Confartigianato Imprese Perugia – Dati personali e Covid-19

Dati personali e Covid-19 

la dichiarazione dell’European Data Protection Board.

Tra le misure proposte per far fronte all’emergenza derivante dalla pandemia in corso a causa della diffusione del Covid-19, vi sono quelle basate sulla raccolta e il tracciamento di dati personali, sanitari e di geolocalizzazione, per il controllo e il contenimento del virus: l’European Data Protection Board, con sua dichiarazione ufficiale, raccomanda il rispetto della normativa per la protezione dei dati personali per garantire la liceità del trattamento e il rispetto dei principi generali del diritto.

A fronte dell’emergenza derivante dalla pandemia in corso a causa della diffusione del Covid-19 in 195 diversi Paesi nel mondo (dato OMS al 25 marzo 2020), gli Stati europei stanno valutando l’assunzione di misure a tutela del diritto alla salute, che potranno comportare il trattamento di dati personali particolari su larga scala dei soggetti interessati: dati sanitari e dati di geolocalizzazione; ma anche profilazione derivante dalla combinazione di questi due dati.

A fronte della grave emergenza odierna, è in atto uno sforzo congiunto per combattere il diffondersi di malattie infettive sconosciute che mettono in pericolo la salute dei cittadini di tutto il mondo, ma sia l’EDPB che il Garante per la protezione dei dati personali avvertono che le misure che verranno assunte dovranno comunque essere legittime e immediatamente revocabili al termine del periodo di emergenza, in modo da evitare una abnorme compressione dei diritti fondamentali degli interessati.

Sebbene la finalità odierna sia rappresentata dalla gestione dell’emergenza e dal contenimento del contagio, in modo da poter tutelare la salute dell’intera popolazione, numerosi sono i dubbi in merito alle modalità e necessità del trattamento con metodi sistematici e su larga scala dei dati sanitari e di geolocalizzazione dei soggetti interessati.

Ci si chiede infatti se non si tratti di una soluzione che potrebbe rilevarsi troppo pervasiva e poco efficace, soprattutto se non accompagnata dalla fornitura di un adeguato numero di dispositivi di protezione per sanitari e per cittadini e soprattutto dall’effettuazione di tamponi per la rilevazione del Covid-19; ciò anche in considerazione dello stato di sovraccarico a cui è sottoposto il sistema sanitario, e che potrebbe rendere poco attuabile il monitoraggio a distanza e la cura attraverso applicazioni vista la mancanza di personale sanitario da dedicare a tali attività.

In tal senso l’European Data Protection Board ha adottato in data 19.03.2020 una Dichiarazione formale in merito al trattamento dei dati personali nel contesto dell’epidemia da Covid-19, con cui si sottolinea l’importanza di garantire comunque la tutela dei dati personali e delle persone fisiche interessate anche a fronte dell’odierna situazione di emergenza di carattere internazionale.

In tale documento vengono così individuati quattro aspetti: 1) liceità del trattamento; 2) principi fondamentali per il trattamento dei dati personali; 3) utilizzo dei dati di localizzazione derivanti dai dispositivi mobili; 4) contesto lavorativo.

Preliminarmente l’EDPB sottolinea come l’emergenza possa essere una condizione legale per legittimare la restrizione della libertà a patto che si tratti di restrizioni proporzionate e limitate al periodo di emergenza.

In particolare in merito al primo punto sulla liceità del trattamento, l’EDPB sottolinea che il GDPR (Reg. UE 679/2016) si applica anche nel contesto relativo alla diffusione del Covid-19 ove è comunque consentito alle autorità sanitarie e ai datori di lavoro di trattare i dati personali conformemente a quanto stabilito dalla legge statale; in particolare nel settore della sanità pubblica non sarà necessario il consenso degli interessati.

Inoltre viene evidenziato come proprio nel Considerando (46) del GDPR si fa riferimento alla liceità del trattamento qualora venga svolto per controllare “l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”, richiamando anche l’art. 9.2 lett. i) e lett. c) del GDPR, che già prevede il trattamento in situazioni in emergenza sanitaria.

Nello specifico il divieto di trattamento di dati particolari di cui all’art. 9.1 non si applica quando: “i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;” e quando: “c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;”.

In merito al trattamento di dati personali relativi alla localizzazione tramite telefonia mobile, l’EDPB avverte che la direttiva E-Privacy dovrà essere rispettata e che l’introduzione di misure legislative per salvaguardare la sicurezza pubblica devono avere carattere eccezionale e possono essere introdotte solo se necessarie, proporzionate e adeguate in una società democratica e nel rispetto della Carta dei diritti fondamentali e della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali; le medesime misure, infatti, sono soggette al controllo giurisdizionale da parte della Corte Europea dei Diritti dell’Uomo e della Corte di Giustizia dell’Unione Europea.

Al secondo punto si evidenzia che il trattamento di dati personali dovrà essere svolto per scopi espliciti e si dovrà informare in modo chiaro e trasparente i soggetti interessati su modalità, finalità e tempo di conservazione, evitando la divulgazione a soggetti non autorizzati.

Al terzo punto in merito all’utilizzo di dati sulla localizzazione attraverso dispositivi mobili per monitorare, contenere e mitigare il contagio, l’EDPB raccomanda l’elaborazione dei dati di posizione e di tracking degli individui in forma anonima e l’adozione di misure meno invasive in virtù del principio di proporzionalità.

All’ultimo punto relativo all’ambito lavorativo, si precisa che il datore di lavoro dovrebbe richiede dati relativi alla salute solo nel limite consentito dalla legislazione nazionale, mentre in merito ai controlli medici sui dipendenti occorrerà rispettare la normativa per la salute e la sicurezza nei luoghi di lavoro. Si precisa che il datore di lavoro potrà comunicare la presenza di un caso di infezione di Covid-19 ai dipendenti e collaboratori senza comunicare informazioni che non siano necessarie a tale scopo e adottando misure di protezione efficaci; in caso di divulgazione del nome bisognerà informare preventivamente il soggetto interessato nel rispetto della sua dignità ed integrità.

Infine l’EDPB ritiene che i datori di lavoro dovranno ottenere dati personali relativi al contagio al solo scopo di adempiere ai propri doveri e organizzare il lavoro di conseguenza.

In data 20 marzo 2020 anche l’associazione European Digital Right (Edri) ha emesso un comunicato con cui invita l’UE e gli Stati membri, nell’adozione delle misure necessarie al contenimento del virus, a rispettare i seguenti aspetti: a) rispetto dei diritti fondamentali tale per cui qualsiasi misura di emergenza che possa violare tali diritti deve essere temporanea, limitata e controllata; b) protezione dei dati anche in ottica futura e in particolare i dati sulla localizzazione dovranno essere resi anonimi e in nessun modo potranno essere utilizzati per profitto dagli enti privati; c) limitazione del trattamento solamente al Covid-19; d) temporaneità delle misure tecniche; e) trasparenza nell’adozione delle misure tecniche nei confronti degli interessati; f) impegno per evitare discriminazioni; g) difesa della libertà di informazione e di espressione con particolare riferimento all’utilizzo di strumenti automatici per moderare i contenuti e alla tutela dei sostenitori dei diritti umani; h) accessibilità alla rete Internet per il diritto all’accesso e alla condivisione delle informazioni; i) nessuna monetizzazione o guadagno derivante dalla raccolta di dati personali ricavati nell’ambito di tali misure di contrasto all’emergenza sanitaria da parte delle aziende.

Anche in Italia il Garante per la protezione dei dati personali mette in guardia da misure azzardate ed eccessivamente intrusive per la libertà e la protezione dei cittadini con riferimento ai dati personali di ognuno; dovendo evitare una raccolta massiva di tali dati se non in forma anonima quale misura più facilmente percorribile.

Nel caso in cui si intendesse acquisire dati identificativi e sanitari, il Garante sottolinea che occorrerà prevedere adeguate garanzie ispirate ai principi di proporzionalità, necessità e ragionevolezza e con una efficacia temporale limitata all’emergenza in corso causata dalla pandemia da Covid-19.