Milano, 20 aprile 2020 – La notizia della chiusura dell’istruttoria del Ministero per l’innovazione tecnologica per la scelta di una app di contact tracing – destinata a consentire una mappatura a ritroso dei contatti tenuti, nel periodo d’incubazione, da soggetti risultati contagiati e utile anche per prevenire potenziali cluster di diffusione della pandemia – giunge a distanza di pochi giorni da due interventi in materia del nostro Garante e del Comitato Europeo per la protezione dei dati. Le scelte operate in concreto dal Ministero si pongono, per quel che è dato di capire, su una linea di sostanziale continuità con le indicazioni ricavabili da tali autorevoli interventi. Nel dettaglio:

• Lo scorso 8 aprile si è tenuta l’audizione informale alla Camera, in videoconferenza, del Presidente del Garante per la protezione dei dati personali sull’uso delle nuove tecnologie e della rete per contrastare l’emergenza epidemiologica da Coronavirus. Questi i punti essenziali toccati dal Garante:

1. Le misure di contact tracing, in quanto  improntate ad un principio solidaristico – di tutela del diritto alla salute – e non repressivo – di sorveglianza della popolazione – perseguono un fine meritevole di tutela;
2. il consenso dei singoli al tracciamento della propria posizione è presupposto imprescindibile per l’operatività di qualunque soluzione tecnologica diretta a ricostruire la catena epidemiologica. Da ciò discende che l’efficacia diagnostica di qualunque soluzione dipende dal grado di adesione che essa incontri tra i cittadini, in quanto la rilevazione potrebbe per definizione avvenire solo limitatamente alla parte della popolazione che consenta di farsi tracciare; la percentuale minima per l’efficacia è stimata nell’ordine del 60%;
3. ai fini della raccolta dei dati, sarebbe da preferire l’uso della tecnologia Bluetooth, più precisa del Gps (geolocalizzazione) nell’identificare un contatto e quindi migliore nel selezionare i potenziali contagiati ma allo stesso tempo idonea a garantire il minor ricorso possibile a dati identificativi ;
4. con riferimento alla seconda fase del trattamento – la conservazione dei dati in vista del loro eventuale, successivo utilizzo per allertare i potenziali contagiati – è certamente preferibile la soluzione della registrazione del “diario dei contatti” sullo stesso dispositivo individuale nella disponibilità del soggetto, onde evitare la conservazione di dati personali in banche dati dei gestori, ragionevolmente per il solo periodo massimo di potenziale incubazione;
5. il tracciamento sarebbe affidato a un flusso di dati pseudonimizzati, suscettibili di reidentificazione solo in caso di rilevata positività;
6. sarebbe auspicabile che la complessa filiera del contact tracing possa  realizzarsi interamente in ambito pubblico. Ove, tuttavia, ciò non fosse possibile e anche solo un segmento del trattamento dovesse essere affidato a soggetti privati, essi dovrebbero possedere idonei requisiti di affidabilità, trasparenza e controllabilità, rigorosamente asseverati;
7. l’introduzione di misure di contact tracing dovrebbe essere auspicabilmente supportata da una norma di rango primario.

• Il 15 aprile il Comitato Europeo per la protezione dei dati (EDPB), organismo istituito dal GDPR (artt. 68 ss), ha pubblicato le proprie linee guida in materia di contact tracing. In sintesi:

1. Anche l’EDPB appoggia il principio dell’adozione volontaria della app, già sostenuto dalla Commissione Ue. In altri termini, l’adozione delle app di tracing non può avvenire per obbligo di legge;
2. sarà compito delle autorità sanitarie identificare ciò che costituisce un evento da condividere, se e quando si verifica, a patto che sia assolutamente necessario registrarlo ai fini della lotta al virus;
3. quanto alla conservazione dei dati: “Sono previste due opzioni principali: archiviazione locale dei dati all’interno dei dispositivi degli utenti o conservazione centralizzata. L’EDPB è del parere che entrambe possano essere valide alternative, purché una sicurezza adeguata. Diverse entità possono anche essere considerate responsabili del trattamento a seconda dell’obiettivo finale dell’app (ad es. il titolare del trattamento e i dati trattati possono essere diversi se l’obiettivo è fornire informazioni in-app o contattare la persona al telefono, ad esempio). In qualunque caso, l’EDPB vuole sottolineare che la soluzione decentralizzata è più in linea con il principio di minimizzazione”;
4. gli algoritmi usati nelle app di tracciamento andranno trattati con cura da personale qualificato, per minimizzare i rischi di falsi positivi e negativi. Le informazioni ai pazienti saranno gestite da essere umani e non affidate ad algoritmi automatizzati. Bisognerà trovare il modo di comunicare telefonicamente o tramite altro canale, tenendo sempre presente la necessità di garantire l’anonimato per evitare qualunque rischio di stima sociale;
5. una volta superata la crisi sanitaria, l’EDPB auspica che l’intero sistema venga smantellato e che i dati raccolti vengano cancellati o resi anonimi.

_________
DISCLAIMER
Il presente comunicato è divulgato a scopo conoscitivo per promuovere il valore dell’informazione giuridica. Non costituisce un parere e non può essere utilizzato come sostitutivo di una consulenza, né per sopperire all’assenza di assistenza legale specifica.