La Commissione europea (la “Commissione UE“) ha pubblicato la guida “Guidance on Apps supporting the fight against COVID-19 pandemic in relation to data protection” (la “Guida”) che segue alla recente pubblicazione della raccomandazione su un approccio comune dell’Unione europea per l’uso di applicazioni mobili e di dati da dispositivi mobili e accompagna il c.d. “toolbox UE” sulle applicazioni di contact tracing.

La Guida mira ad offrire il quadro di riferimento necessario per garantire ai cittadini una sufficiente protezione dei loro dati personali e la limitazione di misure invasive nell’uso delle applicazioni mobili di contact tracing (“App”). Il Comitato europeo per la protezione dei dati personali è stato consultato sulla Guida e ha espresso le proprie considerazioni in una lettera pubblicata in data 14 aprile 2020.

La Guida si concentra sulle App basate su adesione volontaria con una o più delle seguenti funzionalità:

  • informazioni accurate per gli utenti sul COVID-19;
  • questionari per l’autovalutazione e una guida per gli utenti (i.e. funzionalità di verifica dei sintomi);
  • avvisi per gli utenti che si sono trovati in prossimità di una persona infetta per sottoporsi al test o per l’autoisolamento (i.e. funzionalità di tracciamento dei contatti e di avviso);
  • un forum di comunicazione tra i pazienti in autoisolamento e i medici, anche dove vengono fornite ulteriori diagnosi e consigli terapeutici (i.e. telemedicina).

Inoltre, nella Guida sono indicati i principali prerequisiti da considerare per lo sviluppo delle App nell’ambito del COVID-19 in relazione a:

  • ruolo delle autorità sanitarie nazionali: deve essere chiaramente stabilito fin dall’inizio chi è responsabile del rispetto della vigente normativa europea sulla protezione dei dati personali, ivi incluso il Regolamento UE 679/2016 (“GDPR”). Data l’elevata sensibilità dei dati e la finalità ultima delle App, la Commissione UE ritiene che le autorità sanitarie nazionali opereranno come titolari del trattamento e pertanto dovranno garantire il rispetto delle disposizioni del GDPR, nell’utilizzo dei dati personali raccolti, fornendo agli utenti tutte le informazioni necessarie relative al trattamento dei loro dati personali;
  • pieno controllo degli utenti rispetto ai propri dati personali: l’installazione dell’App sul dispositivo di un utente dovrebbe essere volontaria e l’utente dovrebbe poter dare il proprio consenso a ciascuna funzionalità dell’App separatamente. Se vengono utilizzati dati di prossimità, questi devono essere memorizzati sul dispositivo dell’utente e condivisi solo con il consenso dello stesso. Infine, gli utenti devono poter esercitare i loro diritti ai sensi degli artt. 15-23 del GDPR;
  • uso dei dati personali limitato alle finalità perseguite: l’App dovrebbe attenersi al principio di minimizzazione dei dati, in base al quale possano essere trattati solo dati personali rilevanti e limitati alla finalità perseguita. La Commissione UE ritiene che i dati relativi all’ubicazione non siano necessari ai fini della ricerca di contatti e raccomanda di non utilizzare tali dati in questo contesto;
  • limiti rigorosi per la conservazione dei dati personali: i dati personali non dovrebbero essere conservati più a lungo del necessario. I tempi di conservazione dovrebbero basarsi sulla rilevanza medica e sulla durata realistica delle necessarie misure da adottare;
  • sicurezza dei dati personali: i dati personali dovrebbero essere memorizzati su un dispositivo individuale e criptati;
  • esattezza dei dati trattati: garantire l’esattezza dei dati personali trattati non è solo un prerequisito per l’efficienza delle App, ma è anche previsto dall’art.5 comma 1, lett. d) del GDPR. A tal fine, si dovrebbe utilizzare una tecnologia come il Bluetooth per fornire una valutazione più precisa del contatto tra le persone;
  • coinvolgimento delle Autorità nazionali per la protezione dei dati personali: le Autorità di controllo dovrebbero essere pienamente coinvolte e consultate nello sviluppo dell’App e dovrebbero essere incaricate di verificare l’uso corretto di tale App;
  • valutazione d’impatto sulla protezione dei dati (DPIA): secondo la Commissione UE sarà necessario effettuare una DPIA, ai sensi dell’art. 35 del GDPR, posto che il trattamento dei dati personali tramite l’App si qualificherà come un trattamento su larga scala di categorie particolari di dati personali (i.e. dati sanitari).