Il GDPR non è un ostacolo per la gestione dell’emergenza COVID-19: le indicazioni di EDPB

Il Comitato Europeo per la protezione dei dati personali è intervenuto sul delicato tema dell’applicazione e bilanciamento delle disposizioni del GDPR in relazione all’emergenza sanitaria in atto.

L’ EDPB apre alla possibilità di trattare i dati personali al fine di contenere la pandemia; le norme in materia privacy non vengono considerate di ostacolo all’adozione di misure per il contrasto, ma viceversa di supporto.

Tuttavia, nei giorni scorsi, le Autorità Garanti europee si sono espresse sul tema in maniera discordante e questo ha reso necessario un allineamento e nuove indicazioni da parte del Comitato europeo.

Cosa è consentito

In piena emergenza sanitaria, il GDPR consente alle competenti autorità sanitarie pubbliche e ai datori di lavoro di trattare dati personali, conformemente al diritto nazionale e alle condizioni ivi stabilite, sempre nel rispetto delle condizioni sancite dallo stesso Regolamento.

Per quanto riguarda in particolare le attività che comprendono categorie particolari di dati, effettuate perciò da parte di autorità pubbliche competenti, il Comitato ritiene che gli artt. 6 e 9 del GDPR consentano il trattamento, poiché esso ricade nell’ambito delle competenze che il diritto nazionale attribuisce a determinate categorie di autorità (ad es. autorità sanitarie pubbliche, strutture sanitarie, etc…).

Difatti, l’ EDPB ha indicato che il trattamento dei dati potrebbe essere giustificato se: “necessario per motivi di interesse pubblico nel settore della sanità pubblica” (art. 9, comma 2, lett.i); “necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica” (artt. 6, comma 1, lett d) e 9, comma 2, lett.c); o “necessario per adempiere un obbligo legale” (artt. 6, comma 1,lett.c) e 9, comma 2, lett.b).

La protezione di un interesse “vitale”

Ciò sembrerebbe indicare un’apertura da parte del Comitato alla possibilità di raccogliere dati personali, compresi quelli di carattere sanitario, da parte delle competenti autorità sanitarie pubbliche e ai datori di lavoro ai fini della prevenzione del contagio, secondo criteri di proporzionalità e minimizzazione.

In particolare, nel contesto lavorativo, il trattamento dei dati personali può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria (si pensi, ad esempio alla gestione e smaltimento dei rifiuti). Il Regolamento prevede, inoltre, al Considerando 46 la liceità del trattamento dei dati personali per proteggere un interesse vitale, un interesse pubblico e nei casi di emergenza ed epidemie.

Del tutto lecito, quindi, sarebbe il trattamento dei dati sanitari laddove vi potrebbe essere una minaccia alla salute altrui.

Il trattamento dei dati derivanti dalle telecomunicazioni

In merito al trattamento dei dati delle telecomunicazioni, come i dati relativi all’ubicazione, occorre considerare il rispetto delle leggi nazionali di attuazione della direttiva relativa alla vita privata e alle comunicazioni elettroniche (direttiva e-privacy).

In linea di principio, i dati relativi all’ubicazione possono essere utilizzati dall’operatore solo se resi anonimi o con il consenso dei singoli.

Tuttavia, l’articolo 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica. Tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, adeguata e proporzionata, contemplando poi quanto previsto dalla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Inoltre, sono soggette al controllo giurisdizionale della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo. In presenza di situazioni di emergenza, le misure in questione devono essere rigorosamente limitate alla durata del periodo.

Geolocalizzazione e tracciamento

Fondamentale è l’adozione di adeguate misure di sicurezza e riservatezza che garantiscano che i dati personali non siano divulgati a soggetti non autorizzati. Le azioni da introdurre per gestire l’attuale emergenza e il relativo processo decisionale dovrebbero essere perciò adeguatamente documentate.

Il trattamento dei dati di localizzazione da dispositivi mobili per monitorare, contenere o attenuare la diffusione del COVID-19, implicherebbe, ad esempio, la possibilità di geolocalizzare le persone o di inviare messaggi di sanità pubblica ai soggetti che si trovano in una determinata area, via telefono o SMS.

E se non fosse possibile elaborare i dati in forma anonima? La normativa consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica, applicando il principio di proporzionalità.

Occorre privilegiare soluzioni meno intrusive, tenuto conto dell’obiettivo specifico da raggiungere. Ad esempio, misure invasive come il “tracciamento” (ossia il trattamento di dati storici di localizzazione in forma non anonimizzata) possono essere considerate proporzionate in circostanze eccezionali e in funzione delle modalità concrete del trattamento che dovranno essere determinate.

L’ intervento dell’ EDPB ha chiarito gli aspetti più ostici della normativa rispetto allo scenario che oggi stiamo vivendo, chissà se, nei giorni a seguire, non riusciremo ad avere una visione più completa che ci possa far affrontare e rispettare, il corretto bilanciamento tra diritto alla salute e diritto alla privacy.

Foto di Markus Spiske da Pexels

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Il GDPR non è un ostacolo per la gestione dell’emergenza COVID-19: le indicazioni di EDPB

Cosa è consentito

La protezione di un interesse “vitale”

Il trattamento dei dati derivanti dalle telecomunicazioni

Geolocalizzazione e tracciamento

Intelligenza artificiale e processo penale. Dalla cd giustizia predittiva ai mezzi di prova. Riflessioni giuridiche e filosofiche

Come attuare il regolamento UE sull’Intelligenza Artificiale: criticità e opportunità

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA