Lo scorso 21 aprile il Comitato Europeo per la protezione dei dati ha emanato le Linee-guida 04/2020 sull’uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legato al COVID-19.  

Grande tema, oggetto di disamina, è il data–tracing: le linee-guida specificano condizioni e principi per l’uso proporzionato di dati di localizzazione e strumenti di tracciamento dei contatti. In particolare, si fa riferimento all’utilizzo degli stessi per valutare l’efficacia complessiva delle misure di isolamento e quarantena adottate e da adottare. Oltre a questo, viene considerato l’impiego del tracciamento dei contatti per informare chi possa aver stanziato in aree con soggetti a rischio al fine di poter interrompere la trasmissione stessa del contagio. 

I punti fondamentali 

Il Comitato ha indicato diversi punti che gli Stati Europei dovranno tener presenti sul tema data–tracing. 

Misura fondamentale è quella dell’anonimizzazione dei dati relativi all’ubicazione dei cittadini, evidenziando come questi dati “anonimi” potrebbero in realtà non esserlo affatto. Come si specifica nel testo: “le tracce di mobilità dei singoli individui sono caratterizzate intrinsecamente da forte correlazione e univocità. Pertanto, in determinate circostanze possono essere vulnerabili ai tentativi di re-identificazione.”  

Inoltre, per quanto riguarda il principio della limitazione delle finalità, le stesse devono essere coerenti con gli obiettivi della gestione della crisi sanitaria, andando ad escludere categoricamente una raccolta dei dati per motivi ultronei.  

Sul tema poi del data protection by design le indicazioni del Comitato sono estremamente nette in merito al funzionamento senza l’identificazione diretta delle persone, dovendo adottare misure che possano prevenire re–identificazione. Inoltre, le informazioni raccolte devono rimanere allocate “fisicamente” nell’apparecchiatura terminale dell’utente a conferma della riduzione di ogni impatto ulteriore rispetto a quanto strettamente necessario.  

Per quanto si possono conservare i dati? 

Rispetto al principio di data retention quanto raccolto potrà essere conservato esclusivamente sino al perdurare della crisi legata al COVID–19; difficile, dunque, definire, in questa fase, una durata temporale specifica in considerazione delle variabili alle quali stiamo assistendo. Mi preme evidenziare come il termine non sia ancorabile “allo stato di emergenza” citato nei nostri DPCM, bensì ad una più generica “crisi”. Questo elemento si pone dunque in un alveo di aleatorietà rispetto al tempo reale di mantenimento di attività dell’APP di tracciamento.  

La sicurezza 

Una misura di sicurezza dovrà essere quella relativa alla protezione dei dati con tecniche crittografiche di ultima generazione. E, a proposito di misure di sicurezza, il Comitato ricorda l’obbligatorietà della produzione di una valutazione di impatto sulla protezione dei dati da condurre preventivamente alla implementazione della soluzione tecnologica alla luce del rischio connesso ai diritti dei cittadini, raccomandandone peraltro la pubblicazione.  

Dunque, le Linee Guida – di cui abbiamo accennato solo alcuni dei punti più salienti – evidenziano come sia possibile un bilanciamento tra il diritto alla privacy dei cittadini e l’utilizzo di strumenti tecnologici che potrebbero condizionare positivamente i rischi legati alla salute delle persone. 

Il precedente è creato? 

Orbene, questo documento costituirà, per il futuro ormai prossimo, un punto di riferimento fondamentale laddove dovremo affrontare in generale, anche fuori dal momento pandemico, il tema del data–tracing. Difatti, in un contesto epocale in cui assisteremo a cambiamenti radicali nella gestione dei flussi dati per finalità organizzative ed economiche (sia private che pubbliche) i principi di queste Linee Guida saranno di certo richiamati. Esse hanno infatti focalizzato, rispetto al già esistente e consolidato Regolamento Europeo (GDPR) punti nodali rispetto a tecnologie legate ad intelligenza artificiale, industria 4.0 piuttosto che Internet of Things. Laddove citano, in modo molto dettagliato, il processo di tracciabilità pongono dei limiti validi anche per trattamenti diversi da quelli legati al COVID–19, indicando come, davanti alla inderogabilità legislativa connessa ad una pandemia, non si potrà mai derogare per finalità organizzative o di business.  

Rileggiamo dunque le Linee Guida alla luce di questa riflessione, perché ciò implica, ed implicherà a chi commissiona o sviluppa applicativi che comportino tracciabilità, di valutare bene quanto i principi ivi dettati siano rispettati e come ciò sia dimostrabile in una ottica di accountability. Questo riguarderà integralmente il mercato europeo e tutte quelle società tecnologiche che sullo stesso intendano restare e competere.