Il Comitato Europeo sulla Protezione Dati (EDPB) ha pubblicato oggi le linee guida sulle app per la lotta al Covid-19. Le linee guida, contenute in una lettera firmata dalla presidente Andrea Jelinek e indirizzata alla Commissione Ue, dove ribadiscono l’obiettivo di creare un modello paneuropeo di app e contestualmente la necessità di analizzare tutte le diverse app in modo dettagliato (scarica qui la lettera in PDF di cui è stato relatore il Garante italiano).
Ogni app che sarà sviluppata dovrà essere sottoposta ad una verifica di conformità (assessment) con i principi della data protection e il codice sorgente dovrà essere reso disponibile.
Da quanto emerge, quindi, i Garanti Ue non vanno nella direzione di una app unica per tutta l’Europa, ma di un approccio paneuropeo che condivida principi ben definiti da applicare poi su diverse app declinate a livello nazionale.
Volontarietà
Il Comitato appoggia il principio dell’adozione volontaria della app, già sostenuto dalla Commissione Ue. In altri termini, non è previsto l’obbligo di legge per l’adozione delle app di tracing.
“Le app di tracciamento dei contatti (contact tracing) non richiedono il tracciamento della posizione (location tracking) di singoli utenti – si legge nel documento – Il loro obiettivo non è seguire i movimenti degli individui e nemmeno quello di far rispettare le prescrizioni. La funzione principale di queste app è scoprire eventi (contatti con persone positive), che sono soltanto probabili e per la maggior parte degli utenti persino non accadranno mai, specialmente nella fase di ritorno alla normalità. Raccogliere i movimenti di un individuo nel contesto delle app di tracciamento dei contatti violerebbe il principio della minimizzazione dei dati. Inoltre, farlo creerebbe gravi rischi per la sicurezza e la privacy”.
Autorità sanitarie
Sarà compito delle autorità sanitarie identificare ciò che costituisce un evento da condividere, se e quando si verifica, a patto che sia assolutamente necessario regsitrarlo ai fini della lotta al virus.
Archiviazione e conservazione
Un altro problema discusso è l’archiviazione di tali eventi. “Sono previste due opzioni principali: archiviazione locale dei dati all’interno dei dispositivi degli utenti o conservazione centralizzata. L’EDPB è del parere che entrambe possano essere valide alternative, purché una sicurezza adeguata. Diverse entità possono anche essere considerate responsabili del trattamento a seconda dell’obiettivo finale dell’app (ad es. il titolare del trattamento e i dati trattati possono essere diversi se l’obiettivo è fornire informazioni in-app o contattare la persona al telefono, ad esempio). In qualunque caso, l’EDPB vuole sottolineare che la soluzione decentralizzata è più in linea con la minimizzazione principio”.
No stigma sociale
Queste app non devono assumere il ruolo di piattaforme social o di stigma pubblico ai danni dei contagiati. L’unico scopo che hanno è di consentire alle autorità sanitarie di contattare coloro che sono entrate in contatto con persone positive e ordinare loro la quarantena, Per garantire l’anonimato, prevedere l’anonimizzazione delle persone, tramite pseudonimi e l’utilizzo ad esempio d codici identificativi mono uso.
Algoritmi e personale qualificato
Gli algoritmi usati nelle app di tracciamento andranno maneggiati con cura da personale qualificato, per minimizzare i rischi di falsi positivi e negativi. Le informazioni ai pazienti saranno gestite da essere umani e non affidate ad algoritmi automatizzati. Bisognerà trovare il modo di comunicare telefonicamente o tramite altro canale, tenendo sempre presente la necessità di garantire l’anonimato per evitare qualunque rischio di stima sociale.
Una volta superata la crisi sanitaria, l’EDPB auspica che l’intero sistema venga smantellato e che i dati raccolti vengano cancellati o resi anonimi.