conseguire un'anonimizzazione efficace, ma con un caveat. I dati non possono essere resi anonimi isolatamente, il che significa che solo intere serie o interi insiemi di dati sono passibili di anonimizzazione. In tal senso, qualsiasi intervento su un dato isolato o sulla serie storica di dati riferibili a un singolo interessato (mediante cifratura o altre trasformazioni matematiche) può essere considerato, nel migliore dei casi, una pseudonimizzazione.
19 I processi di anonimizzazione e i tentativi di re-identificazione sono oggetto di numerosi studi e ricerche. È fondamentale che ogni titolare che implementi soluzioni di anonimizzazione si mantenga aggiornato sugli sviluppi recenti in questo campo, in particolare per quanto riguarda i dati relativi all'ubicazione (provenienti da operatori delle telecomunicazioni e/o da servizi della società dell'informazione) che sono notoriamente difficili da anonimizzare.
20 In effetti, un ampio corpus di ricerche ha dimostrato che dati relativi all'ubicazione ritenuti anonimi possono di fatto non esserlo. Le tracce di mobilità dei singoli individui sono caratterizzate intrinsecamente da forte correlazione e univocità. Pertanto, in determinate circostanze possono essere vulnerabili ai tentativi di re-identificazione.
21 Un'unica serie di dati che consenta di rintracciare l'ubicazione di un individuo lungo un arco di tempo significativo non può essere pienamente anonimizzata. Questa affermazione resta valida se non si riduce in misura sufficiente la precisione delle coordinate geografiche registrate, o se non si eliminano dettagli del percorso di tracciamento, e anche se si mantiene solo l'ubicazione dei luoghi in cui l’interessato permane per un tempo considerevole.
22 Al fine di conseguire l'anonimizzazione, i dati relativi all'ubicazione devono essere trattati con attenzione per soddisfare il test di ragionevolezza. In tal senso, il trattamento deve prendere in considerazione gli insiemi di dati di ubicazione nel loro complesso, e riguardare dati di una serie ragionevolmente ampia di individui utilizzando tecniche di anonimizzazione disponibili e con caratteristiche robuste, implementandole in modo adeguato ed efficace.
23 Infine, data la complessità dei processi di anonimizzazione, si raccomanda con forza di garantire la trasparenza per quanto riguarda la metodologia di anonimizzazione utilizzata.
3 APP PER IL TRACCIAMENTO DEI CONTATTI
3.1 Analisi giuridica generale
24 Il monitoraggio sistematico e su larga scala dell'ubicazione e/o dei contatti tra persone fisiche costituisce una grave interferenza nella vita privata. Essa può essere legittimata solo facendo affidamento su un'adozione volontaria da parte degli utenti per ciascuno dei rispettivi scopi. Ciò implica, in particolare, che le persone che non intendono o non possono utilizzare tali applicazioni non dovrebbero subire alcun pregiudizio.
25 Per garantire il rispetto del principio di responsabilizzazione, dovrebbe essere definita chiaramente la titolarità del trattamento di un'eventuale app per il tracciamento di contatti. Il Comitato ritiene che le autorità sanitarie nazionali possano essere i titolari di tale trattamento; si possono comunque prendere in considerazione altre configurazioni di titolarità. In ogni caso, se il processo di diffusione delle app per il tracciamento dei contatti coinvolge diversi attori, devono essere definiti con chiarezza e fin dall’inizio i ruoli e le responsabilità rispettive e di tutto ciò devono essere informati gli utenti.
26 Inoltre, per quanto riguarda il principio della limitazione delle finalità, le finalità devono essere sufficientemente specifiche così da escludere trattamenti ulteriori per scopi non correlati alla gestione della crisi sanitaria causata da COVID-19 (ad esempio, per fini commerciali o per le attività di contrasto di matrice giudiziaria o di polizia). Una volta definita con chiarezza la finalità, sarà necessario garantire che l'uso dei dati personali sia adeguato, necessario e proporzionato.
27 Nel contesto di un’app per il tracciamento dei contatti, occorre prestare particolare attenzione al principio di minimizzazione e ai principi della protezione dei dati fin dalla progettazione e per impostazione predefinita (data protection by design and by default):
- le app per il tracciamento dei contatti non necessitano del tracciamento della posizione dei singoli utenti. Occorre invece utilizzare i dati di prossimità;
- poiché le app per il tracciamento dei contatti possono funzionare senza l'identificazione diretta delle persone, dovrebbero essere adottate misure adeguate per prevenire la reidentificazione;
- le informazioni raccolte dovrebbero risiedere nell'apparecchiatura terminale dell'utente e dovrebbero essere raccolte solo le informazioni pertinenti e solo ove strettamente necessarie.
28 Per quanto riguarda la liceità del trattamento, il Comitato rileva che le app per il tracciamento dei contatti comportano la memorizzazione e/o l'accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente, che sono soggette all'articolo 5 (3) della direttiva ePrivacy. Se tali operazioni sono strettamente necessarie per consentire al fornitore dell’app di rendere il servizio esplicitamente richiesto dall'utente, il trattamento non richiede il consenso di quest'ultimo. Per le operazioni che non sono strettamente necessarie, il fornitore dovrebbe richiedere il consenso dell'utente.
29 Inoltre, il Comitato osserva come la circostanza per cui l'uso di app per il tracciamento dei contatti avvenga su base volontaria non implichi che il trattamento dei dati personali debba necessariamente basarsi sul consenso. Qualora autorità pubbliche forniscano un servizio sulla base di un mandato conferito dalla legge e conformemente ai requisiti stabiliti da tale legge, la base giuridica più pertinente risulta essere la necessità del trattamento per lo svolgimento di un compito di interesse pubblico, ossia l'articolo 6, paragrafo 1, lettera e), del Regolamento generale sulla protezione dei dati.
30 L'articolo 6, paragrafo 3, del Regolamento precisa che la base su cui si fonda il trattamento di cui all'articolo 6, paragrafo i), lettera e) è stabilita dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare. La finalità del trattamento è definita in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.
31 Tuttavia, la base giuridica o la misura legislativa che costituisce il fondamento di liceità per l'uso dell’app di tracciamento dei contatti dovrebbero prevedere garanzie significative, compreso un riferimento alla natura volontaria dell’app. Dovrebbe essere inclusa una chiara specificazione delle finalità e delle limitazioni riguardanti l'ulteriore utilizzo dei dati personali, nonché una chiara identificazione del titolare o dei titolari coinvolti. Occorre inoltre individuare le categorie di dati e i soggetti ai quali i dati personali possono essere comunicati, e per quali scopi. A seconda del grado di interferenza, occorre integrare salvaguardie ulteriori tenendo conto della natura, della portata e delle finalità del trattamento. Infine, il Comitato raccomanda di prevedere, non appena possibile, i criteri per stabilire quando l’app dovrà essere disinstallata e a chi spetti assumere tale determinazione.
32 Tuttavia, se il trattamento dei dati si basa su una diversa base giuridica, quale ad esempio il consenso (articolo 6 (1) (a)), il titolare dovrà garantire che siano soddisfatti i requisiti rigorosi previsti per tale base giuridica.
33 Inoltre, il ricorso a un’app per combattere la pandemia da COVID-19 potrebbe portare alla raccolta di dati relativi alla salute (ad esempio lo status di persona infetta). Il trattamento di tali dati è consentito quando è necessario per motivi di interesse pubblico nel settore della sanità pubblica, nel rispetto delle condizioni di cui all'articolo 9, paragrafo 2, lettera i), del Regolamento, o per le finalità dell'assistenza sanitaria di cui all'articolo 9, paragrafo 2, lettera h), del Regolamento stesso. A seconda della base giuridica individuata, il trattamento in questione potrebbe anche fondarsi sul consenso esplicito dell’interessato (articolo 9, paragrafo (2), lettera a), del Regolamento).
34 Conformemente allo scopo iniziale, l'articolo 9, paragrafo 2, lettera j), del Regolamento consente inoltre che i dati relativi alla salute siano trattati ove necessario a fini di ricerca scientifica o a fini statistici.
35 L'attuale crisi sanitaria non dovrebbe trasformarsi in un’occasione per derogare rispetto al principio di limitazione della conservazione dei dati. La conservazione dovrebbe essere limitata alla luce delle reali esigenze e della rilevanza medica (anche con riguardo a considerazioni di natura epidemiologica quali il periodo di incubazione, ecc.) e i dati personali dovrebbero essere conservati solo per la durata della crisi dovuta al COVID-19. Successivamente, di norma, tutti i dati personali dovrebbero essere cancellati o resi anonimi.
36 Il Comitato ritiene che tali app non possano sostituire, ma solo supportare, il tracciamento manuale dei contatti effettuato da personale sanitario pubblico qualificato, che potrà stabilire con quale probabilità contatti ravvicinati diano luogo a una trasmissione del virus o meno (ad esempio, in caso di interazioni con una persona protetta da un adeguato equipaggiamento, come può avvenire ad esempio per un addetto alla cassa di un supermercato ecc.). Il Comitato sottolinea che tutte le procedure e i processi, compresi gli algoritmi implementati dalle app per il tracciamento dei contatti, dovrebbero svolgersi sotto la stretta sorveglianza di personale qualificato al fine di limitare il verificarsi di falsi positivi e negativi. In particolare, le indicazioni fornite in merito ai passi da compiere successivamente alla ricezione di un alert non dovrebbero basarsi unicamente su un trattamento automatizzato.
37 Al fine di garantire la correttezza dei trattamenti, il rispetto del principio di responsabilizzazione e, più in generale, la conformità con la legge, gli algoritmi devono essere verificabili e devono essere soggetti a un riesame periodico da parte di esperti indipendenti. Il codice sorgente dovrebbe essere reso pubblico così da assicurare la più ampia trasparenza possibile.
38 Vi sarà sempre, in una certa misura, la possibilità del verificarsi di falsi positivi. Poiché l'identificazione di un rischio di infezione può avere un forte impatto sui singoli individui, ad esempio imponendo l’autoisolamento fino a negativizzazione del test, è indispensabile poter effettuare correzioni dei dati e/o dei risultati delle analisi successive. Naturalmente ciò vale solo in presenza di situazioni o implementazioni in cui il trattamento e la conservazione dei dati sono configurati in modo da permettere tecnicamente di apportare le correzioni suddette, e ove sia probabile il verificarsi degli effetti negativi di cui sopra.
39 Infine, il Comitato ritiene che debba essere effettuata una valutazione d'impatto sulla protezione dei dati prima di implementare le app in questione, in quanto il trattamento configura una probabilità di rischio elevato (dati relativi alla salute, adozione prevista su larga scala, monitoraggio sistematico, uso di una nuova soluzione tecnologica). Il Comitato raccomanda vivamente la pubblicazione degli esiti di tali valutazioni.
40 Conformemente al principio di minimizzazione, tra le altre misure in ossequio al principio di protezione dei dati fin dalla progettazione e per impostazione predefinita, i dati trattati dovrebbero essere limitati a quelli strettamente necessari. L’app non dovrebbe raccogliere informazioni non correlate o non necessarie come, per esempio, dati anagrafici, identificativi di comunicazione, voci di directory del dispositivo, messaggi, registrazioni di chiamate, dati relativi all'ubicazione, identificativi del dispositivo, ecc.
41 I dati trasmessi dall’app devono includere solo identificatori univoci e pseudonimi, generati dall’app e specifici di tale app. Tali identificatori devono essere rinnovati regolarmente, secondo una frequenza compatibile con lo scopo di contenere la diffusione del virus e sufficiente a limitare il rischio di identificazione e di localizzazione fisica delle persone.
42 Le applicazioni per il tracciamento dei contatti possono seguire un approccio centralizzato o decentrato18. Entrambe le opzioni sono praticabili, a condizione che siano in vigore adeguate misure di sicurezza, ed entrambe comportano una serie di vantaggi e svantaggi. Pertanto, la fase di progettazione delle app dovrebbe sempre prevedere un esame approfondito di entrambi gli approcci, ponderandone attentamente gli effetti in termini di protezione dei dati e privacy nonché i possibili impatti sui diritti delle persone.
43 Ogni server coinvolto nel sistema di tracciamento dei contatti deve raccogliere soltanto la cronologia dei contatti o gli identificativi pseudonimizzati di un utente diagnosticato come infetto a seguito di un'adeguata valutazione effettuata dalle autorità sanitarie e di un'azione. Il server deve conservare un elenco degli identificativi pseudonimizzati di utenti infetti o la rispettiva cronologia dei contatti solo per il periodo necessario a informare gli utenti potenzialmente infetti della loro avvenuta esposizione, senza tentare di individuare tali utenti potenzialmente infetti.
44 La realizzazione di una complessiva strategia di tracciamento dei contatti comprendente sia l’impiego di app sia il tracciamento manuale può richiedere, in alcuni casi, il trattamento di ulteriori informazioni. In questo caso, tali informazioni supplementari dovrebbero rimanere nel dispositivo dell’utente e saranno trattate solo ove strettamente necessario e con il previo e specifico consenso dell’utente stesso.
45 Si deve fare ricorso a tecniche crittografiche di ultima generazione per garantire la conservazione sicura dei dati memorizzati nei server e nelle app, nonché gli scambi tra le app e il server remoto. Occorre inoltre implementare sistemi di autenticazione reciproca tra l’app e il server.
46 La segnalazione nell’app di utenti infetti da COVID-19 deve essere soggetta a idonea procedura, ad esempio mediante l’impiego di un codice monouso correlato a una identità pseudonima della persona infetta e collegato a un laboratorio o a un operatore sanitario. Se la conferma non può essere ottenuta in modo sicuro, non dovrebbe aversi alcun trattamento di dati sulla base di una presunzione di validità dello status relativo all’utente.
47 Il titolare del trattamento, in collaborazione con le autorità pubbliche, deve fornire informazioni chiare e inequivocabili sul link ove scaricare l'app ufficiale per il tracciamento dei contatti al fine di ridurre il rischio che gli utenti utilizzino un'app di terze parti.
4 CONCLUSIONE
48 Il mondo si trova ad affrontare una grave crisi sanitaria che richiede risposte forti, il cui impatto si manifesterà anche oltre il termine di questa emergenza. Il trattamento automatizzato dei dati e le tecnologie digitali possono essere elementi chiave nella lotta al COVID-19. Tuttavia, occorre guardarsi dal rischio di effetti irreversibili. Spetta a noi tutti garantire che ogni misura adottata in queste circostanze eccezionali sia necessaria, limitata nel tempo, di portata minima e soggetta a un riesame periodico ed effettivo nonché a una valutazione scientifica.
49 Il Comitato europeo per la protezione dei dati sottolinea che a nessuno dovrebbe essere chiesto di scegliere tra una risposta efficace all'attuale crisi e la tutela dei diritti fondamentali: entrambi gli obiettivi sono alla nostra portata, e i principi di protezione dei dati possono svolgere un ruolo molto importante nella lotta contro il virus. Il diritto europeo in materia di protezione dei dati consente l'uso responsabile dei dati personali per la gestione della salute, garantendo al contempo che non siano erosi i diritti e le libertà individuali.
8 A tale riguardo, il Comitato si è già pronunciato sul fatto che il ricorso alle app per il tracciamento dei contatti dovrebbe essere volontario e non dovrebbe basarsi sulla tracciabilità dei movimenti individuali, bensì sulle informazioni di prossimità relative agli utenti.
2 UTILIZZO DEI DATI RELATIVI ALL'UBICAZIONE
2.1 Fonti dei dati relativi all'ubicazione
9 Per la modellizzazione della diffusione del virus e dell'efficacia complessiva delle misure di confinamento, esistono due principali fonti di dati relativi all’ubicazione:
- dati relativi all'ubicazione raccolti da fornitori di servizi di comunicazione elettronica (come gli operatori di telecomunicazioni mobili) nel corso della prestazione del loro servizio; e
- dati relativi all'ubicazione raccolti da fornitori di servizi della società dell'informazione, la cui funzionalità richiede l'uso di tali dati (ad esempio, navigazione, servizi di trasporto, ecc.).
10 Il Comitato ricorda che i dati relativi all'ubicazione raccolti dai fornitori di comunicazioni elettroniche possono essere trattati solo entro i limiti di cui agli articoli 6 e 9 della direttiva relativa alla vita privata e alle comunicazioni elettroniche. Ciò significa che tali dati possono essere trasmessi alle autorità o a terzi solo se sono stati resi anonimi dal fornitore oppure, per i dati indicanti la posizione geografica dell'apparecchiatura terminale di un utente, che non sono dati relativi al traffico, con il consenso previo degli utenti.
11 Per quanto riguarda le informazioni, compresi i dati relativi all'ubicazione, raccolte direttamente dall'apparecchiatura terminale, si applica l'articolo 5 (3) della direttiva relativa alla vita privata e alle comunicazioni elettroniche. Pertanto, l'archiviazione di informazioni sul dispositivo dell'utente o l'accesso alle informazioni già archiviate sono consentiti solo se i) l'utente ha prestato il consenso o ii) la memorizzazione e/o l'accesso sono strettamente necessari al servizio della società dell'informazione esplicitamente richiesto dall'utente.
12 Sono tuttavia possibili, a norma dell'articolo 15 della direttiva relativa alla vita privata e alle comunicazioni elettroniche, deroghe ai diritti e agli obblighi previsti quando tali deroghe costituiscono una misura necessaria, adeguata e proporzionata all'interno di una società democratica per determinati obiettivi.
13 Per quanto riguarda il riutilizzo dei dati di localizzazione raccolti da un fornitore di servizi della società dell'informazione a fini di modellizzazione (ad esempio attraverso il sistema operativo o alcune applicazioni precedentemente installate), devono essere soddisfatte ulteriori condizioni. In effetti, quando i dati sono stati raccolti in conformità all'articolo 5 (3) della direttiva relativa alla vita privata e alle comunicazioni elettroniche, essi possono essere trattati ulteriormente solo con il consenso supplementare dell'interessato o sulla base di una normativa dell'Unione o di uno Stato membro che costituisce una misura necessaria e proporzionata, in una società democratica, per salvaguardare gli obiettivi di cui all'articolo 23 (1) del RGPD.
2.2 Utilizzo di dati anonimizzati relativi all’ubicazione
14 Il Comitato sottolinea che, per quanto riguarda l'utilizzo dei dati relativi all'ubicazione, occorre sempre privilegiare il trattamento di dati anonimi piuttosto che di dati personali.
15 L'anonimizzazione fa riferimento all'uso di una serie di tecniche finalizzate a eliminare la possibilità di collegare i dati a una persona fisica identificata o identificabile con uno sforzo "ragionevole". Questo "test di ragionevolezza" deve tenere conto sia degli aspetti oggettivi (tempi, mezzi tecnici) sia di elementi di contesto che possono variare caso per caso (rarità di un fenomeno, la densità di popolazione, la natura e il volume dei dati). Se i dati non superano tale test, non sono anonimizzati e pertanto rientrano nel campo di applicazione del regolamento generale sulla protezione dei dati.
16 La valutazione della robustezza della tecnica di anonimizzazione adottata dipende da tre fattori: (i) individuabilità (singling out) (possibilità di isolare una persona all’interno di un gruppo sulla base dei dati); (ii) correlabilità (possibilità di correlare due record riguardanti la stessa persona); (iii) inferenza (possibilità di dedurre, con probabilità significativa, informazioni sconosciute relative a una persona).
17 Il concetto di anonimizzazione tende ad essere frainteso e spesso confuso con la pseudonimizzazione. Mentre l'anonimizzazione consente di utilizzare i dati senza restrizioni, i dati pseudonimizzati rientrano nel campo di applicazione del regolamento generale sulla protezione dei dati.
18 Esistono molte opzioni per conseguire un'anonimizzazione efficace, ma con un caveat. I dati non possono essere resi anonimi isolatamente, il che significa che solo intere serie o interi insiemi di dati sono passibili di anonimizzazione. In tal senso, qualsiasi intervento su un dato isolato o sulla serie storica di dati riferibili a un singolo interessato (mediante cifratura o altre trasformazioni matematiche) può essere considerato, nel migliore dei casi, una pseudonimizzazione.
19 I processi di anonimizzazione e i tentativi di re-identificazione sono oggetto di numerosi studi e ricerche. È fondamentale che ogni titolare che implementi soluzioni di anonimizzazione si mantenga aggiornato sugli sviluppi recenti in questo campo, in particolare per quanto riguarda i dati relativi all'ubicazione (provenienti da operatori delle telecomunicazioni e/o da servizi della società dell'informazione) che sono notoriamente difficili da anonimizzare.
20 In effetti, un ampio corpus di ricerche ha dimostrato che dati relativi all'ubicazione ritenuti anonimi possono di fatto non esserlo. Le tracce di mobilità dei singoli individui sono caratterizzate intrinsecamente da forte correlazione e univocità. Pertanto, in determinate circostanze possono essere vulnerabili ai tentativi di re-identificazione.
21 Un'unica serie di dati che consenta di rintracciare l'ubicazione di un individuo lungo un arco di tempo significativo non può essere pienamente anonimizzata. Questa affermazione resta valida se non si riduce in misura sufficiente la precisione delle coordinate geografiche registrate, o se non si eliminano dettagli del percorso di tracciamento, e anche se si mantiene solo l'ubicazione dei luoghi in cui l’interessato permane per un tempo considerevole.
22 Al fine di conseguire l'anonimizzazione, i dati relativi all'ubicazione devono essere trattati con attenzione per soddisfare il test di ragionevolezza. In tal senso, il trattamento deve prendere in considerazione gli insiemi di dati di ubicazione nel loro complesso, e riguardare dati di una serie ragionevolmente ampia di individui utilizzando tecniche di anonimizzazione disponibili e con caratteristiche robuste, implementandole in modo adeguato ed efficace.
23 Infine, data la complessità dei processi di anonimizzazione, si raccomanda con forza di garantire la trasparenza per quanto riguarda la metodologia di anonimizzazione utilizzata.
3 APP PER IL TRACCIAMENTO DEI CONTATTI
3.1 Analisi giuridica generale
24 Il monitoraggio sistematico e su larga scala dell'ubicazione e/o dei contatti tra persone fisiche costituisce una grave interferenza nella vita privata. Essa può essere legittimata solo facendo affidamento su un'adozione volontaria da parte degli utenti per ciascuno dei rispettivi scopi. Ciò implica, in particolare, che le persone che non intendono o non possono utilizzare tali applicazioni non dovrebbero subire alcun pregiudizio.
25 Per garantire il rispetto del principio di responsabilizzazione, dovrebbe essere definita chiaramente la titolarità del trattamento di un'eventuale app per il tracciamento di contatti. Il Comitato ritiene che le autorità sanitarie nazionali possano essere i titolari di tale trattamento; si possono comunque prendere in considerazione altre configurazioni di titolarità. In ogni caso, se il processo di diffusione delle app per il tracciamento dei contatti coinvolge diversi attori, devono essere definiti con chiarezza e fin dall’inizio i ruoli e le responsabilità rispettive e di tutto ciò devono essere informati gli utenti.
26 Inoltre, per quanto riguarda il principio della limitazione delle finalità, le finalità devono essere sufficientemente specifiche così da escludere trattamenti ulteriori per scopi non correlati alla gestione della crisi sanitaria causata da COVID-19 (ad esempio, per fini commerciali o per le attività di contrasto di matrice giudiziaria o di polizia). Una volta definita con chiarezza la finalità, sarà necessario garantire che l'uso dei dati personali sia adeguato, necessario e proporzionato.
27 Nel contesto di un’app per il tracciamento dei contatti, occorre prestare particolare attenzione al principio di minimizzazione e ai principi della protezione dei dati fin dalla progettazione e per impostazione predefinita (data protection by design and by default):
- le app per il tracciamento dei contatti non necessitano del tracciamento della posizione dei singoli utenti. Occorre invece utilizzare i dati di prossimità;
- poiché le app per il tracciamento dei contatti possono funzionare senza l'identificazione diretta delle persone, dovrebbero essere adottate misure adeguate per prevenire la reidentificazione;
- le informazioni raccolte dovrebbero risiedere nell'apparecchiatura terminale dell'utente e dovrebbero essere raccolte solo le informazioni pertinenti e solo ove strettamente necessarie.
28 Per quanto riguarda la liceità del trattamento, il Comitato rileva che le app per il tracciamento dei contatti comportano la memorizzazione e/o l'accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente, che sono soggette all'articolo 5 (3) della direttiva ePrivacy. Se tali operazioni sono strettamente necessarie per consentire al fornitore dell’app di rendere il servizio esplicitamente richiesto dall'utente, il trattamento non richiede il consenso di quest'ultimo. Per le operazioni che non sono strettamente necessarie, il fornitore dovrebbe richiedere il consenso dell'utente.
29 Inoltre, il Comitato osserva come la circostanza per cui l'uso di app per il tracciamento dei contatti avvenga su base volontaria non implichi che il trattamento dei dati personali debba necessariamente basarsi sul consenso. Qualora autorità pubbliche forniscano un servizio sulla base di un mandato conferito dalla legge e conformemente ai requisiti stabiliti da tale legge, la base giuridica più pertinente risulta essere la necessità del trattamento per lo svolgimento di un compito di interesse pubblico, ossia l'articolo 6, paragrafo 1, lettera e), del Regolamento generale sulla protezione dei dati.
30 L'articolo 6, paragrafo 3, del Regolamento precisa che la base su cui si fonda il trattamento di cui all'articolo 6, paragrafo i), lettera e) è stabilita dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare. La finalità del trattamento è definita in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.
31 Tuttavia, la base giuridica o la misura legislativa che costituisce il fondamento di liceità per l'uso dell’app di tracciamento dei contatti dovrebbero prevedere garanzie significative, compreso un riferimento alla natura volontaria dell’app. Dovrebbe essere inclusa una chiara specificazione delle finalità e delle limitazioni riguardanti l'ulteriore utilizzo dei dati personali, nonché una chiara identificazione del titolare o dei titolari coinvolti. Occorre inoltre individuare le categorie di dati e i soggetti ai quali i dati personali possono essere comunicati, e per quali scopi. A seconda del grado di interferenza, occorre integrare salvaguardie ulteriori tenendo conto della natura, della portata e delle finalità del trattamento. Infine, il Comitato raccomanda di prevedere, non appena possibile, i criteri per stabilire quando l’app dovrà essere disinstallata e a chi spetti assumere tale determinazione.
32 Tuttavia, se il trattamento dei dati si basa su una diversa base giuridica, quale ad esempio il consenso (articolo 6 (1) (a)), il titolare dovrà garantire che siano soddisfatti i requisiti rigorosi previsti per tale base giuridica.
33 Inoltre, il ricorso a un’app per combattere la pandemia da COVID-19 potrebbe portare alla raccolta di dati relativi alla salute (ad esempio lo status di persona infetta). Il trattamento di tali dati è consentito quando è necessario per motivi di interesse pubblico nel settore della sanità pubblica, nel rispetto delle condizioni di cui all'articolo 9, paragrafo 2, lettera i), del Regolamento, o per le finalità dell'assistenza sanitaria di cui all'articolo 9, paragrafo 2, lettera h), del Regolamento stesso. A seconda della base giuridica individuata, il trattamento in questione potrebbe anche fondarsi sul consenso esplicito dell’interessato (articolo 9, paragrafo (2), lettera a), del Regolamento).
34 Conformemente allo scopo iniziale, l'articolo 9, paragrafo 2, lettera j), del Regolamento consente inoltre che i dati relativi alla salute siano trattati ove necessario a fini di ricerca scientifica o a fini statistici.
35 L'attuale crisi sanitaria non dovrebbe trasformarsi in un’occasione per derogare rispetto al principio di limitazione della conservazione dei dati. La conservazione dovrebbe essere limitata alla luce delle reali esigenze e della rilevanza medica (anche con riguardo a considerazioni di natura epidemiologica quali il periodo di incubazione, ecc.) e i dati personali dovrebbero essere conservati solo per la durata della crisi dovuta al COVID-19. Successivamente, di norma, tutti i dati personali dovrebbero essere cancellati o resi anonimi.
36 Il Comitato ritiene che tali app non possano sostituire, ma solo supportare, il tracciamento manuale dei contatti effettuato da personale sanitario pubblico qualificato, che potrà stabilire con quale probabilità contatti ravvicinati diano luogo a una trasmissione del virus o meno (ad esempio, in caso di interazioni con una persona protetta da un adeguato equipaggiamento, come può avvenire ad esempio per un addetto alla cassa di un supermercato ecc.). Il Comitato sottolinea che tutte le procedure e i processi, compresi gli algoritmi implementati dalle app per il tracciamento dei contatti, dovrebbero svolgersi sotto la stretta sorveglianza di personale qualificato al fine di limitare il verificarsi di falsi positivi e negativi. In particolare, le indicazioni fornite in merito ai passi da compiere successivamente alla ricezione di un alert non dovrebbero basarsi unicamente su un trattamento automatizzato.
37 Al fine di garantire la correttezza dei trattamenti, il rispetto del principio di responsabilizzazione e, più in generale, la conformità con la legge, gli algoritmi devono essere verificabili e devono essere soggetti a un riesame periodico da parte di esperti indipendenti. Il codice sorgente dovrebbe essere reso pubblico così da assicurare la più ampia trasparenza possibile.
38 Vi sarà sempre, in una certa misura, la possibilità del verificarsi di falsi positivi. Poiché l'identificazione di un rischio di infezione può avere un forte impatto sui singoli individui, ad esempio imponendo l’autoisolamento fino a negativizzazione del test, è indispensabile poter effettuare correzioni dei dati e/o dei risultati delle analisi successive. Naturalmente ciò vale solo in presenza di situazioni o implementazioni in cui il trattamento e la conservazione dei dati sono configurati in modo da permettere tecnicamente di apportare le correzioni suddette, e ove sia probabile il verificarsi degli effetti negativi di cui sopra.
39 Infine, il Comitato ritiene che debba essere effettuata una valutazione d'impatto sulla protezione dei dati prima di implementare le app in questione, in quanto il trattamento configura una probabilità di rischio elevato (dati relativi alla salute, adozione prevista su larga scala, monitoraggio sistematico, uso di una nuova soluzione tecnologica). Il Comitato raccomanda vivamente la pubblicazione degli esiti di tali valutazioni.
40 Conformemente al principio di minimizzazione, tra le altre misure in ossequio al principio di protezione dei dati fin dalla progettazione e per impostazione predefinita, i dati trattati dovrebbero essere limitati a quelli strettamente necessari. L’app non dovrebbe raccogliere informazioni non correlate o non necessarie come, per esempio, dati anagrafici, identificativi di comunicazione, voci di directory del dispositivo, messaggi, registrazioni di chiamate, dati relativi all'ubicazione, identificativi del dispositivo, ecc.
41 I dati trasmessi dall’app devono includere solo identificatori univoci e pseudonimi, generati dall’app e specifici di tale app. Tali identificatori devono essere rinnovati regolarmente, secondo una frequenza compatibile con lo scopo di contenere la diffusione del virus e sufficiente a limitare il rischio di identificazione e di localizzazione fisica delle persone.
42 Le applicazioni per il tracciamento dei contatti possono seguire un approccio centralizzato o decentrato18. Entrambe le opzioni sono praticabili, a condizione che siano in vigore adeguate misure di sicurezza, ed entrambe comportano una serie di vantaggi e svantaggi. Pertanto, la fase di progettazione delle app dovrebbe sempre prevedere un esame approfondito di entrambi gli approcci, ponderandone attentamente gli effetti in termini di protezione dei dati e privacy nonché i possibili impatti sui diritti delle persone.
43 Ogni server coinvolto nel sistema di tracciamento dei contatti deve raccogliere soltanto la cronologia dei contatti o gli identificativi pseudonimizzati di un utente diagnosticato come infetto a seguito di un'adeguata valutazione effettuata dalle autorità sanitarie e di un'azione. Il server deve conservare un elenco degli identificativi pseudonimizzati di utenti infetti o la rispettiva cronologia dei contatti solo per il periodo necessario a informare gli utenti potenzialmente infetti della loro avvenuta esposizione, senza tentare di individuare tali utenti potenzialmente infetti.
44 La realizzazione di una complessiva strategia di tracciamento dei contatti comprendente sia l’impiego di app sia il tracciamento manuale può richiedere, in alcuni casi, il trattamento di ulteriori informazioni. In questo caso, tali informazioni supplementari dovrebbero rimanere nel dispositivo dell’utente e saranno trattate solo ove strettamente necessario e con il previo e specifico consenso dell’utente stesso.
45 Si deve fare ricorso a tecniche crittografiche di ultima generazione per garantire la conservazione sicura dei dati memorizzati nei server e nelle app, nonché gli scambi tra le app e il server remoto. Occorre inoltre implementare sistemi di autenticazione reciproca tra l’app e il server.
46 La segnalazione nell’app di utenti infetti da COVID-19 deve essere soggetta a idonea procedura, ad esempio mediante l’impiego di un codice monouso correlato a una identità pseudonima della persona infetta e collegato a un laboratorio o a un operatore sanitario. Se la conferma non può essere ottenuta in modo sicuro, non dovrebbe aversi alcun trattamento di dati sulla base di una presunzione di validità dello status relativo all’utente.
47 Il titolare del trattamento, in collaborazione con le autorità pubbliche, deve fornire informazioni chiare e inequivocabili sul link ove scaricare l'app ufficiale per il tracciamento dei contatti al fine di ridurre il rischio che gli utenti utilizzino un'app di terze parti.
4 CONCLUSIONE
48 Il mondo si trova ad affrontare una grave crisi sanitaria che richiede risposte forti, il cui impatto si manifesterà anche oltre il termine di questa emergenza. Il trattamento automatizzato dei dati e le tecnologie digitali possono essere elementi chiave nella lotta al COVID-19. Tuttavia, occorre guardarsi dal rischio di effetti irreversibili. Spetta a noi tutti garantire che ogni misura adottata in queste circostanze eccezionali sia necessaria, limitata nel tempo, di portata minima e soggetta a un riesame periodico ed effettivo nonché a una valutazione scientifica.
49 Il Comitato europeo per la protezione dei dati sottolinea che a nessuno dovrebbe essere chiesto di scegliere tra una risposta efficace all'attuale crisi e la tutela dei diritti fondamentali: entrambi gli obiettivi sono alla nostra portata, e i principi di protezione dei dati possono svolgere un ruolo molto importante nella lotta contro il virus. Il diritto europeo in materia di protezione dei dati consente l'uso responsabile dei dati personali per la gestione della salute, garantendo al contempo che non siano erosi i diritti e le libertà individuali.
Ricerche Correlate
Commenti
Posta un commento