EDPB e Covid-19: linee-guida sull’uso dei dati di localizzazione e degli strumenti di tracciamento
Durante la ventitreesima sessione plenaria, il Comitato europeo per la protezione dei dati personali (“EDPB”) ha adottato le linee-guida sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19 (“Linee Guida”)[1].
Le Linee Guida chiariscono le condizioni e i principi per l’uso proporzionato dei dati di localizzazione e degli strumenti di tracciamento dei contatti, in due ambiti specifici:
- utilizzo dei dati di localizzazione a supporto della risposta alla pandemia tramite la definizione di modelli della diffusione del Covid-19, al fine di valutare l’efficacia complessiva di misure di isolamento e quarantena;
- utilizzo del tracciamento dei contatti per informare coloro che sono probabilmente entrate in contatto ravvicinato con soggetti successivamente confermati positivi, al fine di interrompere tempestivamente la trasmissione del contagio.
L’EDPB sottolinea che la normativa europea sulla protezione dei dati personali, ivi incluso il Regolamento UE 679/2016 (“GDPR”) e la direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“Direttiva e-Privacy”), è stata concepita per essere flessibile e, in quanto tale, non ostacola una risposta efficiente alla pandemia. Tuttavia, i governi e gli attori privati dovrebbero attuare adeguate misure quando utilizzano soluzioni basate sui dati personali in risposta all’epidemia da Covid-19.
1. Utilizzo dei dati di localizzazione
I dati relativi all’ubicazione possono essere utilizzati per modellare la diffusione del Covid-19 e monitorare l’efficacia complessiva delle misure di confinamento.
I dati relativi all’ubicazione possono essere ottenuti rispettivamente da:
- fornitori di servizi di comunicazione elettronica (ad esempio, operatori di telecomunicazioni mobili);
- fornitori di servizi della società dell’informazione qualora i loro servizi richiedano l’utilizzo di tali dati (ad esempio, navigazione, servizi di trasporto, ecc.).
L’EDPB constata che i requisiti di protezione dei dati personali variano a seconda della fonte dei dati relativi all’ubicazione. In particolare:
Dati relativi all’ubicazione raccolti presso i fornitori di servizi di comunicazione elettronica:
in tal caso, i dati possono essere trattati nel rispetto degli articoli 6 e 9 della Direttiva e-Privacy e possono essere comunicati alle Autorità o ad altre terze parti solo se i dati sono stati anonimizzati oppure per i dati che indicano la posizione geografica dell’apparecchiatura terminale di un utente, sarà necessario il previo consenso dell’utente.
Dati relativi all’ubicazione raccolti da un fornitore di servizi della società dell’informazione:
la raccolta di dati relativi all’ubicazione direttamente dall’apparecchiatura terminale dell’utente (ad esempio, uno smartphone) deve essere conforme all’articolo 5, paragrafo 3, della Direttiva e-Privacy. Ciò significa che la memorizzazione di informazioni sul dispositivo dell’utente o l’accesso alle informazioni già memorizzate nel dispositivo è consentita solo se: (i) l’utente ha prestato il suo consenso; o (ii) la memorizzazione e/o l’accesso è strettamente necessaria per fornire il servizio della società dell’informazione che l’utente ha esplicitamente richiesto. Questi sono i requisiti che i fornitori di servizi della società dell’informazione devono normalmente soddisfare per raccogliere i dati relativi all’ubicazione attraverso un’applicazione installata sul dispositivo dell’utente.
Secondo l’EDPB, il riutilizzo di tali dati di localizzazione raccolti da un fornitore di servizi della società dell’informazione per scopi di modellazione deve rispettare ulteriori condizioni:
- i dati raccolti in conformità all’articolo 5, paragrafo 3, della Direttiva e-Privacy possono essere ulteriormente trattati solo con il consenso della persona interessata; oppure
- sulla base di una specifica normativa dell’UE o di uno Stato membro che sia necessaria e proporzionata per salvaguardare gli obiettivi di cui all’articolo 23, paragrafo 1, GDPR (ad esempio, motivi di salute pubblica).
L’EDPB sottolinea altresì che gli Stati membri possono introdurre deroghe specifiche ai suddetti requisiti della Direttiva e-Privacy attraverso una legislazione di emergenza specifica per l’epidemia COVID-19. Tuttavia, tali norme devono essere necessarie, appropriate e proporzionate.
Inoltre, l’EDPB evidenzia che, ove possibile, il trattamento dei dati relativi all’ubicazione anonimizzati dovrebbe essere preferito rispetto al trattamento di dati identificabili. Tuttavia, si riconosce che anonimizzare i dati è molto complesso, ma esistono opzioni per un’efficace anonimizzazione dei set di dati dei dispositivi mobili. La solidità di qualsiasi metodo di anonimizzazione dovrebbe essere valutata in base a un “test di ragionevolezza” (i.e. una valutazione contestuale caso per caso della capacità di collegare i dati ad una persona fisica identificata o identificabile contro qualsiasi sforzo “ragionevole” di re-identificazione).
La valutazione della robustezza della tecnica di anonimizzazione adottata dipende da tre fattori: (i) individuabilità (c.d. “singling out”), ossia la possibilità di isolare una persona all’interno di un gruppo sulla base dei dati); (ii) correlabilità (i.e. possibilità di correlare due record riguardanti la stessa persona); (iii) inferenza (i.e. possibilità di dedurre, con probabilità significativa, informazioni sconosciute relative a una persona).
2. Apps per il tracciamento dei contatti
L’EDPB non si oppone all’uso delle applicazioni per il tracciamento dei contatti (“App” o “Apps”) in quanto tali purchè nel rispetto dei seguenti requisiti e limitazioni:
- l’uso dell’App dovrebbe essere volontario: ciò implica che le persone che decidono di non utilizzare o di non poter utilizzare l’App non dovrebbero subire alcuno pregiudizio.
- I dati personali trattati attraverso l’App dovrebbero essere solo quelli necessari al perseguimento delle finalità: l’App non dovrebbe raccogliere dati personali non correlate o non necessarie, come lo stato civile, gli identificatori di comunicazione, gli elementi dell’elenco delle apparecchiature, i messaggi, i registri delle chiamate e così via.
- Il titolare del trattamento dei dati dovrebbe essere chiaramente identificato: secondo l’EDPB le autorità sanitarie nazionali possono essere considerate titolari del trattamento. In ogni caso, le responsabilità e i ruoli di tutti gli attori coinvolti nella gestione dell’App dovrebbero essere chiaramente definiti.
- Principio di limitazione delle finalità: le finalità che l’App persegue dovrebbero essere specificate in modo dettagliato e dovrebbero essere escluse finalità non correlate alla gestione della situazione emergenziale da COVID-19 (ad esempio, finalità commerciali o per le attività di contrasto di matrice giudiziaria o di polizia). Una volta definita con chiarezza la finalità, sarà necessario garantire che l’uso dei dati personali sia adeguato, necessario e proporzionato.
- Principio di minimizzazione e privacy by design and by default: l’App non dovrebbe tracciare i singoli movimenti, ma piuttosto basarsi sulle informazioni di prossimità relative all’utente. Ciò suggerisce una preferenza per l’uso della tecnologia Bluetooth, piuttosto che della tecnologia GPS. Inoltre, l’EDPB sottolinea che le Apps possono funzionare senza l’identificazione diretta delle persone e che dovrebbero essere adottate misure adeguate per evitare una nuova identificazione. Pertanto, devono essere implementate tecniche crittografiche all’avanguardia per proteggere i dati memorizzati nei server e nelle applicazioni e i dati raccolti dall’applicazione dovrebbero risiedere sull’apparecchiatura terminale dell’utente e dovrebbero essere raccolte solo informazioni pertinenti e necessarie. A tal riguardo, l’EDPB osserva che il tracciamento dei contatti può seguire un approccio centralizzato o decentralizzato, ma sembra esprimere una preferenza per una soluzione decentralizzata, in cui i dati non sono aggregati in un unico server.
- Basi giuridiche: l’EDPB evidenzia che il fatto che un’App venga utilizzata su base volontaria non significa necessariamente che il relativo trattamento dei dati personali si basi sul consenso. Possono essere adeguate altre basi giuridiche, quale quella di cui all’articolo 6, paragrafo 1, lettera e) (i.e. trattamento per l’esecuzione di un compito di interesse pubblico). Tuttavia, per basarsi su quest’ultima base giuridica, gli Stati membri dovrebbero adottare una misura legislativa specifica che definisca le finalità del trattamento e offra garanzie adeguate. Occorre inoltre individuare le categorie di dati e i soggetti ai quali i dati personali possono essere comunicati, e per quali scopi. L’EDPB raccomanda di stabilire dei criteri per stabilire quando l’App dovrà essere disinstallata e a chi spetti assumere tale decisione. L’eventuale trattamento di dati relativi alla salute (i.e. lo status di persona infetta), è consentito quando è necessario per motivi di interesse pubblico nel settore della sanità pubblica, nel rispetto delle condizioni di cui all’articolo 9, paragrafo 2, lettera i), del GDPR, o per le finalità dell’assistenza sanitaria di cui all’articolo 9, paragrafo 2, lettera h), del GDPR.
- Periodo di conservazione: i dati personali raccolti attraverso l’applicazione dovrebbero essere conservati solo per la durata dello stato di emergenza da Covid-19. Successivamente, come regola generale, tutti i dati personali dovrebbero essere cancellati o resi anonimi.
- Liceità dei trattamenti e principio di responsabilizzazione: gli algoritmi devono essere verificabili e devono essere soggetti ad un riesame periodico da parte di esperti indipendenti. Inoltre, il codice sorgente dovrebbe essere reso pubblico così da assicurare la più ampia trasparenza possibile.
- Valutazione d’impatto sulla protezione dei dati (“DPIA”): prima di implementare un’App si dovrebbe effettuare una DPIA, in quanto è probabile che il trattamento dei dati personali presenti un rischio elevato per i diritti e le libertà degli interessati (i.e. in presenza di dati relativi alla salute, trattamento su larga scala, monitoraggio sistematico, uso di una nuova soluzione tecnologica). A tal riguardo, l’EDPB raccomanda la pubblicazione degli esiti della DPIA.
Conclusioni
Si segnala che molte delle Apps che gli Stati membri hanno utilizzato finora non sembrano soddisfare tutti i requisiti di cui sopra né garantire le adeguate misure di sicurezza.
A tal riguardo, si segnala che l’Autorità per la protezione dei dati personali norvegese (“Datatilsynet”), ha notificato[2] all’Istituto norvegese di sanità pubblica (“FHI”) le carenze del protocollo di tracciamento dell’app di contact tracing. In particolare, Datatilsynet ha sottolineato che (i) nell’analisi dei rischi e delle vulnerabilità non sono stati valutati alcuni aspetti cruciali dell’app, quali la notifica agli utenti e l’anonimizzazione dei dati personali raccolti; (ii) le diverse finalità perseguite dall’app, tra cui il monitoraggio dei movimenti degli utenti e la segnalazione dei contagi, dovrebbero altresì essere incluse nel protocollo. Rispetto a ciò, non è stata ritenuta sufficientemente accurata l’indicazione generica della finalità perseguita dall’app, ossia il “rilevamento digitale dei contagi”.
Inoltre, ancora alcuni Stati membri non hanno pubblicato un estratto della DPIA o il codice sorgente delle app di contact tracing adottate.
Pertanto, è evidente che alcune delle app attualmente in uso dovranno essere modificate o che gli operatori delle app dovranno adottare ulteriori misure per conformarsi alle raccomandazioni dell’EDPB e prevenire il rischio di comminazione di sanzioni da parte delle Autorità di controllo.
[1] Le Linee Guida sono disponibili al seguente link
[2]La dichiarazione di Datatilsynet è disponibile al seguente link https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-palegg-til-smittestopp/
Laureata nel 2017 presso l’Università Commerciale Luigi Bocconi con una tesi in privacy e data protection. Praticante Avvocato presso il dipartimento di ICT & Data Protectioe dello Studio legale Simmons & Simmons.