Lotta al Covid-19. secondo il GPEN, significativo il ruolo svolto dalle autorità di protezione dati

Uno studio internazionale condotto dal GPEN (Global Privacy Enforcement Network, di cui fa parte anche il Garante per la privacy italiano) ha rilevato che tutte le autorità di protezione dati interpellate hanno svolto un ruolo attivo nel valutare le implicazioni per la privacy delle soluzioni e delle iniziative adottate ai fini della lotta al COVID-19. Solo in pochi paesi le autorità hanno fatto ricorso a interventi e misure finalizzate a promuovere una piena osservanza delle norme.

Risulta diffusa la consapevolezza dei rischi per la privacy associati alle soluzioni individuate nei singoli casi, e tutti i titolari, pubblici e privati, hanno fissato paletti ben precisi rispetto alla gestione dei dati personali oggetto di trattamento.

L’analisi delle risposte fornite dalle autorità indica che al centro dell’attenzione sono state le app di tracciamento dei contatti per dispositivi mobili, ma le autorità si sono confrontate anche con altre iniziative quali l’impiego di braccialetti elettronici, i registri vaccinali, e i registri nazionali dei movimenti transfrontalieri.

I risultati dello sweep

In quasi tutti i paesi sono state introdotte app per il tracciamento dei contatti da COVID-19; le app utilizzano la tecnologia Bluetooth per avvertire gli utenti che si sono trovati in prossimità di un altro utente dell’app risultato positivo al coronavirus, o che hanno frequentato un locale nello stesso periodo di un’altra persona risultata positiva al virus.

Le autorità sanitarie hanno condotto, nella maggior parte dei casi, valutazioni di impatto privacy coinvolgendo in fase precoce l’autorità di protezione dati per attenuare i rischi individuati. Le maggiori criticità hanno riguardato, per esempio, la possibilità di identificare le persone sulla base dei dati personali raccolti dalle app di tracciamento dei contatti, e la conservazione dei dati raccolti. Alcune delle raccomandazioni formulate dalle autorità prevedono la conservazione dei dati personali sui dispositivi degli utenti anziché in forma centralizzata su server, e la distruzione dei dati personali raccolti per la lotta al COVID-19 non appena ragionevolmente possibile, una volta che tali dati non risultino più necessari.

Alcune autorità hanno avviato interventi finalizzati a garantire il rispetto delle norme, a seguito dei reclami ricevuti.

Tutte le autorità hanno pubblicato materiali informativi e di sensibilizzazione sui temi legati alla privacy in rapporto alle misure sanitarie di contenimento del COVID-19.

Background

Lo Sweep 2020-21 condotto dal GPEN intende offrire un contributo di natura pratica al fine di comprendere se e in quale misura gli aspetti legati alla privacy siano stati tenuti in conto dai soggetti responsabili a vario titolo delle soluzioni e delle iniziative proposte per la lotta al COVID-19, ma anche quale sia stato il coinvolgimento delle autorità di protezione dati nei singoli paesi, in termini di valutazione delle app di tracciamento dei contatti o di ogni altra iniziativa pubblica o privata assunta in materia.

Lo Sweep ha preso in esame le interazioni fra le autorità di protezione dati e i governi nazionali, attraverso le attività finalizzate a individuare e comprendere i rischi associati alle iniziative di contenimento del COVID-19 e le raccomandazioni formulate al fine di migliorare l’osservanza delle norme in materia di privacy e protezione dei dati. Senza trascurare, ove necessario (per esempio, a seguito di reclami o in rapporto al permanere dei rischi), interventi specifici. Lo Sweep era anche inteso a esplorare quali interventi fossero eventualmente previsti dalle autorità, e quali fossero le misure di sensibilizzazione e informazione messe in campo.

Allo Sweep, oltre al Garante privacy italiano, hanno partecipato quest’anno 20 autorità di protezione dei dati dall’Europa, dalle Americhe, dall’Oceania, dall’Asia e dal Medio Oriente.