EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32020H0518

Raccomandazione (UE) 2020/518 della Commissione dell'8 aprile 2020 relativa a un pacchetto di strumenti comuni dell'Unione per l'uso della tecnologia e dei dati al fine di contrastare la crisi Covid-19 e uscirne, in particolare per quanto riguarda le applicazioni mobili e l'uso di dati anonimizzati sulla mobilità

C/2020/3300

OJ L 114, 14.4.2020, p. 7–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/reco/2020/518/oj

14.4.2020   

IT

Gazzetta ufficiale dell’Unione europea

L 114/7


RACCOMANDAZIONE (UE) 2020/518 DELLA COMMISSIONE

dell'8 aprile 2020

relativa a un pacchetto di strumenti comuni dell'Unione per l'uso della tecnologia e dei dati al fine di contrastare la crisi Covid-19 e uscirne, in particolare per quanto riguarda le applicazioni mobili e l'uso di dati anonimizzati sulla mobilità

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 292,

considerando quanto segue:

(1)

La crisi sanitaria pubblica causata dall'attuale pandemia di Covid-19 (di seguito la «crisi Covid-19») pone l'Unione e gli Stati membri di fronte a una sfida senza precedenti per i loro sistemi sanitari, il loro stile di vita, la loro stabilità economica e i loro valori. Nessuno Stato membro può vincere da solo la battaglia per uscire dalla crisi Covid-19. Una crisi eccezionale di tale portata richiede un'azione risoluta da parte di tutti gli Stati membri e delle istituzioni e degli organi dell'UE, che sono chiamati a collaborare in un autentico spirito di solidarietà.

(2)

Le tecnologie e i dati digitali rivestono un ruolo importante nel contrasto alla crisi Covid-19, considerato che molte persone in Europa sono collegate a Internet tramite dispositivi mobili. Tecnologie e dati digitali possono costituire uno strumento importante per informare il pubblico e aiutare le autorità pubbliche competenti impegnate a contenere la diffusione del virus, o per consentire alle organizzazioni sanitarie di scambiarsi dati sanitari. Un approccio frammentato e non coordinato rischia tuttavia di ostacolare l'efficacia delle misure volte a contrastare la crisi Covid-19, arrecando nel contempo un grave pregiudizio al mercato unico e ai diritti e alle libertà fondamentali.

(3)

È pertanto necessario mettere a punto un approccio comune all'uso delle tecnologie e dei dati digitali in risposta all'attuale crisi. Tale approccio dovrebbe costituire un sostegno efficace per le autorità nazionali competenti, in particolare per le autorità sanitarie e i responsabili politici, fornendo loro dati adeguati e sufficienti per comprendere l'evoluzione e la diffusione del virus della Covid-19 e i relativi effetti. Analogamente, le tecnologie digitali possono consentire ai cittadini di adottare misure efficaci e maggiormente mirate di distanziamento sociale. L'approccio proposto mira inoltre a preservare l'integrità del mercato unico e a tutelare i diritti e le libertà fondamentali, in particolare il diritto alla vita privata e alla protezione dei dati personali.

(4)

Le applicazioni mobili possono aiutare le autorità sanitarie, a livello nazionale e dell'UE, a monitorare e contenere l'attuale pandemia di Covid-19 fornendo indicazioni ai cittadini e agevolando l'organizzazione del follow-up medico dei pazienti. Le applicazioni di allerta e tracciamento possono rivestire un ruolo importante nel tracciamento dei contatti, limitando la propagazione della malattia e interrompendo le catene di trasmissione. Pertanto, in combinazione con adeguate strategie di test e il tracciamento dei contatti, queste applicazioni possono rivelarsi particolarmente idonee a fornire informazioni sul livello di circolazione del virus, per la valutazione dell'efficacia delle misure di distanziamento fisico e confinamento e per elaborare strategie di mitigazione della crisi.

(5)

Con la decisione n. 1082/2013/UE del Parlamento europeo e del Consiglio (1) sono state stabilite norme specifiche per la sorveglianza epidemiologica, il monitoraggio, l'allarme rapido e la lotta alle gravi minacce per la salute a carattere transfrontaliero. In base all'articolo 2, paragrafo 5, di tale decisione, la Commissione, in collegamento con gli Stati membri, assicura il coordinamento e lo scambio delle informazioni tra i meccanismi e le strutture istituiti nel quadro della decisione e i meccanismi e le strutture analoghi istituiti a livello dell'Unione o nel quadro del trattato Euratom le cui attività sono pertinenti per la pianificazione della preparazione e della risposta, il monitoraggio, l'allarme rapido e la lotta contro le gravi minacce per la salute a carattere transfrontaliero. L'organo per il coordinamento degli sforzi nel contesto delle gravi minacce per la salute a carattere transfrontaliero è il comitato per la sicurezza sanitaria, istituito dall'articolo 17 della decisione suddetta. Al tempo stesso, con l'articolo 6, paragrafo 1, di tale decisione viene istituita una rete per la sorveglianza epidemiologica delle malattie trasmissibili utilizzata e coordinata dal Centro europeo per la prevenzione e il controllo delle malattie (ECDC).

(6)

La direttiva 2011/24/UE del Parlamento europeo e del Consiglio (2), concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera, stabilisce che gli obiettivi della rete di assistenza sanitaria online (eHealth) consistono nello sfruttare i vantaggi socioeconomici sostenibili dei sistemi e dei servizi europei di assistenza sanitaria online e delle applicazioni interoperabili, al fine di conseguire un elevato livello di fiducia e sicurezza, rafforzare la continuità delle cure e garantire l'accesso ad un'assistenza sanitaria sicura e di elevata qualità.

(7)

Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (3), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, fissa le condizioni per il trattamento dei dati personali, compresi quelli relativi alla salute. Il trattamento di tali dati può avere luogo, tra l'altro, quando un interessato presta il proprio consenso esplicito o quando avviene nel pubblico interesse, secondo quanto previsto dal diritto dello Stato membro o dell'Unione, in particolare a fini di monitoraggio e segnalazione, prevenzione o controllo delle malattie trasmissibili e di altre gravi minacce per la salute.

(8)

Diversi Stati membri hanno introdotto una legislazione specifica che consente loro di trattare i dati sanitari in base al pubblico interesse [articolo 6, paragrafo 1, lettera c) o e), e articolo 9, paragrafo 2, lettera i), del regolamento (UE) 2016/679]. In ogni caso è necessario che le finalità del trattamento dei dati, i mezzi adoperati a tale scopo, i dati da elaborare e i soggetti che li elaborano siano indicati in modo chiaro e specifico.

(9)

La Commissione può consultare il Garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati in conformità all'articolo 42 del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (4) e all'articolo 70 del regolamento (UE) 2016/679.

(10)

La direttiva 2002/58/CE del Parlamento europeo e del Consiglio (5) stabilisce le norme applicabili ai dati relativi al traffico e all'ubicazione, all'archiviazione delle informazioni e all'accesso alle informazioni già archiviate nell'apparecchiatura terminale, come un dispositivo mobile, di un utente o di un abbonato. A norma dell'articolo 5, paragrafo 3, di tale direttiva, l'archiviazione e l'accesso sono consentiti solo in circostanze rigorosamente definite o previo consenso dell'utente o dell'abbonato, dopo che questi è stato informato in modo chiaro e completo, conformemente alle prescrizioni del regolamento (UE) 2016/679. L'articolo 15, paragrafo 1, della direttiva consente inoltre agli Stati membri di adottare misure legislative volte a limitare l'ambito di applicazione di alcuni diritti e obblighi stabiliti dalla direttiva, compresi quelli di cui all'articolo 5, qualora tale restrizione costituisca una misura necessaria, opportuna e proporzionata all'interno di una società democratica per il conseguimento di determinati obiettivi.

(11)

Con la comunicazione «Una strategia europea per i dati» (6), la Commissione europea ha annunciato che l'UE darà vita a un mercato unico in cui i dati potranno circolare all'interno dell'UE e a livello intersettoriale, a beneficio di tutti, le norme europee, in particolare sulla tutela della vita privata e sulla protezione dei dati, e il diritto della concorrenza saranno pienamente rispettati e le norme relative all'accesso ai dati e al loro utilizzo saranno eque, pratiche e chiare. In particolare, la Commissione ha reso noto che valuterà la necessità di un'azione legislativa per promuovere la condivisione dei dati tra imprese e pubblica amministrazione (business-to-government) per il pubblico interesse.

(12)

Dall'inizio della crisi Covid-19 sono state sviluppate diverse applicazioni mobili, alcune da parte delle autorità pubbliche, e tanto gli Stati membri quanto il settore privato hanno auspicato il coordinamento a livello dell'Unione, anche per rispondere alle preoccupazioni in materia di cibersicurezza, sicurezza e vita privata. Tali applicazioni tendono a svolgere tre funzioni generali: i) informare i cittadini, fornire loro consulenza e agevolare l'organizzazione del follow-up medico delle persone sintomatiche, spesso in combinazione con un questionario di autodiagnosi; ii) allertare le persone che si sono trovate in prossimità di una persona infetta per interrompere le catene di infezione ed evitare la recrudescenza delle infezioni nella fase di riapertura; e iii) monitorare la quarantena e controllarne il rispetto da parte delle persone infette, eventualmente in combinazione con funzionalità che valutino le loro condizioni di salute durante il periodo di quarantena. Alcune applicazioni sono disponibili al pubblico, mentre altre sono solo a disposizione di gruppi chiusi di utenti per il tracciamento dei contatti sul posto di lavoro. In generale l'efficacia di tali applicazioni non è stata valutata. Le applicazioni informative e di controllo dei sintomi possono essere utili per sensibilizzare i cittadini. Tuttavia, secondo il parere degli esperti, le applicazioni che mirano a informare e allertare gli utenti appaiono le più promettenti per prevenire la propagazione del virus, tenendo conto anche del loro impatto più limitato sulla vita privata, e al momento diversi Stati membri ne stanno valutando l'utilizzo.

(13)

Alcune di queste applicazioni mobili potrebbero essere considerate dispositivi medici qualora siano destinate dal fabbricante a essere utilizzate, tra l'altro, a fini di diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o attenuazione di malattie e rientrerebbero pertanto nell'ambito di applicazione del regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio (7) o della direttiva 93/42/CEE del Consiglio (8). Per le applicazioni di autodiagnosi e controllo dei sintomi, nel caso forniscano informazioni relative a diagnosi, prevenzione, monitoraggio, previsione o prognosi, è opportuno valutarne la potenziale qualifica come dispositivi medici conformemente al quadro normativo sui dispositivi medici [direttiva 93/42/CEE o regolamento (UE) 2017/745].

(14)

L'efficacia di tali applicazioni mobili dipende da una serie di fattori. Fra tali fattori figura il tasso di penetrazione tra gli utenti, ossia la percentuale della popolazione che utilizza un dispositivo mobile e, al suo interno, la percentuale di utenti che hanno scaricato l'applicazione, hanno prestato il proprio consenso al trattamento dei propri dati personali e non hanno revocato tale consenso. Altri fattori importanti sono la fiducia del pubblico nella tutela dei dati con misure di sicurezza adeguate e nel relativo utilizzo esclusivamente per allertare le persone che potrebbero essere state esposte al virus, l'approvazione da parte delle autorità sanitarie pubbliche, la capacità delle autorità sanitarie di agire sulla base dei dati generati dalle applicazioni, l'integrazione e la condivisione di dati con altri sistemi e applicazioni nonché l'interoperabilità interregionale e transfrontaliera con altri sistemi.

(15)

Le applicazioni di allerta e tracciamento sono utili per gli Stati membri ai fini del tracciamento dei contatti e possono svolgere un ruolo importante nel contenimento durante gli scenari di mitigazione. Esse possono inoltre rappresentare uno strumento prezioso per consentire ai cittadini di praticare un distanziamento sociale efficace e più mirato. L'impatto di tali applicazioni può essere rafforzato da una strategia a sostegno di un maggior numero di test. Il tracciamento dei contatti implica che le autorità sanitarie pubbliche individuino rapidamente tutti i contatti di un paziente Covid-19 confermato, chiedano loro di autoisolarsi, li sottopongano rapidamente a test e li isolino se sviluppano sintomi. I dati aggregati e anonimizzati provenienti da tali applicazioni, combinati con le informazioni sull'incidenza della malattia, potrebbero essere inoltre utilizzati per valutare l'efficacia delle misure collettive e di distanziamento sociale. Se da una parte tali applicazioni sono di chiara utilità per gli Stati membri, dall'altra esse possono anche potenzialmente aggiungere valore all'operato dell'ECDC.

(16)

Le applicazioni di autodiagnosi e controllo dei sintomi potrebbero fornire informazioni pertinenti sul numero di casi con sintomi compatibili con la Covid-19, per età e settimana, da aree ben definite in cui l'applicazione vanta una copertura elevata. In caso di esito positivo, le autorità sanitarie pubbliche nazionali possono decidere di utilizzare i dati delle applicazioni per la sorveglianza sindromica della Covid-19 a livello di assistenza sanitaria di base. Tali dati potrebbero essere forniti all'ECDC settimanalmente, in formato aggregato (ad es. numero di sindromi simil-influenzali o infezioni respiratorie acute a settimana, per fascia di età, rispetto alla popolazione complessiva monitorata dai medici sentinella). Ciò consentirebbe alle autorità nazionali e all'ECDC di stimare il valore predittivo positivo dei sintomi respiratori in una determinata comunità e fornire così informazioni sul livello di circolazione del virus in base ai dati delle applicazioni.

(17)

Considerate le funzioni delle applicazioni per smartphone descritte in precedenza, il relativo utilizzo può incidere sull'esercizio di determinati diritti fondamentali fra cui, tra l'altro, il diritto al rispetto della vita privata e familiare. Visto che l'ingerenza in tali diritti dovrebbe essere a norma di legge, le legislazioni degli Stati membri intese a stabilire o consentire limitazioni all'esercizio di determinati diritti fondamentali dovrebbero essere in linea con i principi generali del diritto dell'Unione come previsto all'articolo 6 del trattato sull'Unione europea, con le relative tradizioni costituzionali e con i relativi obblighi in base al diritto internazionale.

(18)

Per far sì che i diversi tipi di applicazioni (e di sistemi di informazione sulle catene di trasmissione delle infezioni che ne sono alla base) siano accettati e per garantire che essi realizzino l'obiettivo di sorveglianza epidemiologica dichiarato, le politiche, le prescrizioni e i controlli soggiacenti devono essere allineati e attuati in modo coordinato dalle competenti autorità sanitarie nazionali. Dall'esperienza di diversi Stati membri che hanno iniziato a introdurre applicazioni di tracciamento dei contatti emerge che, al fine di aumentare l'accettazione, una governance integrata è utile alla preparazione e all'attuazione delle misure, con il coinvolgimento non solo delle autorità sanitarie, ma anche di altre autorità (comprese le autorità preposte alla protezione dei dati) nonché del settore privato, di esperti, del mondo accademico e dei soggetti interessati, quali i gruppi di pazienti. Per l'adozione e il successo dell'applicazione è anche importante una relativa comunicazione su vasta scala.

(19)

È opportuno prevedere l'interoperabilità tra le applicazioni al fine di individuare gli incontri ravvicinati tra utenti di applicazioni di tracciamento dei contatti diverse (uno scenario che molto probabilmente potrebbe realizzarsi tra persone che attraversano frontiere nazionali/regionali). Le autorità sanitarie nazionali che vigilano sulle catene di trasmissione delle infezioni dovrebbero poter scambiare informazioni interoperabili sugli utenti positivi al test con altri Stati membri o regioni per affrontare le catene di trasmissione transfrontaliere.

(20)

Alcune società, compresi i fornitori di telecomunicazioni e le principali piattaforme tecnologiche, hanno pubblicato o messo a disposizione delle autorità pubbliche dati relativi all'ubicazione aggregati e anonimizzati. Tali dati sono necessari a fini di ricerca per contrastare il virus, per la modellizzazione al fine di comprendere le future modalità di diffusione del virus e per la modellizzazione delle ripercussioni economiche della crisi. I dati contribuiranno in particolare a comprendere e a modellare le dinamiche spaziali dell'epidemia e a valutare l'impatto sulla mobilità delle misure di distanziamento sociale (limitazioni degli spostamenti, chiusure di attività non essenziali, isolamento ecc.). Ciò è essenziale anzitutto per contenere gli effetti del virus e valutare le esigenze in particolare in termini di dispositivi di protezione individuale e unità di terapia intensiva e, in secondo luogo, per sostenere la strategia di uscita con modelli basati sui dati che indichino i possibili effetti dell'allentamento delle misure di distanziamento sociale.

(21)

L'attuale crisi ha dimostrato che le autorità sanitarie pubbliche e gli istituti di ricerca trarrebbero beneficio da un accesso più ampio alle informazioni essenziali al fine di analizzare l'evoluzione del virus e valutare l'efficacia delle misure di sanità pubblica.

(22)

Alcuni Stati membri hanno adottato misure per semplificare l'accesso ai dati necessari. Tuttavia gli sforzi comuni dell'UE nella lotta contro il virus sono ostacolati dall'attuale frammentazione degli approcci.

(23)

Un approccio comune dell'Unione alla crisi Covid-19 si è reso necessario anche perché le misure adottate in certi paesi, quali il tracciamento delle persone basato sulla geolocalizzazione, l'uso della tecnologia per calcolare il livello di rischio sanitario rappresentato da un individuo e la centralizzazione dei dati sensibili, sollevano interrogativi che riguardano numerosi diritti e libertà fondamentali garantiti nell'ordinamento giuridico dell'UE, tra cui il diritto alla tutela della vita privata e il diritto alla protezione dei dati personali. Ad ogni buon conto, a norma della Carta dei diritti fondamentali dell'Unione europea le restrizioni all'esercizio dei diritti e delle libertà fondamentali ivi enunciati devono essere giustificate e proporzionate. Siffatte restrizioni dovrebbero, in particolare, avere carattere temporaneo, poiché resterebbero strettamente limitate a quanto necessario per contrastare la crisi e non continuerebbero ad esistere, senza un'adeguata giustificazione, dopo che la crisi sarà superata.

(24)

L'Organizzazione mondiale della sanità e altri organismi hanno inoltre lanciato un monito riguardo al rischio che applicazioni e dati inesatti potrebbero portare alla stigmatizzazione di persone che condividono determinate caratteristiche a causa del nesso percepito tra tali caratteristiche e la malattia.

(25)

Conformemente al principio della minimizzazione dei dati, le autorità sanitarie pubbliche e gli istituti di ricerca dovrebbero trattare i dati personali solo nella misura in cui questi ultimi siano adeguati, pertinenti e limitati a quanto necessario, e dovrebbero applicare opportune garanzie, tra cui la pseudonimizzazione, l'aggregazione, la cifratura e il decentramento dei dati.

(26)

L'efficacia delle misure di cibersicurezza e di sicurezza dei dati è fondamentale per proteggere la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati.

(27)

La consultazione delle autorità preposte alla protezione dei dati, conformemente alle prescrizioni stabilite nel diritto dell'Unione in materia di protezione dei dati personali, è essenziale per garantire la liceità del trattamento dei dati personali e il rispetto dei diritti delle persone interessate.

(28)

L'articolo 14 della direttiva 2011/24/UE attribuisce all'Unione il compito di sostenere e facilitare la cooperazione e lo scambio di informazioni tra gli Stati membri operanti nell'ambito di una rete volontaria che collega le autorità nazionali responsabili dell'assistenza sanitaria online designate dagli Stati membri (la «rete di assistenza sanitaria online» o «rete eHealth»). Tra i suoi obiettivi si annovera lo sfruttamento dei vantaggi socioeconomici sostenibili dei sistemi e dei servizi europei di assistenza sanitaria online e delle applicazioni interoperabili, al fine di conseguire un elevato livello di fiducia e sicurezza, rafforzare la continuità delle cure e garantire l'accesso ad un'assistenza sanitaria sicura e di elevata qualità. La decisione di esecuzione (UE) 2019/1765 della Commissione (9) stabilisce le norme per l'istituzione, la gestione e il funzionamento trasparente della rete eHealth. In ragione della sua composizione e del suo settore di competenza, la rete eHealth dovrebbe costituire il principale forum in cui tenere discussioni in materia di esigenze di dati tra autorità sanitarie pubbliche e istituti di ricerca, coinvolgendo nel contempo anche i funzionari delle autorità nazionali di regolamentazione per le comunicazioni elettroniche, dei ministeri responsabili per le questioni digitali e delle autorità preposte alla protezione dei dati.

(29)

La rete eHealth e la Commissione dovrebbero inoltre instaurare una stretta cooperazione con altri organismi e reti in grado di fornire il contributo necessario ad attuare la presente raccomandazione, tra cui il comitato per la sicurezza sanitaria, la rete di sorveglianza epidemiologica delle malattie trasmissibili, l'ECDC, il comitato europeo per la protezione dei dati, l'organismo dei regolatori europei delle comunicazioni elettroniche e il gruppo di cooperazione sulle reti e sui sistemi informativi.

(30)

Di cruciale importanza per garantire la fiducia del pubblico nel contrastare la crisi Covid-19 saranno la trasparenza e la comunicazione chiara e regolare, consentendo altresì alle persone e alle comunità più colpite di fornire il loro contributo.

(31)

Tenuto conto della rapida evoluzione della situazione nei vari Stati membri in relazione alla crisi Covid-19, è essenziale che gli Stati membri riferiscano in merito e che la Commissione riesamini l'approccio racchiuso nella presente raccomandazione in modo tempestivo e regolare per tutta la durata della crisi.

(32)

La presente raccomandazione dovrebbe essere integrata, ove necessario, da ulteriori orientamenti della Commissione riguardanti, tra l'altro, le implicazioni sulla protezione dei dati e sulla tutela della vita privata derivanti dall'uso di applicazioni mobili di allerta e prevenzione,

HA ADOTTATO LA PRESENTE RACCOMANDAZIONE:

SCOPO DELLA RACCOMANDAZIONE

1)

La presente raccomandazione istituisce un processo per lo sviluppo di un approccio comune, denominato «pacchetto di strumenti», volto all'uso dei mezzi digitali per affrontare la crisi. Il pacchetto di strumenti si comporrà di misure pratiche finalizzate all'uso efficace delle tecnologie e dei dati, con particolare attenzione su due aspetti:

1)

un approccio paneuropeo per l'uso delle applicazioni mobili, coordinato a livello dell'Unione, per consentire ai cittadini di adottare misure di distanziamento sociale efficaci e più mirate e per scopi di allerta, prevenzione e tracciamento dei contatti al fine di contribuire a limitare la propagazione della malattia Covid-19. Questo approccio comporterà il monitoraggio della metodologia e la condivisione delle valutazioni dell'efficacia di tali applicazioni, della loro interoperabilità e delle loro implicazioni transfrontaliere, nonché del rispetto della sicurezza, della vita privata e della protezione dei dati legato al loro utilizzo; e

2)

un piano comune per l'utilizzo di dati anonimizzati e aggregati sulla mobilità delle popolazioni al fine di: i) modellizzare e prevedere l'evoluzione della malattia; ii) monitorare l'efficacia del processo decisionale delle autorità degli Stati membri riguardo a misure quali il distanziamento sociale e il confinamento, e iii) improntare una strategia coordinata per uscire dalla crisi Covid-19.

2)

Gli Stati membri dovrebbero intraprendere tali azioni con urgenza e in stretto coordinamento con gli altri Stati membri, con la Commissione e con altri soggetti interessati, fatte salve le competenze degli Stati membri nel settore della sanità pubblica. Essi dovrebbero garantire che tutte le azioni siano intraprese conformemente al diritto dell'Unione, in particolare nel rispetto della normativa sui dispositivi medici e del diritto alla tutela della vita privata e alla protezione dei dati personali, unitamente ad altri diritti e libertà sanciti dalla Carta dei diritti fondamentali dell'Unione europea. Il pacchetto di strumenti sarà integrato da orientamenti della Commissione che riguarderanno, tra l'altro, le implicazioni per la protezione dei dati e la vita privata derivanti dall'uso di applicazioni mobili di allerta e prevenzione.

DEFINIZIONI

3)

Ai fini della presente raccomandazione si applicano le seguenti definizioni:

a)

«applicazione mobile»: applicazione software che funziona su dispositivi intelligenti, in particolare smartphone, di norma progettata per un'interazione ampia e mirata con risorse web, elabora dati di prossimità e altre informazioni contestuali raccolte da molti sensori presenti in qualsiasi smartphone ed è in grado di scambiare informazioni con altri dispositivi connessi attraverso molte interfacce di rete;

b)

«rete di assistenza sanitaria online (e-Health)»: rete istituita a norma dell'articolo 14 della direttiva 2011/24/UE e i cui compiti sono stati precisati dalla decisione di esecuzione (UE) 2019/1765;

c)

«comitato per la sicurezza sanitaria»: organismo composto dai rappresentanti degli Stati membri, istituito a norma dell'articolo 17 della decisione n. 1082/2013/UE;

d)

«rete di sorveglianza epidemiologica»: rete di sorveglianza epidemiologica delle malattie trasmissibili e dei problemi sanitari speciali connessi, utilizzata e coordinata dall'ECDC e che garantisce una comunicazione costante tra la Commissione, l'ECDC e le autorità competenti responsabili a livello nazionale della sorveglianza epidemiologica, istituita a norma dell'articolo 6 della decisione n. 1082/2013/UE.

PROCESSO PER LA MESSA A PUNTO DI UN PACCHETTO DI STRUMENTI PER UTILIZZARE LA TECNOLOGIA E I DATI

4)

Questo processo dovrebbe facilitare lo sviluppo e l'adozione urgenti da parte degli Stati membri e della Commissione di un pacchetto di strumenti composto di misure pratiche e comprendente un approccio europeo per applicazioni mobili per la COVID-19 e per l'uso di dati sulla mobilità in modo da modellizzare e prevedere l'evoluzione del virus.

5)

Ai fini dello sviluppo di tale pacchetto di strumenti, gli Stati membri, rappresentati nella rete di assistenza sanitaria online (e-Health), dovrebbero riunirsi immediatamente e in seguito frequentemente con i rappresentanti della Commissione e del Centro europeo per la prevenzione e il controllo delle malattie. Dovrebbero scambiarsi opinioni su come utilizzare al meglio i dati provenienti da varie fonti per affrontare la crisi Covid-19, conseguendo nel contempo un elevato livello di fiducia e di sicurezza in una forma compatibile con il diritto dell'Unione, in particolare in materia di protezione dei dati personali e della vita privata, come pure per condividere le migliori pratiche e agevolare approcci comuni in tale ambito.

6)

La rete di assistenza sanitaria online (e-Health) dovrebbe riunirsi immediatamente per rendere operativa la presente raccomandazione.

7)

Nel dare attuazione alla presente raccomandazione gli Stati membri, rappresentati nella rete di assistenza sanitaria online (e-Health) dovrebbero, se del caso, informare il comitato per la sicurezza sanitaria, l'organismo dei regolatori europei delle comunicazioni elettroniche, il gruppo di cooperazione NIS e le competenti agenzie della Commissione, compresa l'ENISA, Europol e i gruppi di lavoro del Consiglio e avvalersi del loro contributo.

8)

Anche il comitato europeo per la protezione dei dati e il Garante europeo della protezione dei dati dovrebbero essere strettamente coinvolti in modo che nel pacchetto di strumenti siano integrati i principi della protezione dei dati e della tutela della vita privata fin dalla progettazione.

9)

Le autorità degli Stati membri e la Commissione dovrebbero garantire una comunicazione regolare, chiara e completa del pubblico in merito alle azioni intraprese a norma della presente raccomandazione e offrire al pubblico l'opportunità di interagire e partecipare alle discussioni.

10)

In tutto questo processo è fondamentale rispettare tutti i diritti fondamentali, in particolare la tutela della vita privata e la protezione dei dati, prevenire la sorveglianza e la stigmatizzazione. In relazione a tali questioni specifiche il pacchetto di strumenti dovrebbe pertanto:

1)

limitare rigorosamente il trattamento dei dati personali al contrasto della crisi Covid-19 e garantire che i dati personali non siano utilizzati per alcun altro scopo, ad esempio per l'applicazione di norme di legge o per fini commerciali;

2)

garantire un riesame periodico del persistere della necessità del trattamento dei dati personali per il contrasto della crisi Covid-19 e stabilire le opportune clausole di temporaneità, in modo da assicurare che il trattamento non vada al di là di ciò che è strettamente necessario per tali fini;

3)

prevedere misure in modo da garantire che il trattamento, una volta che non sia più strettamente necessario, venga effettivamente soppresso e i dati personali interessati vengano irreversibilmente distrutti, a meno che, sulla base del parere dei comitati etici e delle autorità preposte alla protezione dei dati, il loro valore scientifico, al servizio dell'interesse pubblico, sia superiore all'impatto sui diritti in questione, nel rispetto di adeguate garanzie.

11)

Il pacchetto di strumenti dovrebbe essere sviluppato progressivamente in base alle discussioni con tutte le parti interessate e al monitoraggio della situazione, alle migliori pratiche, alle questioni e alle soluzioni inerenti alle fonti e ai tipi di dati necessari e a disposizione delle autorità sanitarie pubbliche e degli istituti di ricerca nel settore della sanità pubblica per combattere la pandemia di Covid-19.

12)

Il pacchetto di strumenti dovrebbe essere condiviso con i partner internazionali dell'Unione europea per uno scambio delle migliori pratiche e per contribuire a contrastare la diffusione del virus in tutto il mondo.

UN APPROCCIO PANEUROPEO ALLE APPLICAZIONI MOBILI PER LA COVID‐19

13)

La prima priorità per il pacchetto di strumenti dovrebbe essere un approccio paneuropeo alle applicazioni mobili per la Covid-19, che dovranno essere sviluppate insieme dagli Stati membri e dalla Commissione entro il 15 aprile 2020. Il comitato europeo per la protezione dei dati e il Garante europeo della protezione dei dati saranno associati al processo. Tale approccio dovrebbe comprendere:

1)

le specifiche volte a garantire l'efficacia delle applicazioni mobili di informazione, allerta e tracciamento per il contrasto della Covid-19 dal punto di vista medico e tecnico;

2)

le misure volte a prevenire il proliferare di applicazioni non compatibili con il diritto dell'Unione, a sostenere le prescrizioni di accessibilità delle persone con disabilità e di interoperabilità e a promuovere soluzioni comuni, senza escludere una potenziale applicazione paneuropea;

3)

i meccanismi di governance da applicare da parte delle autorità sanitarie pubbliche e la cooperazione con l'ECDC;

4)

l'individuazione di buone pratiche e di meccanismi per lo scambio di informazioni sul funzionamento delle applicazioni; e

5)

la condivisione dei dati con i pertinenti organismi epidemiologici pubblici e con gli istituti di ricerca nel settore della sanità pubblica, compresa la condivisione dei dati aggregati con l'ECDC.

14)

Qualora siano previsti scenari transfrontalieri, le autorità degli Stati membri, rappresentate nella rete eHealth, dovrebbero definire le modalità di scambio di informazioni e di garanzia dell'interoperabilità delle applicazioni.

ASPETTI DELL'USO DELLE APPLICAZIONI MOBILI RELATIVI ALLA TUTELA DELLA VITA PRIVATA E ALLA PROTEZIONE DEI DATI

15)

L'elaborazione del pacchetto di strumenti dovrebbe essere guidata da principi relativi alla tutela della vita privata e alla protezione dei dati.

16)

In particolare per quanto riguarda l'uso delle applicazioni mobili di allerta e prevenzione per la Covid-19, si dovrebbero osservare i seguenti principi:

1)

misure di salvaguardia che garantiscano il rispetto dei diritti fondamentali e la prevenzione della stigmatizzazione, in particolare le norme applicabili alla protezione dei dati personali e alla riservatezza delle comunicazioni;

2)

preferenza per le misure meno intrusive e comunque efficaci, compreso l'uso dei dati di prossimità, ma senza il trattamento dei dati relativi all'ubicazione o agli spostamenti delle persone, e l'uso di dati anonimizzati e aggregati ove possibile;

3)

requisiti tecnici riguardanti le tecnologie appropriate (ad esempio Bluetooth a bassa energia) per stabilire la prossimità del dispositivo, la cifratura, la sicurezza dei dati, l'archiviazione dei dati sul dispositivo mobile, il possibile accesso da parte delle autorità sanitarie e la memorizzazione dei dati;

4)

requisiti di cibersicurezza efficaci per proteggere la disponibilità, l'integrità, l'autenticità e la riservatezza dei dati;

5)

scadenza delle misure adottate e cancellazione dei dati personali ottenuti attraverso tali misure, al più tardi quando la pandemia sarà dichiarata sotto controllo;

6)

caricamento di dati di prossimità in caso di infezione confermata e metodi appropriati per allertare le persone che hanno avuto contatti stretti con la persona infettata, che deve rimanere anonima; e

7)

prescrizioni relative alla trasparenza per le impostazioni sulla privacy in modo da garantire la fiducia nelle applicazioni.

17)

La Commissione pubblicherà orientamenti che precisano ulteriormente i principi in materia di protezione della vita privata e dei dati alla luce delle considerazioni pratiche derivanti dallo sviluppo e dall'attuazione del pacchetto di strumenti.

USO DEI DATI SULLA MOBILITÀ PER ORIENTARE LE MISURE E LA STRATEGIA DI USCITA

18)

La seconda priorità del pacchetto di strumenti dovrebbe essere costituita da un approccio comune per l'utilizzo di dati anonimizzati e aggregati sulla mobilità necessari per:

1)

elaborare modelli atti a mappare e prevedere la diffusione della malattia e l'impatto sul fabbisogno dei sistemi sanitari degli Stati membri in termini di, ad esempio, unità di terapia intensiva negli ospedali e dispositivi di protezione individuale; e

2)

ottimizzare l'efficacia delle misure intese a contenere la diffusione del virus della Covid-19 e ad affrontarne gli effetti, compreso il confinamento (e la fine del confinamento), e ad ottenere e utilizzare tali dati.

19)

Nel mettere a punto questo approccio gli Stati membri (rappresentati nella rete eHealth, che si coordinerà con il comitato per la sicurezza sanitaria, la rete epidemiologica, l'ECDC e, se necessario, l'ENISA) dovrebbero scambiarsi le migliori pratiche relative all'utilizzo dei dati sulla mobilità, condividere e comparare modellizzazioni e previsioni di diffusione del virus e monitorare l'impatto delle misure volte a limitarne la diffusione.

20)

L'approccio dovrebbe comprendere:

1)

l'utilizzo appropriato di dati anonimizzati e aggregati sulla mobilità per elaborare modelli finalizzati a comprendere le modalità future di diffusione del virus e gli effetti economici della crisi;

2)

la consulenza alle autorità pubbliche in modo che esse verifichino la metodologia applicata da parte dei fornitori dei dati per l'anonimizzazione dei dati e procedano a un test di plausibilità di tale metodologia;

3)

le misure di salvaguardia da predisporre per prevenire la de-anonimizzazione dei dati ed evitare la re-identificazione delle persone, comprese le garanzie relative a livelli adeguati di sicurezza informatica e dei dati e la valutazione dei rischi di re-identificazione qualora i dati anonimizzati siano correlati con altri dati;

4)

la cancellazione immediata e irreversibile di tutti i dati trattati in modo accidentale che possano consentire di identificare le persone e la notifica ai fornitori dei dati e alle autorità competenti in merito al trattamento accidentale dei dati e alla loro cancellazione;

5)

la cancellazione dei dati in linea di massima dopo un periodo di 90 giorni o comunque non oltre il momento in cui la pandemia sarà dichiarata sotto controllo; e

6)

la limitazione del trattamento dei dati esclusivamente ai fini sopra indicati e l'esclusione della condivisione dei dati con terzi.

RELAZIONI E RIESAME

21)

L'approccio paneuropeo per le applicazioni mobili per la Covid-19 sarà pubblicato il 15 aprile e sarà integrato dagli orientamenti della Commissione in materia di tutela della vita privata e di protezione dei dati.

22)

Gli Stati membri dovrebbero riferire alla Commissione in merito alle azioni intraprese a norma della presente raccomandazione entro il 31 maggio 2020. Le relazioni dovrebbero continuare ad essere presentate su base regolare fintanto che persisterà la crisi Covid-19.

23)

A decorrere dall'8 aprile 2020 gli Stati membri dovrebbero provvedere affinché le misure applicate nei settori disciplinati dalla presente raccomandazione siano accessibili agli altri Stati membri e alla Commissione per una valutazione inter pares. Entro una settimana gli Stati membri e la Commissione possono presentare osservazioni su tali misure. Lo Stato membro interessato dovrebbe tenere nella massima considerazione dette osservazioni.

24)

La Commissione valuterà, sulla base delle relazioni presentate da tali Stati membri, i progressi compiuti e gli effetti della presente raccomandazione a partire da giugno 2020. La Commissione può formulare ulteriori raccomandazioni indirizzate agli Stati membri, anche per quanto riguarda la tempistica delle misure applicate nei settori disciplinati dalla presente raccomandazione.

Fatto a Bruxelles, l'8 aprile 2020

Per la Commissione

Thierry BRETON

Membro della Commissione


(1)  Decisione n. 1082/2013/UE del Parlamento europeo e del Consiglio, del 22 ottobre 2013, relativa alle gravi minacce per la salute a carattere transfrontaliero e che abroga la decisione n. 2119/98/CE (GU L 293 del 5.11.2013, pag. 1).

(2)  Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).

(3)  Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).

(4)  Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).

(5)  Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

(6)  Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni: Una strategia europea per i dati [COM(2020) 66 final].

(7)  Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio (GU L 117 del 5.5.2017, pag. 1).

(8)  Direttiva 93/42/CEE del Consiglio, del 14 giugno 1993, concernente i dispositivi medici (GU L 169 del 12.7.1993, pag. 1).

(9)  Decisione di esecuzione (UE) 2019/1765 della Commissione, del 22 ottobre 2019, che stabilisce le norme per l'istituzione, la gestione e il funzionamento della rete di autorità nazionali responsabili dell'assistenza sanitaria online e che abroga la decisione di esecuzione 2011/890/UE (GU L 270 del 24.10.2019, pag. 83).


Top