fbpx


Il carrello è vuoto

REGOLAMENTAZIONE

cosa prevede il GDPR


Al fine di analizzare i profili in ambito di trattamento di dati personali connessi al monitoraggio sistematico e su larga scala dell'ubicazione e/o dei contatti tra persone fisiche, l’EDPB muove dalla condivisibile premessa che si tratta di attività che possono essere legittimate solo facendo affidamento sull'adozione volontaria da parte degli utenti per ciascuno dei rispettivi scopi.

La realizzazione di applicazioni per il tracciamento dei contatti deve fondarsi sui principi di responsabilizzazione, di limitazione delle finalità di trattamento, di minimizzazione, di protezione dei dati fin dalla progettazione e per impostazione predefinita e di limitazione nella conservazione dei dati. 

In applicazione di tali principi le applicazioni in commento non dovrebbero comportare il tracciamento degli spostamenti individuali ma bensì utilizzare le informazioni di prossimità relativi agli utenti, dovrebbero prevenire la re-identificazione degli utenti e le informazioni raccolte dovrebbero risiedere nell'apparecchiatura terminale dell'utente. 

In considerazione del fatto che il funzionamento di tali applicazioni comporta la memorizzazione e/o l’accesso alle informazioni già archiviate nell’apparecchiature terminali dell’utente, se si tratta di operazioni che sono strettamente necessarie per consentire al fornitore dell’applicazione di rendere il servizio richiesto dall’utente non è necessario il consenso di quest’ultimo. Diversamente per le operazioni di trattamento non strettamente necessarie occorre il consenso dell’utente. 

L’EDPB osserva come il trattamento di dati personali necessario al funzionamento delle applicazioni in esame potrebbe fondarsi altresì sulla necessità di eseguire un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento ai sensi dell’art. 6, paragrafo 1, lett. e) del GDPR, qualora il servizio sia fornito da un soggetto pubblico che operi sulla base di un mandato conferito dalla legge e conformemente ai requisiti fissati in tale legge.

L’utilizzo di applicazioni di tracciamento per combattere la diffusione del COVID-19 potrebbe comportare altresì il trattamento di dati personali relativi alla salute che come tali sono soggetti alle particolari garanzie di cui all’art. 9 del GDPR. In tale contesto, il trattamento di tale tipologia di dati personali potrebbe essere consentito in quanto necessario per motivi di interesse pubblico nel settore della sanità pubblica alle condizioni di cui all’art. 9, para. 2, lett. i) del GDPR, ovvero per finalità di assistenza sanitaria ai sensi dell’art. 9, para. 2, lett. h) del GDPR ovvero potrebbe basarsi sul consenso esplicito dell’interessato come disposto dall’art. 9, para. 2, lett. a) del GDPR.

L’utilizzo di applicazioni per il tracciamento dei contatti seppur realizzato nel rispetto dei principi sopra richiamati non potrà sostituire, secondo quanto affermato dall’EDPB, il tracciamento manuale dei contatti effettuato da personale sanitario pubblico qualificato. Sono infatti tali soggetti che potranno stabilire con quali probabilità contatti ravvicinati diano luogo ad una trasmissione del virus. Inoltre le istruzioni operative ricevute da un soggetto che risulta essere stato in contatto con individui positivi al COVID-19 non dovrebbero basarsi unicamente su un trattamento automatizzato. 

Peraltro l’EDPB ritiene che: gli algoritmi utilizzati dalle applicazioni dovrebbero essere verificabili e soggetti a riesame periodico da parte di esperti indipendenti, il codice sorgente dovrebbe essere reso pubblico e i dati e le analisi successive dovrebbero poter essere oggetto di correzione.

Prima dell’implementazione delle applicazioni di tracciamento in parola, tenuto conto del rischio elevato per i diritti e le libertà degli individui che l’utilizzo delle medesime comporta, il titolare del trattamento deve procedere ad una valutazione d’impatto sulla protezione dei dati (“DPIA”) ai sensi dell’art. 35 del GDPR. La pubblicazione dei risultati della DPIA è altamente consigliata dall’EPDB.

Infine, l’EDPB indica i requisiti funzionali per le applicazioni per il tracciamento dei contatti con precipuo riferimento agli identificatori utilizzati, alla progettazione secondo un approccio centralizzato ovvero decentrato (quest’ultimo maggiormente conforme al principio di minimizzazione), alle informazioni che devono essere raccolte dai server coinvolti nel sistema di tracciamento, alle tecniche di crittografia da utilizzare per garantire la conservazione sicura dei dati memorizzati nei server e nelle applicazioni ed alle tecniche di segnalazione nell’applicazione di utenti infetti da COVID-19.

L’EDPB ha adottato anche una Guida per le applicazioni di tracciamento dei contatti, allegata alle Linee-guida 04/2020. Questa Guida vuole fornire indicazioni generali ai progettisti e agli sviluppatori delle applicazioni di tracciamento, sottolineando che ogni valutazione deve essere compiuta caso per caso.

To counter the spread of COVID-19, we offer innovative solutions for access control using facial recognition, body temperature measurement and contact tracking technologies in full respect of privacy. IntellyScan® is a registered trademark.

Follow Us