LINEE GUIDA EDPB SUI SISTEMI DI TRACCIAMENTO (APP IMMUNI)
Roberta Monari • 23 aprile 2020
Il Comitato Europeo per la protezione dei dati personali ha emanato le attese linee guida sull'uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell'emergenza legata al COVID-19. Il Comitato concorda sul fatto che il trattamento automatizzato dei dati e le tecnologie digitali possono essere elementi chiave nella lotta al COVID-19, ma che occorre prevenire gli effetti collaterali irreversibili che questo può comportare: a nessuno dovrebbe essere chiesto di scegliere tra una risposta efficace all'attuale crisi e la tutela dei diritti fondamentali, perché entrambe gli obbiettivi sono alla nostra portata. Un messaggio forte dunque, che porta riflessione, ma anche apertura e unione di intenti per un uso responsabile dei dati personali per la gestione della salute con l'ausilio di nuove tecnologie senza ledere i diritti e le libertà individuali. Approfondiamo i dettami di queste linee guida:
1) Il ricorso alle app per il tracciamento dei contatti deve essere su base volontaria (questo per creare e favorire un clima di fiducia e creare le condizioni di accettabilità sociale delle nuove misure, se tali misure fossero imposte e vissute come obbligo il cittadino potrebbe non rispettare le regole imposte, ad esempio lasciando a casa il cellulare, base volontaria significa inoltre, non subire pregiudizi, ne limitazioni nei movimenti nel caso in cui l'app non venga scaricata), non deve basarsi sulla tracciabilità dei movimenti individuali, bensì sulle informazioni di prossimità relative agli utenti.
2) Deve essere chiaramente definita la titolarità del trattamento il Comitato ritiene che le autorità sanitarie nazionali possono essere i titolari ideali di tale trattamento, laddove coinvolti più attori, devono essere definiti con chiarezza e fin dall'inizio i ruoli e le responsabilità rispettive e di tutto ciò devono essere informati gli utenti.
3) Le app per il tracciamento dei contatti non necessitano del tracciamento della posizione dei singoli utenti, occorre invece utilizzare i dati di prossimità.
4) Le app di tracciamento dei contatti possono funzionare senza l'identificazione diretta delle persone, devono pertanto essere adottate misure adeguate per prevenire la reidentificazione.
5) Le informazioni raccolte devono risiedere nell'apparecchiatura terminale dell'utente e devono essere raccolte solo le informazioni pertinenti.
6) Stabilire i tempi, ossia quando l'app dovrà essere disinstallata e a chi spetterà assumere tale determinazione.
7) I dati personali dovrebbero essere conservati solo per la durata dell'emergenza sanitaria e dovranno essere cancellati o resi anonimi.
8) Le app non deve raccogliere informazioni non necessarie, come per esempio, dati anagrafici, identificativi di comunicazione, voci di directory del dispositivo, messaggi, registrazioni di chiamate, dati relativi all'ubicazione, identificativi del dispositivo.
9) I dati trasmessi dall'app devono includere solo identificatori univoci e pseudonimo, generati dall'app e specifici di tale app. Tali identificatori devono essere rinnovati regolarmente, secondo una frequenza compatibile con lo scopo di contenere la diffusione del virus e sufficiente a limitare il rischio di identificazione e di localizzazione fisica delle persone.
10) Ogni server coinvolto nel sistema di tracciamento dei contatti deve raccogliere soltanto la cronologia dei contatti o gli identificativi pseudonimizzati di un utente diagnosticato come infetto, a seguito di un'adeguata valutazione effettuata dalle autorità sanitarie e di un'azione volontaria dell'utente stesso. Alternativamente il server deve conservare un elenco degli identificativi pseudonimizzati di utenti infetti o la rispettiva cronologia dei contatti solo per il periodo necessario a informare gli utenti potenzialmente infetti della loro avvenuta esposizione, senza tentare di individuare tali utenti potenzialmente infetti.
11) Fare ricorso a tecniche crittografiche di ultima generazione per proteggere al meglio i darti conservati, nonché gli scambi tra le app e il server. Occorre inoltre implementare sistemi di autenticazione reciproca tra app e server.
12) La segnalazione nell'app di utenti infetti da COVID-19 deve essere soggetta a idonea procedura, ad esempio mediante l'impiego di un codice monouso correlato a una identità pseudonima della persona infetta e collegato ad un laboratorio o ad un operatore sanitario.
In generale le app non possono sostituire, ma solo supportare, il tracciamento manuale dei contatti effettuato da personale sanitario pubblico qualificato.
Il quadro giuridico in materia di protezione dei dati è stato concepito per essere flessibile e questo è un momento storico in cui tale flessibilità viene dimostrata in modo seriamente analizzato, a mio personale punto di vista, è stato fatto un ottimo lavoro ed è stata fornita una risposta veloce ed efficace per limitare la pandemia, proteggendo al tempo stesso i diritti umani e le libertà fondamentali che una società democratica deve garantire.
LA NUOVA DIRETTIVA NIS 2 | D.LGS. 138/2024
MISURE DI SICUREZZA DA APPLICARE QUANDO SI UTILIZZANO PROGRAMMI E SERVIZI INFORMATICI PER LA GESTIONE DI POSTA ELETTRONICA ANCHE IN CLOUD.
LA DECISIONE DI ADEGUATEZZA CHE AUTORIZZA IL TRASFERIMENTO DEI DATI DA EUROPA A STATI UNITI.
