Il 14 aprile scorso il Comitato europeo per la protezione dei dati, con una lettera alla Commissione europea, si è espresso sul “Progetto di linee guida sulle app per il tracciamento dei contatti a sostegno della lotta contro la pandemia di COVID-19”, che ha l’obiettivo di “permettere alle autorità sanitarie pubbliche di individuare persone che siano venute in contatto con soggetti positivi al COVID-19 e chiedere a tali persone di porsi in auto-isolamento, eseguendo rapidamente un test e fornendo indicazioni di comportamento”.

Il Comitato, accogliendo con favore l’utilizzo delle app, concorda sulla definizione di un approccio coordinato paneuropeo, con il pieno e costante coinvolgimento del Comitato e dei suoi membri nell'intero processo di elaborazione e attuazione di tali misure.

Auspica, inoltre, che il principio cardine resti il rispetto dei principi della protezione dati e dei diritti e delle libertà fondamentali di ogni cittadino, anche per evitare il rischio che questi strumenti diventino mezzi per diffondere allarme sociale o diano origine a qualsiasi tipo di stigmatizzazione delle persone contagiate.

Vediamo punto per punto i passaggi più importanti di questo documento.

Progettazione

• La app dovrebbe essere messa a punto secondo criteri di responsabilizzazione.
• Il codice sorgente dovrebbe essere reso pubblico, per il più ampio controllo possibile da parte della comunità scientifica.
• Finita la crisi, tale sistema non dovrebbe rimanere in uso e i dati raccolti dovrebbero essere cancellati o resi anonimi.

Utilizzo

• L’utilizzo della app dovrebbe essere volontario e basato sul senso di responsabilità collettiva delle persone.
• Le leggi che promuoveranno l'uso delle app potrebbero essere accompagnate da appropriate campagne di sensibilizzazione e assistenza per minori, persone con disabilità o meno istruite della popolazione, al fine di evitarne l'adozione ‘a macchia di leopardo’.

Basi legali

• L’uso volontario della app non implica che il trattamento di dati personali debba fondarsi necessariamente sul consenso.
• La base giuridica più appropriata per tale trattamento è probabilmente l'esecuzione di un compito di interesse pubblico.

Geolocalizzazione

• Le app di tracciamento dei contatti non richiedono il tracciamento della posizione dei singoli utenti.
• La loro funzione principale è quella di individuare i momenti di contatto con persone positive e non seguire gli spostamenti individuali.
• Raccogliere i movimenti di un individuo violerebbe il principio della minimizzazione dei dati e comporterebbe gravi rischi per la sicurezza e la privacy.

Funzionalità

• Sia l'archiviazione in locale dei dati all'interno dei singoli dispositivi, sia l'archiviazione centralizzata sono ritenute valide alternative.  Tuttavia, la soluzione decentralizzata è più in linea con il principio di minimizzazione.
• Gli algoritmi utilizzati dovrebbero funzionare sotto la stretta supervisione di personale qualificato e il compito di fornire indicazioni di comportamento non dovrebbe essere completamente automatizzato.
• Dovrebbe essere messo in atto un meccanismo di richiamata in cui alla persona viene assegnato un numero di telefono o un canale di contatto per ottenere maggiori informazioni.
• Non dovrebbe in alcun modo essere consentita l’identificazione di altre persone infettate da COVID-19.
• I dati di identificazione diretta non dovrebbero essere archiviati nei dispositivi degli utenti e tali dati devono comunque essere cancellati il prima possibile.
• Il meccanismo per individuare persone venute in contatto con soggetti positivi potrebbe basarsi sull’impiego di un codice monouso scannerizzabile.

In Italia, con ordinanza n. 10/2020 datata 16 aprile 2020 del Commissario straordinario per l’emergenza dott. Arcuri, è stata individuata l’app di tracciamento o meglio di contact tracing che verrà utilizzata per combattere il Covid- 19. L’app, selezionata dal gruppo di esperti insediato al dicastero dell'innovazione e proposta dal Ministro Paola Pisano si chiama “Immuni” ed è un progetto della software house milanese Bending Spoons.

Riguardo le modalità di funzionamento, si compone di due parti.

La prima è un sistema di tracciamento dei contatti che sfrutta la tecnologia Bluetooth attraverso cui sarà possibile rilevare la vicinanza tra due smartphone entro un metro e ripercorrere a ritroso tutti gli incontri di una persona risultata positiva al Covid-19, così da poter rintracciare e isolare i potenziali contagiati. Una volta scaricata, infatti, l’app conserva sul dispositivo di ciascun cittadino una lista di codici identificativi anonimi di tutti gli altri dispositivi ai quali è stata vicino. La seconda funzione di Immuni, invece, è un diario clinico contenente tutte le informazioni più rilevanti del singolo utente (sesso, età, malattie pregresse, assunzione di farmaci). Lo stesso utente dovrà avere cura di aggiornare quotidianamente il diario clinico con eventuali sintomi e dettagli sullo stato di salute.

In buona sostanza si tratta di una applicazione che andrà scaricata sul proprio cellulare su base volontaria, attivando il Bluetooth, questo potrà “dialogare” con i dispositivi delle persone in cui si entra in contatto. In automatico sul cellulare e sulla app si aggiornerà di diario del contagio. In questo modo chiunque potrà sapere se è stato in contatto con una persona contagiata o positiva, che dir si voglia, al Coronavirus.

La lista dei contatti non viene condivisa all’esterno, ma rimane salvata solo sul proprio smartphone. In questo modo Immuni garantisce la privacy e il rispetto delle norme sulla protezione dei dati personali. Questo grazie all’uso della tecnologia Bluetooth e non GPS. Inoltre, i dati raccolti vengono resi anonimi.

Nel caso di specie la base giuridica del trattamento va individuata nell’espressione del consenso parte degli interessati dai sensi degli artt. 6 par. 1 lett. a) ed art. 9 par.2 lett. a) Regolamento Ue 679/2016.

Va comunque evidenziato che il Regolamento generale sulla protezione dei dati (GDPR) contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19. Il GDPR consentirebbe, difatti, alle competenti autorità sanitarie pubbliche e ai datori di lavoro di trattare dati personali nel contesto di un'epidemia, conformemente al diritto nazionale e alle condizioni ivi stabilite. Di conseguenza se il trattamento è ritenuto necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica, si può prescindere dal consenso dei singoli, poiché esiste già un presupposto di liceità di sicuro rilievo. Lo stesso art. 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica. E’ chiaro che tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata all'interno di una società democratica.

Area Legale Infoteam – Avv. Raffaella Guiducci