Cervato Law & Business | Studio Legale
Intellectual Property | Diritto di Internet | Privacy GDPR | Diritto di Impresa
TEL 049 714975 | Via Niccolò Tommaseo 78/C | 35131 Padova | P.IVA 03800020285
Tutti i diritti riservati | © 2020

Legal

Sponsor

founding partner

Official

Sponsor

La Dichiarazione del Comitato Europeo (EDPB) sul trattamento dei dati personali nell’era COVID-19

Aggiornato il: mar 22

Il 19 marzo 2020 il Comitato Europeo per la Protezione dei Dati Personali ( European Data Protection Board - EDPB) ha adottato una dichiarazione sul rapporto tra la protezione dei dati personali ed il contesto di emergenza epidemiologica COVID-19.

Il Comitato ha in primo luogo ribadito che le attuali norme privacy, quali il GDPR Reg. (UE) 2016/679, non ostacolano l’adozione di misure per il contrasto della pandemia di coronavirus, dal momento che l’eventualità del contesto di un’epidemia era già stato previsto ad esempio nel Considerando 46.

Il Comitato evidenzia che l'emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione però che tali limitazioni siano proporzionate e confinate al periodo di emergenza, sia dal punto di vista oggettivo che temporale.

In questo delicato equilibrio tra interesse pubblico e libertà degli individui, il Comitato affronta quattro temi in particolare:

  1. Liceità del trattamento

  2. Principi fondamentali

  3. Geolocalizzazione tramite dispositivi mobili

  4. Contesto lavorativo


1. Liceità del trattamento

Il Comitato ribadisce che il GDPR è una normativa di ampia portata che contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19.


1.1 Trattamento dei dati personali da parte di autorità pubbliche

Gli artt. 6 (par. 1, lett. e, ndr) e 9 (par. 2 lett. i per la sanità pubblica, ndr) del GDPR consentono tale trattamento nel contesto dell’emergenza, non essendo necessario basarsi sul consenso dei singoli.


1.2 Contesto lavorativo

Il trattamento dei dati personali può essere necessario per adempiere ad un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro, potendo trattare dati particolari, come i dati sanitari, se ciò sia necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i) o laddove vi sia la necessità di proteggere gli interessi vitali dell'interessato (articolo 9.2.c).


1.3  Trattamento dei dati delle telecomunicazioni, come i dati relativi all'ubicazione

In linea di principio, i dati relativi all'ubicazione possono essere utilizzati dall'operatore solo se resi anonimi o con il consenso dei singoli.

Tuttavia, l'articolo 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica: trattasi di legislazione eccezionale, ammessa solo se costituisce una misura necessaria, adeguata e proporzionata all'interno di una società democratica ed in ogni caso conforme alla Carta dei diritti fondamentali ed alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali. L’eventualità deve essere rigorosamente limitata alla durata dell'emergenza.


2. Principi fondamentali

La tipologia di trattamento eccezionale in considerazione è soggetto ai principi:

  • della necessità

  • del perseguimento di finalità specifiche ed esplicite

  • della trasparenza sulle attività di trattamento svolte e sulle loro caratteristiche principali, compreso il periodo di conservazione dei dati raccolti e le finalità del trattamento

  • della facile accessibilità

  • del linguaggio semplice e chiaro

  • della garanzia mediante misure di sicurezza e riservatezza contro il rischio di divulgazione a soggetti non autorizzati

  • della documentazione delle misure adottate e del relativo processo decisionale.


3.  Geolocalizzazione tramite dispositivi mobili

L’eventuale utilizzo dei dati personali relativi ai telefoni cellulari dei singoli, nell’intento di monitorare, contenere o attenuare la diffusione del COVID-19, rappresenta un tema molto delicato in quanto i dati relativi all'ubicazione dovrebbero essere trattati in modo anonimo, ossia in forma aggregata e tale da non consentire la successiva re-identificazione delle persone.

Il che potrebbe permettere di generare analisi  sulla concentrazione di dispositivi mobili in un determinato luogo ("cartografia").

Se è vero che il GDPR ed in genere la disciplina sulla data protection non si applichi ai dati che sono stati adeguatamente anonimizzati, va peraltro considerato che la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15), a condizione però che siano predisposte garanzie adeguate, ad esempio fornendo agli utenti il diritto ad un ricorso giurisdizionale.

Si dovrebbe inoltre garantire il principio di proporzionalità, privilegiando sempre le soluzioni meno intrusive, tenuto conto dell'obiettivo specifico da raggiungere.

In questo senso il "tracciamento", anche di dati storici di localizzazione in forma non anonimizzata, potrebbe essere considerato proporzionato in circostanze eccezionali ed in funzione delle modalità concrete del trattamento, ma dovrebbe essere soggetto ad un controllo rafforzato ed a garanzie più stringenti, quali:

  • proporzionalità della misura in termini di durata e portata

  • ridotta conservazione dei dati

  • rispetto del principio di limitazione della finalità.


4.  Contesto lavorativo

Il Comitato ha infine analizzato alcuni casi d’uso nel contesto lavorativo.

Ad esempio, le richieste di informazioni sanitarie specifiche nel contesto del COVID-19, rivolte dai datori di lavoro ai propri dipendenti, sarebbero ammesse soltanto nella misura consentita dal diritto nazionale (vedasi per l’Italia il Protocollo sulla sicurezza nei luoghi di lavoro firmato il 14 marzo 2020).

Parimenti, i datori di lavoro dovrebbero informare il personale sui casi di COVID-19 e adottare misure di protezione, ma non dovrebbero comunicare più informazioni del necessario.

E qualora occorresse indicare il nome del dipendente o dei dipendenti che avessero contratto il virus, a patto che ciò fosse ammesso dal diritto nazionale, i dipendenti interessati ne dovrebbero essere informati in anticipo tutelando la loro dignità e integrità.