Commento sulla Raccomandazione della Commissione UE dell’8 aprile 2020

Commento sulla Raccomandazione della Commissione UE dell’8 aprile 2020

Lo scorso 8 aprile la Commissione UE ha pubblicato una Raccomandazione relativa ai principi da seguire nella redazione delle linee guida da utilizzare nello sviluppo delle nuove tecnologie digitali che stanno sorgendo nei diversi Stati Membri per contrastare l’emergenza da Covid-19 (“toolbox”).
[Comment on the EU Commission Recommendation of 8 april 2020] On 8 April last, the EU Commission published a Recommendation on the principles to be followed in drawing up the guidelines to be used in the development of the new digital technologies that are emerging in the different Member States to counter the Covid-19 emergency (“toolbox”).

1. Introduzione e contesto attuale

Le nuove tecnologie avranno il ruolo comune di aiutare i governi degli Stati membri nella gestione ed organizzazione della vita sociale durante la delicata fase transitoria che ci troveremo ad affrontare nei prossimi mesi – la rinominata “Fase 2” – e che durerà verosimilmente fino alla scoperta, produzione e distribuzione del vaccino per il Covid-19. Questa fase sarà particolarmente importante e delicata perché porterà, per motivi lavorativi e di andamento sociale e produttivo, i cittadini europei ad uscire dall’isolamento forzato, al quale sono stati costretti per il contenimento del virus, pur sottoponendo gli stessi ad un rischio inevitabile di nuovo contagio. Pertanto, prendendo ad esempio i paesi asiatici che già hanno sperimentato l’ausilio di tali strumenti, ogni paese dell’UE ha iniziato ad individuare applicazioni e software capaci di acquisire i dati sanitari dei pazienti e di interconnetterli tra loro al fine di tenere sotto controllo le interazioni sociali tra individui. Con tali tools sarà possibile, quindi, individuare i casi positivi al Covid-19, controllare le interazioni tra soggetti e comunicare, a coloro che hanno avuto contatti, la positività delle persone con cui hanno interagito. In questo modo si cercherà – mutatis mutandis – di isolare tutti i casi positivi al fine di ricreare una sorta di barriera immunologica digitale simile a quella creata da un vaccino, fino alla scoperta dello stesso[1].

2. Profili in materia di “privacy”

Tuttavia, seppur l’ausilio di tali tecnologie sia un’ottima risposta alle esigenze della popolazione europea e mondiale, vi sono diversi profili normativi e di tutela del cittadino che non possono essere trascurati e che dovranno necessariamente essere analizzati al fine di evitare un abuso ed elusione dei diritti naturali e costituzionali dell’individuo. A tal riguardo, non è passato inosservato neppure al legislatore europeo il rischio di violazione della normativa sulla privacy come disciplinata dal Regolamento UE 679/2016[2].

Su questi problemi specifici, la Commissione UE ha dichiarato che il toolbox dovrà inevitabilmente:

  1. limitare in maniera rigorosa il trattamento dei dati personali ai fini della lotta contro la crisi del Covid-19 e garantire che i dati personali non siano utilizzati per altri scopi quali l’applicazione della legge o scopi commerciali;
  2. garantire un riesame periodico della continua necessità di trattare i dati personali ai fini della lotta contro la crisi del Covid-19 e stabilire adeguate clausole di sospensione, in modo da garantire che il trattamento non si estenda al di là di quanto strettamente necessario per tali scopi;
  3. adottare misure per garantire che, una volta che il trattamento non sarà più strettamente necessario, il trattamento venga effettivamente terminato e i dati personali in questione siano irrimediabilmente distrutti, a meno che, su parere dei consigli e delle autorità di protezione dei dati, il loro valore scientifico nel servire l’interesse pubblico superi l’impatto sui diritti in questione, previa salvaguardia appropriata.

In questo modo la Commissione Europea, riprendendo i principi di responsabilizzazione, proporzionalità, minimizzazione, già espressi nel GDPR, ha indicato i limiti entro i quali potranno operare le application in questione ed ha circoscritto le tempistiche di conservazione di utilizzo dei dati raccolti.

Di conseguenza, in primo luogo, la Commissione Europea ha indicato i principi da rispettare nello sviluppo e pubblicazione di tali applicazioni digitali, ponendo particolare attenzione alle possibili funzioni che queste svolgeranno. In secondo luogo, in relazione ai novelli principi di privacy by design e privacy by default, espressi dal GDPR, la Commissione ha considerato che il toolbox, per garantire un livello di contenimento del rischio e sicurezza nella conservazione dei dati, finalizzato ad evitare od a contenere i danni provocati da un eventuale violazione dei dati, debba prevedere un sistema di anonimizzazione e di aggregazione dei dati.

Innanzitutto, riguardo l’uso di applicazioni mobili di allarme e prevenzione Covid-19, la Raccomandazione riporta che debbano essere osservati principi concernenti la tutela ed il rispetto dei diritti fondamentali e la prevenzione della stigmatizzazione, in particolare le norme applicabili che disciplinano la protezione dei dati personali e la riservatezza delle comunicazioni; inoltre, dovranno essere preferite le misure meno intrusive ma efficaci, compreso l’uso di dati di prossimità e la prevenzione del trattamento dei dati relativi all’ubicazione o agli spostamenti delle persone, nonché l’uso di dati anonimi e aggregati, ove possibile; dovranno, poi, essere favoriti requisiti tecnici appropriati per stabilire la prossimità del dispositivo (ad esempio, Bluetooth Low Energy), la cifratura, la sicurezza dei dati, l’archiviazione dei dati sul dispositivo mobile, l’eventuale accesso da parte delle autorità sanitarie e l’archiviazione dei dati; saranno, dappiù, necessari requisiti efficaci di sicurezza informatica per proteggere la disponibilità, l’integrità dell’autenticità e la riservatezza dei dati; dovranno, altresì, essere decretate la scadenza delle misure adottate e la cancellazione dei dati personali ottenuti attraverso tali misure, al più tardi, quando la pandemia verrà dichiarata sotto controllo; nonché, il caricamento di dati di prossimità, in caso di infezione confermata e di metodi adeguati per avvertire le persone, che sono state a stretto contatto con la persona infetta, devono rimanere anonime; ed infine, dovranno essere adottati requisiti di trasparenza sulle impostazioni di riservatezza per garantire la fiducia nelle applicazioni.

3. L’uso dei dati sulla mobilità

Secondo quanto indicato nella Raccomandazione, poi, un’ulteriore priorità da non trascurare nelle linee guida riguarda l’approccio comune che dovranno assumere gli Stati membri per l’uso di dati sulla mobilità anonimi e aggregati necessari per:

  1. la mappatura e la previsione della diffusione della malattia e dell’impatto sulle esigenze dei sistemi sanitari degli Stati membri, come ad esempio, ma non solo, le unità di terapia intensiva negli ospedali e i dispositivi di protezione individuale; e
  2. ottimizzazione dell’efficacia delle misure per contenere la diffusione del virus Covid-19 e per affrontarne gli effetti, compreso il confinamento (e il “deconfinamento”), non per ottenere e utilizzare tali dati.

Ciò soprattutto, con riguardo alle finalità di trattamento e di conservazione dei dati da parte delle società proprietarie delle application.

Tuttavia, oltre quanto sopra ripreso, in materia di tutela della privacy, vi è un’altra tematica di centrale interesse che viene ripresa dalla Commissione UE nella Raccomandazione: la co-amministrazione digitale transfrontaliera tra enti ospedalieri europei. A tal proposito, riprendendo l’art. 14 della Direttiva 2011/24/EU, riguardante l’applicazione dei diritti dei pazienti nell’assistenza sanitaria transfrontaliera, e la Decisione 2019/1765 del 22 ottobre 2019, inerente le regole per l’istituzione, la gestione e il funzionamento della rete di autorità nazionali responsabili dell’eHealth, la Commissione ha dichiarato come di primaria necessità l’istituzione di un network digitale per la sanità, che vede partecipi tutte gli enti sanitari europei, incluse le società creatrici delle application per la gestione dell’emergenza Covid-19[3].

Nello sviluppare questo approccio, gli Stati membri (rappresentati nella rete sanitaria, che si confronteranno con il Health Security Committee, la rete epidemiologica dell’ECDC e, se necessario, ENISA), dovrebbero scambiare le migliori pratiche sull’uso dei dati sulla mobilità, condividere e confrontare la modellizzazione e le previsioni della diffusione del virus e monitorare l’impatto delle misure per limitarne la diffusione[4].

4. Conclusioni

Alla luce di quanto analizzato, si deduce che nella costruzione e regolamentazione di una rete eHealth tra Stati Membri dovranno rispettarsi le norme sulla tutela della riservatezza dei dati, pur mantenendo uno stato di condivisione delle informazioni finalizzato alla cura del Covid-19. Per riuscire in questo progetto di primaria importanza per il futuro dell’Europa, sarà di massima rilevanza emanare delle linee guida che includano:

  1. l’uso appropriato di dati di mobilità anonimi e aggregati per la modellizzazione per capire come il virus si diffonderà e la modellizzazione degli effetti economici della crisi;
  2. consulenza alle autorità pubbliche per chiedere ai fornitori di dati la metodologia che hanno applicato per rendere anonimi i dati e per effettuare un test di plausibilità della metodologia applicata;
  3. misure di salvaguardia da attuare per prevenire la de-anonimizzazione ed evitare la ri-identificazione delle persone, comprese le garanzie di adeguati livelli di sicurezza dei dati e delle tecnologie dell’informazione e la valutazione dei rischi di ri-identificazione quando si correlano i dati resi anonimi con altri dati;
  4. la cancellazione immediata e irreversibile di tutti i dati trattati accidentalmente in grado di identificare le persone e di informare i fornitori dei dati e le autorità competenti del trattamento e della cancellazione accidentale;
  5. cancellazione dei dati in linea di principio dopo un periodo di 90 giorni, o comunque non oltre il momento in cui la pandemia è dichiarata sotto controllo; e
  6. limitare il trattamento dei dati esclusivamente per gli scopi sopra indicati ed escludere la condivisione dei dati con terzi[5].

Nelle prossime settimane si attende dunque un’intensa attività di cooperazione tra istituzioni e Stati membri nel contesto del eHealth Network, anche in vista della presentazione dei report che verranno presentati dai governi nazionali e della relativa valutazione della Commissione sui progressi compiuti a livello europeo prevista per il prossimo giugno[6].

  1. Raccomandazione della Commissione UE dell’8.4.2020 su un comune toolbox dell’Unione per l’uso della tecnologia e dei dati per combattere e uscire dalla crisi COVID-19, in particolare per quanto riguarda le applicazioni mobili e l’utilizzo di dati anonimi sulla mobilità: «PURPOSE OF THIS RECOMMENDATION».
  2. Raccomandazione della Commissione UE dell’8.4.2020 su un comune toolbox dell’Unione per l’uso della tecnologia e dei dati per combattere e uscire dalla crisi COVID-19, in particolare per quanto riguarda le applicazioni mobili e l’utilizzo di dati anonimi sulla mobilità: «(10) Paramount throughout the process should be respect for all fundamental rights, notably privacy as well as data protection, the prevention of surveillance and stigmatization».
  3. Raccomandazione della Commissione UE dell’8.4.2020 su un comune toolbox dell’Unione per l’uso della tecnologia e dei dati per combattere e uscire dalla crisi COVID-19, in particolare per quanto riguarda le applicazioni mobili e l’utilizzo di dati anonimi sulla mobilità: «(13) The first priority for the Toolbox should be a pan-European approach for COVID-19 mobile applications, to be developed together by Member States and the Commission, by 15 April 20.».
  4. Raccomandazione della Commissione UE dell’8.4.2020 su un comune toolbox dell’Unione per l’uso della tecnologia e dei dati per combattere e uscire dalla crisi COVID-19, in particolare per quanto riguarda le applicazioni mobili e l’utilizzo di dati anonimi sulla mobilità: «(19) In developing this approach, Member States (represented in the eHealth Network, which will coordinate with the Health Security Committee, the Epidemiological Network the ECDC and, if necessary, ENISA), should exchange best practices on the use of mobility data, share and compare modelling and predictions of the diffusion of the virus, and monitor the impact of measures to limit its diffusion.».
  5. Raccomandazione della Commissione UE dell’8.4.2020 su un comune toolbox dell’Unione per l’uso della tecnologia e dei dati per combattere e uscire dalla crisi COVID-19, in particolare per quanto riguarda le applicazioni mobili e l’utilizzo di dati anonimi sulla mobilità: «(20) This deliverable should include: (1) the appropriate use of anonymous and aggregated mobility data for modelling to understand how the virus will spread and modelling of the economic effects of the crisis; (2) advice to public authorities on asking providers of the data for the methodology that they have applied for anonymising the data and to carry out a plausibility test of the methodology applied; (3) safeguards to be put in pla ce to prevent de-anonymisation and avoid re-identifications of individuals, including guarantees of adequate levels of data and IT security, and assessment of re-identification risks when correlating the anonymised data with other data; (4) immediate and irreversible deletion of all accidentally processed data capable of identifying individuals and notifying the providers of the data as well as competent authorities of the accidental processing and deletion; (5) deletion of the data in principle after a period of 90 days, or in any event no later than when the pandemic is declared under control; and (6) restricting processing of the data exclusively for the purposes stated above and exclude sharing of the data with any third party.».
  6. Raccomandazione della Commissione UE dell’8.4.2020 su un comune toolbox dell’Unione per l’uso della tecnologia e dei dati per combattere e uscire dalla crisi COVID-19, in particolare per quanto riguarda le applicazioni mobili e l’utilizzo di dati anonimi sulla mobilità: «(22) Member States should, by 31 May 2020, report to the Commission on the actions taken pursuant to this Recommendation. Such reports should continue on regular basis for as long as the COVID-19 crisis persists.».

Vincenzo Terracciano

Dottore in Giurisprudenza nell'Università degli Studi di Milano