EDPB su interoperabilità delle app di tracciamento e su riapertura Schengen

Nel corso della 32a sessione plenaria, il Comitato Europeo per la Protezione dei Dati Personali – EDPB ha adottato due rilevanti statement su temi che riguardano il ritorno alla circolazione delle persone a seguito della minore diffusione pandemica nei paesi UE. Il Board ha rilasciato:

• una dichiarazione sull’interoperabilità delle applicazioni per il contact tracing;
• una dichiarazione sull’apertura delle frontiere in riferimento ai diritti di protezione dei dati.

Lo Statement on the data protection impact of the interoperability of contact tracing apps tiene conto di quanto già espresso dal Comitato nelle linee guida EDPB 04/2020 dell’aprile scorso sull’uso dei dati di localizzazione e degli strumenti di ricerca di contatti nel contesto dell’epidemia COVID-19. La nuova dichiarazione offre un’analisi più approfondita su alcuni aspetti chiave, tra cui la trasparenza, la base giuridica, il controllo, i diritti degli interessati, la conservazione e la minimizzazione dei dati, la sicurezza delle informazioni e l’accuratezza dei dati nel contesto della creazione di una rete interoperabile di applicazioni. Trattasi di principi che, secondo il Board, devono essere considerati in aggiunta a quelli evidenziati nelle Linee guida EDPB 04/2020.

L’EDPB sottolinea che la condivisione di dati relativi a individui che sono stati diagnosticati o testati positivamente con tali applicazioni interoperabili dovrebbe essere attivata solo da un’azione volontaria dell’utente. Dare informazioni e controllo agli interessati aumenterà la loro fiducia nelle soluzioni e nella loro potenziale adozione. L’obiettivo dell’interoperabilità non dovrebbe essere utilizzato come argomento per estendere la raccolta di dati personali al di là di quanto necessario.

Inoltre, le applicazioni per la ricerca di contatti devono far parte di una strategia globale di sanità pubblica per combattere la pandemia, come i test e la successiva ricerca manuale di contatti per migliorare l’efficacia delle misure eseguite. Garantire l’interoperabilità non solo è tecnicamente impegnativo e talvolta impossibile senza compromessi sproporzionati, ma comporta anche un potenziale aumento del rischio di protezione dei dati. Pertanto, i responsabili del trattamento devono garantire che le misure siano efficaci e proporzionate e devono valutare se un’alternativa meno intrusiva può raggiungere lo stesso scopo.

Nello Statement on the processing of personal data in the context of reopening of borders following the COVID-19 outbreak  si affronta della riapertura delle frontiere Schengen. Le misure che consentono una riapertura sicura delle frontiere attualmente previste o attuate dagli Stati membri comprendono test per la COVID-19, la richiesta di certificati rilasciati da professionisti del settore sanitario e l’uso di un’applicazione volontaria per la ricerca di contatti. La maggior parte delle misure comporta il trattamento di dati personali.

L’EDPB, sul punto, ricorda che:

• la legislazione sulla protezione dei dati rimane applicabile e consente una risposta efficace alla pandemia, proteggendo al tempo stesso i diritti e le libertà fondamentali;
• il trattamento dei dati personali deve essere necessario e proporzionato;
• il livello di protezione deve essere coerente in tutto il perimetro SEE.

Nella dichiarazione, l’EDPB esorta gli Stati membri ad adottare un approccio comune europeo nel decidere quale trattamento dei dati personali sia necessario in questo contesto.

La dichiarazione affronta anche i principi del GDPR ai quali gli Stati membri devono prestare particolare attenzione quando trattano i dati personali nel contesto della riapertura delle frontiere. Tra questi figurano la legalità, l’equità e la trasparenza, la limitazione delle finalità, la riduzione al minimo dei dati, la limitazione della conservazione, la sicurezza dei dati e la protezione dei dati in base alla loro concezione e per difetto. Inoltre, la decisione di consentire l’ingresso in un paese non dovrebbe basarsi solo sulle tecnologie automatizzate di decisione individuale. In ogni caso, tali decisioni dovrebbero essere soggette ad adeguate garanzie, che dovrebbero includere informazioni specifiche per la persona interessata e il diritto di ottenere l’intervento umano, di esprimere il suo punto di vista, di ottenere una spiegazione circa la decisione raggiunta dopo tale valutazione e di impugnare la decisione. Le misure automatizzate di decisione individuale non dovrebbero, infine, applicarsi ai minori.