CONTACT TRACING

L'utilizzo dei dati di geolocalizzazione e di strumenti di contact tracing nel contesto di COVID-19

CONTACT TRACING

Lo scoppio della pandemia di COVID-19 ha sollevato numerosi problemi sulla gestione della privacy dei cittadini in tutto il mondo. L’adozione di soluzioni tecnologiche per contrastare lo stato di emergenza ha sollevato numerosi problemi di privacy.

Ciononostante, l’European Data Protection Board (EDPB) ha sottolineato che il quadro giuridico sulla protezione dei dati, e soprattutto il GDPR (Regolamento Europeo sulla Protezione dei Dati) è stato progettato per essere flessibile e in quanto tale, è in grado di ottenere sia una risposta efficace nel limitare la pandemia che nella protezione dei diritti umani e delle libertà fondamentali.

Per questo motivo, l’EDPB si è mostrato fermamente convinto che, durante il contesto pandemico, la protezione dei dati sia indispensabile. Questo per instaurare fiducia, creare le condizioni per accettabilità sociale di qualsiasi soluzione e per garantire l’efficacia di queste misure.

Certo è che, in un mondo in cui la tecnologia è sempre in costante sviluppo, i dati e le innovazioni utilizzati per aiutare a combattere COVID-19 dovrebbero essere usati per potenziare, piuttosto che per controllare, stigmatizzare o reprimere gli individui. I principi generali di necessità e proporzionalità del trattamento devono guidare qualsiasi misura adottata dagli Stati membri o istituzioni dell’UE.

Cosa significa realmente contact tracing

Per contact tracing si intende un processo di identificazione e segnalazione di alcune precise informazioni. Trattasi di uno strumento fondamentale di sanità pubblica per la prevenzione e il controllo della diffusione delle malattie trasmissibili. Viene utilizzato quotidianamente per il controllo di varie malattie infettive. L’obiettivo del contact tracing è quello di identificare rapidamente le persone esposte a casi esistenti, in quanto potenziali casi secondari, e prevenire l’ulteriore trasmissione dell’infezione.

La ricerca e gestione dei contatti è una componente chiave delle strategie di prevenzione e controllo del COVID-19. Per questo motivo si è pensato di utilizzare il contact tracing per monitorare i contatti con le persone infette. In Italia, infatti, per permettere questo tracciamento è stata ideata l’app Immuni che sarà presto disponibile.

UTILIZZO DEI DATI PERSONALI NELLE APPLICAZIONI DI CONTACT TRACING

Esistono due principali fonti di dati di localizzazione per modellare la diffusione del virus e l’efficacia delle misure di confinamento:

  • dati sulla posizione raccolti dai fornitori di servizi di comunicazione elettronica nel corso della fornitura del loro servizio;
  • dati sulla posizione raccolti dalle applicazioni dei fornitori di servizi di società dell’informazione.

 

Per quanto riguarda i primi, l’EDPB ricorda che questi possono essere trasmessi alle autorità o ad altre terze parti solo se sono stati anonimizzati dal fornitore o, per i dati che indicano la posizione geografica di un utente, che non siano dati di traffico, previo consenso preventivo dell’utente.

Riguardo, invece, le informazioni, compresi i dati sulla posizione, raccolti direttamente dal terminale dell’utente, la memorizzazione di informazioni o l’accesso alle informazioni già memorizzate è consentito solo se:

  • l’utente ha dato il consenso;
  • l’archiviazione e / o l’accesso è strettamente necessario per le informazioni di servizio della società fornitrice esplicitamente richiesto dall’utente.

 

L’EDPB sottolinea che, quando si utilizzano dati sulla posizione, le preferenze dovrebbero sempre essere date al trattamento di dati anonimi.

Con anonimizzazione si intende l’impossibilità di collegare i dati ad una persona fisica identificata o identificabile contro qualsiasi sforzo “ragionevole”.

Il “test di ragionevolezza” deve tenere conto degli:

  • aspetti oggettivi (tempo, mezzi tecnici).
  • elementi contestuali che possono variare caso per caso.

 

Se i dati non superano questo test, non sono stati anonimizzati e pertanto rimangono nell’ambito di applicazione del GDPR.

Il monitoraggio sistematico della posizione e/o dei contatti tra persone fisiche è una grave intrusione nella loro privacy. Può essere legittimato solo facendo affidamento su una volontaria adozione da parte degli utenti per ciascuno dei rispettivi scopi previsti.

Ruoli e responsabilità

Per garantire l’accountability, dovrebbe essere chiaramente definito il responsabile del trattamento di qualsiasi applicazione di contact tracing. L’EDPB ritiene che le autorità sanitarie nazionali potrebbero essere considerati titolari del trattamento per tali applicazioni.

In ogni caso, se la distribuzione delle app di tracciamento dei contatti coinvolgono attori diversi, i ruoli e le responsabilità degli stessi devono essere chiaramente definiti fin dall’inizio ed essere esposti agli utenti.

Principio della limitazione delle finalità

Le finalità devono essere specifiche abbastanza per escludere ulteriori trattamenti per scopi estranei alla gestione della crisi sanitaria (ad esempio a fini commerciali).

Una volta che l’obiettivo è stato chiaramente definito, l’uso dei dati personali deve essere: adeguato, necessario e proporzionato.

È necessario prestare particolare attenzione al principio di minimizzazione e protezione dei dati by design e by default:

  • Le app di contact tracing dovrebbero utilizzare i dati di prossimità e non il tracciamento della posizione dei singoli utenti.
  • Devono essere adottate misure per impedire l’identificazione diretta delle persone.
  • Le informazioni devono essere raccolte solo sulle apparecchiature terminali dell’utente.

 

Infine, l’EDPB osserva che il semplice fatto dell’uso di applicazioni di contact tracing si svolga su base volontaria non significa che il trattamento dei dati personali sarà necessariamente basato sul consenso. Difatti, quando le autorità pubbliche forniscono un servizio basato sui requisiti previsti dalla legge, sembra che la più rilevante base giuridica del trattamento sia l’esecuzione di un compito di interesse pubblico, ex Art. 6 (1) (e) GDPR.