Il Comitato europeo per la protezione dati (EDPB) ha tracciato le prime linee guida riguardanti il corretto sviluppo delle app per il contrasto della diffusione del Coronavirus, all’interno di una lettera indirizzata alla Commissione europea che indica alcuni punti fondamentali da seguire per definire un modello europeo. L’obiettivo che viene prospettato è la garanzia di un livello coerente ed elevato di protezione dei dati personali al fine di consentire il rafforzamento tanto dell’efficacia di ogni iniziativa e strategia per affrontare l’emergenza pandemica quanto della capacità adattiva di un modello unico europeo nei confronti dei differenti contesti in cui si troverà ad operare.
L’EDPB ribadisce che la finalità esclusiva di tali app è permettere alle autorità a tutela della sanità pubblica di identificare i soggetti che entrano in contatto con altri soggetti infetti da COVID-19, comunicando agli stessi le misure di quarantena da adottare ed acquisendo quanto più rapidamente l’esito dei test relativi allo sviluppo dei sintomi. Per tale motivo, dunque, è di particolare importanza evitare che l’impatto nei confronti degli interessati conduca ad uno stigma sociale o, ancor peggio, a un diffuso allarmismo, nonché essere in grado di garantire la qualità del dato ed una trasmissione efficace e sicura delle informazioni.
L’elemento cardine è lo sviluppo responsabile di tali app, attraverso lo svolgimento di analisi in concreto dei fattori che impattano sulle persone, nonché la documentazione dei processi di valutazione preliminare d’impatto e di implementazione dei principi di privacy by design e privacy by default. Vengono inoltre indicati alcuni principali elementi di spunto da considerare, ovverosia:
- che la pubblica disponibilità del codice sorgente per consentire l’esercizio di un maggiore controllo da parte della comunità scientifica e continui interventi di miglioramento;
- che qualsiasi variazione di impiego dell’app o mancanza di interoperabilità siano fattori in grado di creare delle esternalità negative e ridurne l’efficacia di impiego.
Le funzioni che devono essere prioritariamente oggetto di analisi e bilanciamento con l’interesse di salute pubblica persegiuito sono il contact tracing e l’allerta, in quanto comportano la maggiore interferenza nei confronti della vita privata degli utenti. Dal momento che la massima efficienza possibile derivante dall’impiego di tale applicazione per il contrasto alla pandemia è nel suo utilizzo da parte del più ampio volume possibile di popolazione, sarà bene dunque considerare che il sistema di adozione volontaria deve essere collegato ad un innalzamento collettivo della fiducia. Tale obiettivo è raggiungibile sia curando una comunicazione che promuova un utilizzo consapevole e corretto dello strumento indicandone i benefici, sia riducendo i rischi correlati alla privacy e alla sicurezza. A tal fine l’EDPB indica la necessità di verifica degli algoritmi di funzionamento ed evitare falsi risultati, così come di garantire un intervento umano e non lasciare che una decisione così rilevante sia adottata soltanto attraverso un processo automatizzato.
La stretta correlazione delle finalità conseguite e dei dati raccolti è uno dei principali fattori che rafforza la fiducia da parte dell’utente, e dunque ad esempio non può essere consentita l’acquisizione continua e massiva delle singole posizioni in quanto la principale funzione dell’app è segnalare un’allerta in caso di contatto con persone positive, che è un evento probabile e la cui definizione e rilevanza è rimessa ad un giudizio prognostico di tipo scientifico, per cui non è necessario tracciare ogni singolo movimento. Con specifico riguardo all’archiviazione degli eventi rilevanti, invece, il principio di minimizzazione rende più prospettabile l’ipotesi di archiviazione locale ma una soluzione centralizzata può comunque essere adottata pur nel rispetto delle garanzie di sicurezza. Facendo invece riferimento alla funzione di allerta, la possibilità di identificazione indiretta degli interessati deve essere esclusa attraverso tecniche di pseudonimizzazione progettate a tale scopo.
Quale che siano le strategie e gli strumenti tecnologici che saranno adottate dall’azione europea di contrasto alla pandemia, è di chiara evidenza che la corretta applicazione della disciplina in materia di protezione dei dati personali non può in alcun caso rappresentare un elemento di ostacolo ma, al contrario, ne rafforza l’efficacia.
