A seguito di una richiesta di consultazione da parte della Commissione europea, il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato una lettera – di cui è stato relatore anche l’Autorità Garante per la protezione dei dati personali – nella quale sostiene con favore il progetto della Commissione europea di sviluppare un approccio comune europeo nella lotta contro il COVID-19 tramite app di contact tracing.

Andrea Jelinek, Presidente dell’EDPB, ha dichiarato: “L’EDPB accoglie con favore l’iniziativa della Commissione di sviluppare un approccio paneuropeo e coordinato, poiché ciò contribuirà a garantire lo stesso livello di protezione dei dati per ogni cittadino europeo, indipendentemente dal luogo in cui vive”.

L’EDPB ha altresì formulato le seguenti raccomandazioni:

  • l’adesione alle app di contact tracing deve essere volontaria e non obbligatoria ed in quanto tale non basata sul consenso degli utenti ma legittimata dall’adempimento di un compito nell’interesse pubblico, necessario al trattamento stesso;
  • lo sviluppo delle app di contact tracing deve avvenire secondo criteri di responsabilizzazione, documentando attraverso una valutazione di impatto sulla protezione dei dati tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default;
  • le app di contact tracing non necessitano di geolocalizzare i singoli utenti;
  • il codice sorgente dovrebbe essere reso pubblico e disponibile così da permettere le più ampie considerazioni e/o valutazioni da parte della comunità scientifica;
  • gli algoritmi utilizzati nelle app di contact tracing dovrebbero operare sotto la stretta vigilanza di personale qualificato al fine di limitare i falsi positivi e i falsi negativi;
  • le “indicazioni di comportamento” non dovrebbero esclusivamente scaturire da processi esclusivamente automatizzati;
  • la conservazione dei dati personali all’interno dei dispositivi individuali è la misura più idonea e che rispetta maggiormente il principio di minimizzazione;
  • la cancellazione dei dati personali dovrebbe essere effettuata alla fine della situazione di emergenza.

Inoltre, l’EDPB pubblicherà prossimamente delle linee guida sulla geolocalizzazione e gli strumenti di tracciamento nell’ambito del COVID-19.