Il 19 marzo 2020 il Comitato Europeo per la Protezione dei Dati Personali ( European Data Protection Board - EDPB) ha adottato una dichiarazione sul rapporto tra la protezione dei dati personali ed il contesto di emergenza epidemiologica COVID-19.
Il Comitato ha in primo luogo ribadito che le attuali norme privacy, quali il GDPR Reg. (UE) 2016/679, non ostacolano l’adozione di misure per il contrasto della pandemia di coronavirus, dal momento che l’eventualità del contesto di un’epidemia era già stato previsto ad esempio nel Considerando 46.
Il Comitato evidenzia che l'emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione però che tali limitazioni siano proporzionate e confinate al periodo di emergenza, sia dal punto di vista oggettivo che temporale.
In questo delicato equilibrio tra interesse pubblico e libertà degli individui, il Comitato affronta quattro temi in particolare:
Liceità del trattamento
Principi fondamentali
Geolocalizzazione tramite dispositivi mobili
Contesto lavorativo
1. Liceità del trattamento
Il Comitato ribadisce che il GDPR è una normativa di ampia portata che contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19.
1.1 Trattamento dei dati personali da parte di autorità pubbliche
Gli artt. 6 (par. 1, lett. e, ndr) e 9 (par. 2 lett. i per la sanità pubblica, ndr) del GDPR consentono tale trattamento nel contesto dell’emergenza, non essendo necessario basarsi sul consenso dei singoli.