Documento senza titolo
Aspettando Immuni, il Toolbox europeo fa chiarezza sui requisiti essenziali delle app di contact tracing


21/04/2020

IL CONTACT TRACING. Uno dei temi più discussi in merito al Coronavirus riguarda le possibili soluzioni tecnologiche per il monitoraggio e il contenimento dell’epidemia. Il ‘Common EU Toolbox for Member States’, redatto dall’eHealth Network con il supporto della Commissione, segna in tal senso il percorso verso una definizione comune delle regole di funzionamento delle app di contact tracing, tenendo conto di aspetti fondamentali quali l’interoperabilità a livello europeo e la minimizzazione del trattamento di dati personali. 



GLI OBIETTIVI E I RISCHI DEL TOOLBOX. Le app in questione, si legge nel documento, servono ad avvertire l’utente nel caso in cui egli si sia trovato per una certa quantità di tempo nelle vicinanze di un individuo positivo al Covid-19. Ma non è tutto qui. L’obiettivo del contact tracing è infatti di più ampia portata: agevolare le Autorità nelle operazioni di rapida identificazione dei soggetti affetti dal virus, al fine sia di velocizzare il loro isolamento in quarantena, sia di utilizzare i dati in forma anonima e aggregata per sviluppare schemi del contagio e semplificare così le decisioni di contenimento a livello locale.             

In fase di sviluppo, il contact tracing automatizzato richiede però alcuni accorgimenti per la privacy e per le libertà dei cittadini/utenti. In questo senso, il Toolbox rappresenta una cornice normativa comune che, tenendo conto degli scenari specifici del contagio, disciplina gli elementi chiave dello sviluppo delle app.



Fra questi elementi: il framework epidemiologico, le funzionalità tecniche, la cybersecurity, le misure atte a garantire accessibilità ed inclusività, il ruolo delle autorità sanitarie nazionali nell’approvazione delle app e nell’accesso ai dati generati dalle app, l’interoperabilità in tutto il territorio UE, gli scambi di informazioni tra Stati europei, la valutazione delle performance delle app e la prevenzione della diffusione di app non ufficiali.

GLI OTTO REQUISITI ESSENZIALI DEL TOOLBOX. Tra i requisiti disposti dal lawmaker europeo trovano collocazione, essenzialmente, le risposte agli interrogativi e ai rischi privacy che un’app di tracciamento sanitario può comportare. Il Toolbox dispone dunque che le app:              

1. dovrebbero essere perfettamente conformi alla normativa UE in materia di data protection;        

2. dovrebbero essere sviluppate in stretta collaborazione con le autorità sanitarie nazionali, le quali peraltro avranno il compito di approvare le app;             

3. dovrebbero essere installate volontariamente, e rimosse appena non risultino più necessarie;        

4. dovrebbero basarsi sulle più recenti soluzioni tecnologiche privacy, probabilmente sulla tecnologia di prossimità Bluetooth, e senza consentire il monitoraggio della posizione dell’utente;        

5. dovrebbero utilizzare dati anonimizzati, capaci cioè di avvisare l’utente nel caso in cui si fosse trovato in prossimità di una persona infetta, ma senza rivelare l’identità di quest’ultima;     

6. dovrebbero garantire l’interoperabilità a livello europeo;       

7. dovrebbero fondarsi su una base epidemiologica accettata e includere le best practices in materia di sicurezza informatica e accessibilità;

8. dovrebbero funzionare in maniera sicura ed efficace.

LA ‘GUIDANCE PRIVACY’. A rimarcare la centralità della privacy degli utenti nello sviluppo e nell’implementazione delle app di contact tracing, la Commissione UE ha pubblicato – a completamento del Toolbox – anche un’apposita “Guidance to ensure full data protection standards of apps fighting the pandemic”.         

Mentre il Toolbox si concentra soprattutto sul funzionamento tecnologico delle app, la Guidance si focalizza in maniera più specifica sui principi della protezione dei dati personali. Il documento stabilisce, in primo luogo, la responsabilità delle autorità sanitarie nazionali per la conformità alla normativa privacy. Inoltre, trovano ulteriore specificazione alcune delle principali regole del GDPR: tra queste, è possibile ricordare i principi del pieno controllo dei dati da parte dell’utente, della minimizzazione dei dati personali (sia per la quantità dei dati raccolti, sia per le finalità del loro trattamento), della limitazione del tempo di conservazione dei dati, della sicurezza dei dati mediante criptazione, dell’accuratezza dei dati tracciati, del coinvolgimento delle Autorità garanti nazionali.           

I PROSSIMI PASSI. Da ultimo, la Commissione ricorda che il Toolbox, pur rappresentando un insieme di best practices relative alle app di contact tracing, non è un punto di arrivo, anzi fa parte di un processo in corso che consentirà agli Stati europei di collaborare al fine di perfezionare l’uso degli strumenti atti a fronteggiare al meglio l’epidemia.         

La Commissione detta dunque le tempistiche per i prossimi mesi: entro il 30 aprile le autorità sanitarie nazionali saranno chiamate a fornire una prima valutazione delle app; entro il 31 maggio ciascuno Stato europeo dovrebbe riferire in merito alle misure scelte e renderle conoscibili alla Commissione per aprire una fase di revisione; infine, a partire da giugno e per tutta la durata dell’epidemia, la Commissione valuterà i progressi compiuti e pubblicherà relazioni periodiche, raccomandando l’implementazione di ulteriori misure o l’eliminazione di strumenti non più necessari.   

IMMUNI. In Italia, intanto, la scelta dell’app di contact tracing – necessaria per la partenza della cd. “Fase 2” – è ricaduta su ‘Immuni’, sviluppata dalla società Bending Spoons. Tuttavia, posto il rispetto dei principi europei della volontarietà dell’uso e del funzionamento mediante tecnologia Bluetooth, alcune scelte di policy relative all’app, come ad esempio le modalità di anonimizzazione dei dati, sembrano ancora lasciare spazio a possibili ulteriori chiarimenti.

© Graziadei Studio Legale

Ulteriori informazioni: link alla pagina del sito ufficiale della Commissione UE dedicata al Toolbox per il contact tracing

Disclaimer & Privacy
P.IVA 07340781009