L’emergenza sanitaria relativa alla pandemia da COVID19 sta suscitando particolare attenzione in ambito privacy anche con riguardo ad eventuali iniziative relative allo sviluppo di specifiche app.
Oggi il Garante europeo ha effettuato un intervento dal titolo “EU Digital Solidarity: a call for a pan-European approach against the pandemic”.
In particolare, nell’intervento dell’EDPS si afferma
The GDPR clearly states that the processing of personal data should be designed to serve mankind (it was the favourite quote from GDPR for my predecessor Giovanni Buttarelli)
“Il GDPR afferma chiaramente che il trattamento dei dati personali deve essere finalizzato al servizio dell’umanità (era la citazione preferita dal GDPR per il mio predecessore Giovanni Buttarelli)”. Nello stesso intervento l’EDPS aggiunge
the European Data Protection Supervisor calls for a pan-European model “COVID-19 mobile application”, coordinated at EU level. Ideally, coordination with the World Health Organisation should also take place, to ensure data protection by design globally from the start
“Il Garante europeo della protezione dei dati chiede un modello paneuropeo “COVID-19 mobile application”, coordinato a livello UE. L’ideale sarebbe anche il coordinamento con l’Organizzazione Mondiale della Sanità, per garantire fin dall’inizio la protezione dei dati a livello globale”.
A parte le posizioni da me già espresse in altri contributi, questo intervento offre l’opportunità di ulteriori precisazioni. Il tema delle c.d. “tracking apps” va affrontato con estrema cautela ed equilibrio, considerando che le soluzioni tecnologiche che si intenda adottare per fronteggiare la pandemia non devono compromettere la privacy.
È necessario che si valuti preventivamente quale possa essere l’impatto dello sviluppo di soluzioni nel corretto bilanciamento tra diritti fondamentali, valore dell’individuo, dignità umana e esigenze pubbliche optando comunque per tecnologie anche eticamente sostenibili. Ad evitare inutili e sterili fraintendimenti, ciò non deve far pensare ad una posizione che sia, per principio, contraria allo sviluppo tecnologico. Al contrario ritengo che vadano favorite innovazione e sviluppo di soluzioni mediante l’utilizzo delle tecnologie emergenti.
Tuttavia, è evidente che nel citato bilanciamento specifiche scelte tecnologiche non devono prevalere rispetto alla protezione dei dati personali e della privacy; non si deve invertire l’approccio. La soluzione tecnologica da adottare deve comunque rispettare l’impianto normativo esistente secondo il principio di neutralità della tecnologia rispetto alle norme in materia di protezione dei dati personali e privacy. Infatti, un risultato sarà efficace quando, appunto, risulterà neutro rispetto all’impianto normativo in materia; del resto, lo stesso GDPR - né altre norme oggetto di convenzioni o trattati - non fornisce alcuna indicazione riguardo a specifiche tecnologie. Vanno, pertanto, considerati fondamentali i principi enunciati nel GDPR all’art. 5 e all’art. 25.
Eventuali soluzioni tecnologiche prima del concreto sviluppo dovranno aver superato, già in sede di progettazione, le opportune valutazioni relative alla conformità con il principio ex art. 25 GDPR (Data protection by design and by default).
Inoltre, la stessa soluzione tecnologica dovrà garantire che siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento per impostazione predefinita. Questi principi si attuano, secondo le previsioni del GDPR, mettendo in atto misure tecniche e organizzative adeguate.
L’approccio, quindi, deve muovere da un processo che è logicamente antecedente rispetto alla soluzione che resta neutra.
In conclusione, l’approccio corretto deve essere necessariamente quello di avere sempre il focus sulle norme e non centralizzare sulla soluzione tecnologica o sulla scelta di quale di esse sia quella più idonea.