Coronavirus: le app di tracciamento saranno obbligatorie?
Si sta discutendo molto, negli ultimi giorni, riguardo il funzionamento dell’applicazione mobile “Immuni”, app “anti-Covid-19” destinata al tracciamento dei contagi.
Al riguardo, si segnala che l’applicazione dovrà seguire i principi stabiliti dal GDPR, nonché le linee guida sulla geolocalizzazione e altri strumenti di tracciamento nel contesto dell’emergenza Covid-19, rilasciate dal Comitato Europeo per la Protezione dei Dati.
Sottolineando che le valutazioni sulle app devono essere compiute caso per caso, il Comitato ha allegato una serie di criteri che forniscono le corrette indicazioni ai progettisti e agli sviluppatori delle app di tracciamento. In via del tutto eccezionale, alla luce dell’urgenza dell’attuale situazione e della necessità di orientamenti rapidi e specifici, le linee guida non saranno sottoposte a consultazione pubblica. I criteri fissati dal Comitato Europeo sono i seguenti:
- L’utilizzo dell’app deve essere strettamente volontario. Gli individui, infatti, devono essere messi in condizione di avere sempre il totale controllo sui propri dati e di scegliere liberamente se utilizzare eventuali app di contact tracing come “Immuni”;
- Le applicazioni di tracciamento potrebbero comportare un elevato rischio privacy per i diritti e le libertà delle persone fisiche. Pertanto, è richiesta l’elaborazione di una valutazione di impatto (DPIA ex art. 35 del Regolamento europeo), condotta preventivamente allo sviluppo e all’utilizzo dell’app stessa;
- Le informazioni riguardanti la prossimità degli utenti che utilizzano l’app possono essere ottenute senza l’utilizzo della geolocalizzazione. Di conseguenza, l’applicazione non dovrebbe coinvolgere l’uso di dati di localizzazione;
- Qualora un utente risulti infetto da SARS-Cov-2, soltanto le persone con cui è stato a stretto contatto nel periodo di incubazione epidemiologicamente rilevante dovrebbero essere informate;
- Il funzionamento dell’applicazione potrebbe richiedere, a seconda dell’architettura scelta, l’uso di un server centralizzato. In conformità con i principi di minimizzazione dei dati e di protezione dei dati fin dalla progettazione (privacy by desing), i dati trattati dal server centralizzato dovrebbero essere limitati allo stretto necessario:
- Quando un utente viene dichiarato contagiato dal nuovo virus Covid-19, le informazioni riguardanti i contatti stretti avuti precedentemente o gli identificativi trasmessi dall’applicazione possono essere raccolti unicamente previo consenso dell’utente. È necessario stabilire un metodo di verifica che consenta di affermare che la persona è effettivamente infetta senza identificare l’utente;
- Le informazioni raccolte non dovrebbero permettere al titolare del trattamento di identificare gli utenti che risultano contagiati da virus o che sono stati in stretto contatto con utenti infetti.
- L’applicazione deve garantire processi tecnici sicuri. Nello specifico, “Immuni” non deve trasmettere agli utenti informazioni che consentano loro di dedurre l’identità o la diagnosi di altri. Il server centrale non deve identificare gli utenti, né dedurre informazioni su di essi.