Il 19 marzo 2020 il Comitato Europeo per la Protezione dei Dati Personali ( European Data Protection Board - EDPB) ha adottato una dichiarazione sul rapporto tra la protezione dei dati personali ed il contesto di emergenza epidemiologica COVID-19.
Il Comitato ha in primo luogo ribadito che le attuali norme privacy, quali il GDPR Reg. (UE) 2016/679, non ostacolano l’adozione di misure per il contrasto della pandemia di coronavirus, dal momento che l’eventualità del contesto di un’epidemia era già stato previsto ad esempio nel Considerando 46.
Il Comitato evidenzia che l'emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione però che tali limitazioni siano proporzionate e confinate al periodo di emergenza, sia dal punto di vista oggettivo che temporale.
In questo delicato equilibrio tra interesse pubblico e libertà degli individui, il Comitato affronta quattro temi in particolare:
Liceità del trattamento
Principi fondamentali
Geolocalizzazione tramite dispositivi mobili
Contesto lavorativo
1. Liceità del trattamento
Il Comitato ribadisce che il GDPR è una normativa di ampia portata che contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19.
1.1 Trattamento dei dati personali da parte di autorità pubbliche
Gli artt. 6 (par. 1, lett. e, ndr) e 9 (par. 2 lett. i per la sanità pubblica, ndr) del GDPR consentono tale trattamento nel contesto dell’emergenza, non essendo necessario basarsi sul consenso dei singoli.
1.2 Contesto lavorativo
Il trattamento dei dati personali può essere necessario per adempiere ad un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro, potendo trattare dati particolari, come i dati sanitari, se ciò sia necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i) o laddove vi sia la necessità di proteggere gli interessi vitali dell'interessato (articolo 9.2.c).
1.3 Trattamento dei dati delle telecomunicazioni, come i dati relativi all'ubicazione
In linea di principio, i dati relativi all'ubicazione possono essere utilizzati dall'operatore solo se resi anonimi o con il consenso dei singoli.
Tuttavia, l'articolo 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica: trattasi di legislazione eccezionale, ammessa solo se costituisce una misura necessaria, adeguata e proporzionata all'interno di una società democratica ed in ogni caso conforme alla Carta dei diritti fondamentali ed alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali. L’eventualità deve essere rigorosamente limitata alla durata dell'emergenza.
2. Principi fondamentali
La tipologia di trattamento eccezionale in considerazione è soggetto ai principi:
della necessità
del perseguimento di finalità specifiche ed esplicite
della trasparenza sulle attività di trattamento svolte e sulle loro caratteristiche principali, compreso il periodo di conservazione dei dati raccolti e le finalità del trattamento
della facile accessibilità
del linguaggio semplice e chiaro
della garanzia mediante misure di sicurezza e riservatezza contro il rischio di divulgazione a soggetti non autorizzati
della documentazione delle misure adottate e del relativo processo decisionale.
3. Geolocalizzazione tramite dispositivi mobili
L’eventuale utilizzo dei dati personali relativi ai telefoni cellulari dei singoli, nell’intento di monitorare, contenere o attenuare la diffusione del COVID-19, rappresenta un tema molto delicato in quanto i dati relativi all'ubicazione dovrebbero essere trattati in modo anonimo, ossia in forma aggregata e tale da non consentire la successiva re-identificazione delle persone.
Il che potrebbe permettere di generare analisi sulla concentrazione di dispositivi mobili in un determinato luogo ("cartografia").
Se è vero che il GDPR ed in genere la disciplina sulla data protection non si applichi ai dati che sono stati adeguatamente anonimizzati, va peraltro considerato che la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15), a condizione però che siano predisposte garanzie adeguate, ad esempio fornendo agli utenti il diritto ad un ricorso giurisdizionale.
Si dovrebbe inoltre garantire il principio di proporzionalità, privilegiando sempre le soluzioni meno intrusive, tenuto conto dell'obiettivo specifico da raggiungere.
In questo senso il "tracciamento", anche di dati storici di localizzazione in forma non anonimizzata, potrebbe essere considerato proporzionato in circostanze eccezionali ed in funzione delle modalità concrete del trattamento, ma dovrebbe essere soggetto ad un controllo rafforzato ed a garanzie più stringenti, quali:
proporzionalità della misura in termini di durata e portata
ridotta conservazione dei dati
rispetto del principio di limitazione della finalità.
4. Contesto lavorativo
Il Comitato ha infine analizzato alcuni casi d’uso nel contesto lavorativo.
Ad esempio, le richieste di informazioni sanitarie specifiche nel contesto del COVID-19, rivolte dai datori di lavoro ai propri dipendenti, sarebbero ammesse soltanto nella misura consentita dal diritto nazionale (vedasi per l’Italia il Protocollo sulla sicurezza nei luoghi di lavoro firmato il 14 marzo 2020).
Parimenti, i datori di lavoro dovrebbero informare il personale sui casi di COVID-19 e adottare misure di protezione, ma non dovrebbero comunicare più informazioni del necessario.
E qualora occorresse indicare il nome del dipendente o dei dipendenti che avessero contratto il virus, a patto che ciò fosse ammesso dal diritto nazionale, i dipendenti interessati ne dovrebbero essere informati in anticipo tutelando la loro dignità e integrità.