Dati di localizzazione, tracciamento dei contatti e Covid-19: le linee guida dell’EDPB
L’utilizzo di app per il tracciamento dei contatti sociali (c.d. contact tracing) pone necessariamente una serie di aspetti problematici in materia di privacy e protezione dei dati personali. Il monitoraggio sistematico e su larga scala dell’ubicazione e o dei contatti tra persone fisiche costituisce infatti una grave interferenza nella sfera della vita privata dell’individuo.
Ad oggi, in assenza di provvedimenti del Legislatore, il Commissario Straordinario per l’emergenza COVID-19, con l’ordinanza n. 10/2020, ha disposto di procedere alla stipula del contratto di concessione gratuita della licenza d’uso e di appalto di servizi gratuito con la società creatrice dell’app “Immuni”, prescelta dal Governo. Nell’ordinanza si afferma che il contact tracing è ritenuto un elemento importante all’interno di una strategia sostenibile post-emergenza per un ritorno alla normalità, in quanto tecnologia in grado di rilevare il tracciamento di prossimità in modo molto più efficiente e rapido rispetto a quello tradizionale.
Lo scorso 21 aprile il Comitato Europeo per la Protezione dei Dati (di seguito EDPB) è intervenuto adottando le Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19.
Lo scopo di queste linee guida è solamente quello di fornire dei chiarimenti sulle condizioni e sui principi per un uso proporzionato dei dati di localizzazione e degli strumenti di tracciamento. Il quadro normativo in questo ambito è infatti già rappresentato dal Regolamento UE 679/2016 (GDPR) e dalla Direttiva 2002/58/CE (Direttiva E-privacy) che di per sé consentono di gestire efficacemente tutti gli aspetti relativi alla privacy a fronte alla pandemia in corso.
Con riguardo all’utilizzo dei dati relativi all’ubicazione, l’EDPB ne individua due principali fonti: quelli raccolti da fornitori di servizi di comunicazione elettronica nel corso della prestazione del servizio (come gli operatori di telecomunicazioni mobili), e quelli relativi all’ubicazione raccolti da fornitori di servizi della società dell’informazione la cui funzionalità richiede l’uso di tali dati (ad es: servizi di navigazione).
Questi dati possono essere trattati solo entro i limiti di cui agli artt. 6 e 9 della direttiva 2002/58/CE; ciò significa che il fornitore potrà comunicarli alle autorità o a terzi solo se siano stati resi anonimi ovvero, per il caso in cui non siano dati relativi al traffico, subordinatamente alla raccolta del consenso dell’utente.
L’archiviazione di queste informazioni, ai sensi dell’art. 5 della sopracitata direttiva, può poi avvenire solo se l’utente ha prestato il consenso, ai sensi degli artt. 4 e 7 del GDPR, oppure solo se la memorizzazione e/o l’accesso sono strettamente necessari al servizio esplicitamente richiesto dall’utente.
In ogni caso nelle linee guida in analisi si evidenzia come dovrebbe essere privilegiato il trattamento dei dati relativi all’ubicazione in forma anonimizzata. L’anonimizzazione consente infatti di utilizzare i dati senza limitazioni, eliminando la possibilità di collegarli ad una persona fisica identificata o identificabile con uno sforzo “ragionevole”.
Con riguardo alle app per il tracciamento dei contatti, il loro utilizzo, secondo l’EDPB, può essere legittimato solamente sulla base di un’adozione volontaria da parte degli utenti. Ciò comporta che coloro che non intendano o non possano utilizzare tali applicazioni non debbano subire alcun pregiudizio.
La realizzazione di applicazioni per il tracciamento dei contatti deve poi fondarsi sui principi di responsabilizzazione, di limitazione delle finalità di trattamento, di minimizzazione, di protezione dei dati fin dalla progettazione e di limitazione della conservazione dei dati. In applicazione di questi principi le app non dovrebbero comportare il tracciamento della posizione dei singoli utenti, bensì utilizzare le informazioni di prossimità relative agli utenti stessi. Queste informazioni, che devono essere pertinenti e strettamente necessarie, dovrebbero poi risiedere nell’apparecchiatura terminale dell’utente. Il trattamento delle informazioni così raccolte non necessita del consenso dell’utente esclusivamente laddove le operazioni di trattamento siano necessarie per consentire al fornitore dell’app di rendere il servizio esplicitamente richiesto.
L’utilizzo delle app di tracciamento può poi comportare il trattamento di dati personali relativi alla salute che come tali sono soggetti alle particolari garanzie contenute nell’art. 9 del GDPR. Il Comitato in proposito ricorda che il trattamento dei dati relativi alla salute è consentito quando è necessario per motivi di interesse pubblico nel settore della sanità pubblica (art. 9, co. II, lett. i) del GDPR) o per le finalità dell’assistenza sanitaria (art. 9, co. II, lett. h) GDPR).
In conclusione, l’EDPB chiarisce che l’attuale crisi sanitaria non dovrebbe trasformarsi in un’occasione per derogare al principio di limitazione della conservazione dei dati. La conservazione infatti dovrebbe essere limitata alla luce delle reali esigenze e della rilevanza medica dei dati personali, i quali dovrebbero essere conservati solo per la durata della crisi dovuta al COVID-19, ed al cui termine dovrebbero essere cancellati o resi anonimi.