Commissione UE: un approccio europeo per le app nell’ambito del COVID-19

In data 8 aprile 2020, la Commissione europea (“Commissione UE“) ha pubblicato una raccomandazione on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data al fine di sviluppare un approccio comune europeo rispetto all’utilizzo di applicazioni mobili e di dati di localizzazione da dispositivi mobili nell’ambito dell’emergenza da COVID-19 (“Raccomandazione”).

A tal fine, la Raccomandazione definisce un processo attraverso il quale gli Stati membri dell’UE (“Stati Membri”) possono adottare diverse misure, con particolare attenzione alle seguenti priorità:

  • un approccio europeo e coordinato all’uso di applicazioni mobili che consentano ai cittadini di adottare misure di social distancing efficaci e più mirate, per contribuire a limitare la propagazione del COVID-19;
  • un approccio comune all’utilizzo di dati di localizzazione da dispositivi mobili, in forma anonima e aggregata per (i) modellare e prevedere l’evoluzione del COVID-19; (ii) monitorare l’efficacia delle misure di contenimento della diffusione del COVID-19, come il social distancing e il confinamento; e (3) contribuire a sviluppare una strategia coordinata per il futuro, compreso l’alleggerimento delle misure di contenimento.

Introduzione

Gli strumenti digitali sono cruciali al fine di superare l’attuale crisi sanitaria. Sono state sviluppate diverse applicazioni mobili sul COVID-19, alcune da parte delle autorità pubbliche, e ci sono state richieste da parte degli Stati Membri e del settore privato per un coordinamento a livello europeo.

La Raccomandazione sottolinea la necessità di sviluppare un approccio comune europeo sull’uso di queste applicazioni e dei dati di localizzazione da dispositivi mobili, sia per evitare la frammentazione del mercato interno europeo sia per garantire che le applicazioni e i dati siano conformi ai requisiti della vigente normativa europea in materia di protezione dei dati.

In particolare, tale approccio dovrebbe:

  • limitare rigorosamente il trattamento dei dati personali ai fini della lotta contro COVID-19 e garantire che i dati personali non siano utilizzati per alti scopi, quali finalità commerciali;
  • garantire che il trattamento non vada al di là di quanto strettamente necessario, anche attraverso periodiche rivalutazioni rispetto alla necessità di trattare tali dati personali;
  • adottare misure per garantire che, una volta che il trattamento non sia più strettamente necessario, i dati personali in questione siano cancellati, a meno che, su parere delle autorità per la protezione dei dati europee, prevalga il perseguimento dell’interesse pubblico rispetto all’impatto sui diritti in questione, fatte salve adeguate garanzie.

Sull’approccio europeo per le applicazioni mobili sul COVID-19

Nella Raccomandazione, la Commissione UE sottolinea come sia prioritario un approccio europeo per le applicazioni mobili sul COVID-19, che sarà sviluppato congiuntamente dagli Stati membri e dalla Commissione UE medesima, in consultazione con il Comitato europeo per la protezione dei dati e il Garante privacy europeo.

Questo approccio dovrebbe includere:

  • ulteriori informazioni per garantire l’efficacia degli strumenti dal punto di vista medico e tecnico;
  • misure per evitare la proliferazione di applicazioni incompatibili con l’applicabile normativa europea;
  • meccanismi di governance che le autorità sanitarie pubbliche europee possono applicare, in collaborazione con il Centro europeo per il controllo e la prevenzione delle malattie (“ECDC”);
  • individuazione delle best practices e dei i meccanismi per lo scambio di informazioni sul funzionamento delle applicazioni; e
  • la condivisione dei dati con gli enti pubblici epidemiologici e gli istituti di ricerca sulla salute pubblica, inclusa la divulgazione di dati aggregati all’ECDC.

La Raccomandazione evidenzia altresì dei principi specifici che dovrebbero essere rispettati in relazione alle applicazioni mobili di allarme e prevenzione del COVID-19, tra cui:

  • garantire il rispetto dei diritti fondamentali e la prevenzione della stigmatizzazione;
  • prediligere le misure meno intrusive ma efficaci (i.e. l’utilizzo di dati anonimi e aggregati, ove possibile);
  • adottare requisiti tecnici relativi alle tecnologie appropriate (ad esempio, Bluetooth Low Energy) per stabilire la prossimità del dispositivo, la crittografia, la sicurezza dei dati, l’archiviazione dei dati sul dispositivo mobile e il potenziale accesso da parte delle autorità sanitarie;
  • implementare requisiti efficaci di sicurezza informatica per proteggere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati;
  • cancellare i dati personali ottenuti attraverso queste misure al più tardi quando la pandemia viene dichiarata sotto controllo;
  • prevedere misure adeguate per avvertire coloro che sono stati a stretto contatto con la persona infetta (che devono rimanere anonimi); e
  • requisiti di trasparenza rispetto alle applicazioni.

Sull’approccio europeo per l’utilizzo di dati di localizzazione da dispositivi mobili

Secondo la Commissione UE, la seconda priorità è lo sviluppo di un approccio comune all’utilizzo di dati di localizzazione da dispositivi mobili, purché in forma anonima e aggregata, al fine di prevedere la diffusione del COVID-19, ottimizzare le misure di contenimento e preparare le c.d. “exit strategies” man mano che l’emergenza diminuisce. Questo approccio comune dovrebbe prevedere, tra l’altro:

  • consigli alle autorità pubbliche per chiedere agli operatori di telecomunicazione di chiarire la loro metodologia per anonimizzare i dati di localizzazione;
  • misure di sicurezza per prevenire la re-identificazione;
  • cancellazione dei dati entro 90 giorni, o comunque non oltre il momento in cui l’emergenza da COVID-19 è considerata sotto controllo;
  • limitazione del trattamento dei dati di localizzazione alle finalità pertinenti e necessarie, vietando la condivisione dei dati medesimi con terze parti.

Conclusioni

L’approccio comune europeo per le applicazioni mobili sul COVID-19 sarà pubblicato il 15 aprile 2020 e sarà poi integrato da ulteriori orientamenti della Commissione UE sulle implicazioni per la privacy e la protezione dei dati in relazione alle applicazioni mobili sul COVID-19.

Si tratta di un progetto che va in parallelo e che necessiterà di un coordinamento con le misure intraprese dai vari Stati Membri, alcuni dei quali stanno già utilizzando un’applicazione mobile nell’ambito dell’emergenza da COVID-19, come ad esempio la Polonia. A tal riguardo, in Italia, Paola Pisano, Ministro dell’Innovazione, ha istituito una task force che sta valutando, tra le diverse proposte pervenute, l’adozione di un’applicazione mobile italiana per il tracciamento dei contatti e per la telemedicina per gestire il COVID-19.

Next steps?

Entro il 31 maggio 2020, gli Stati Membri dovranno comunicare alla Commissione UE le azioni intraprese in conformità alla Raccomandazione. Essi dovrebbero rendere tali misure accessibili agli altri Stati Membri e alla Commissione UE per permettere la revisione di tali misure.

A tal riguardo, gli Stati Membri e la Commissione UE potranno presentare osservazioni sulle suddette misure.

A partire da giugno 2020, la Commissione UE valuterà i progressi compiuti, pubblicherà relazioni periodiche e potrà formulare ulteriori raccomandazioni agli Stati Membri, anche rispetto alla graduale eliminazione delle misure non più necessarie.