Indicazioni europee sul trattamento dei dati ai tempi del Covid-19

La pandemia ha acceso un dibattito sul rapporto tra diritto alla riservatezza e diritto alla salute, quasi come se il primo ostacolasse il secondo.

In realtà i due diritti possono, e devono, coesistere sempre e soprattutto in un periodo di emergenza in cui potrebbe essere forte la tentazione di abbassare il livello di guardia.

In questo contesto il Garante Privacy italiano e l’European Data Protection Board (EDPB) hanno ribadito che il Regolamento per la protezione dei dati personali non è di ostacolo alle misure di prevenzione.

Il 19 marzo 2020 l’EDPB ha inoltre adottato una dichiarazione formale in cui sottolinea che una situazione di emergenza sanitaria può essere una condizione legale per legittimare la restrizione delle libertà purché ciò avvenga in maniera proporzionata e limitata al periodo di emergenza.

Il Regolamento 2016/679 ha una portata ampia e contiene disposizioni che ben si applicano al trattamento dei dati personali in un contesto come quello del COVID-19.  Il considerando 46 fa espresso riferimento al controllo di un’epidemia.

Il trattamento dei dati personali e delle categorie di dati personali da parte delle Autorità pubbliche competenti è consentito dagli artt. 6 e 9 del Regolamento, in particolare quando esso ricade nell’ambito delle competenze che il diritto nazionale attribuisce a tale Autorità pubblica.

Allo stesso modo il trattamento dei dati personali, nel contesto lavorativo, può essere necessario per adempiere ad un obbligo legale. In tale caso il Regolamento deroga al divieto del trattamento dei dati particolari, come previsto all’art. 9, comma 2 lett. c) e i).

Per il trattamento dei dati delle telecomunicazioni, come quelli relativi all’ubicazione di una persona, l’EDPB avverte che devono essere rispettate le normative nazionali di attuazione della direttiva E-Privacy. L’introduzione di misure legislative per salvaguardare la sicurezza pubblica deve quindi avere carattere eccezionale e osservare i principi di necessità, proporzionalità e adeguatezza.

In merito all’utilizzo di dati sulla localizzazione attraverso dispositivi mobili per monitorare e contenere il contagio, l’EDPB afferma che le Autorità pubbliche devono cercare di trattare i dati relativi all’ubicazione in modo anonimo. Laddove ciò non sia possibile, la direttiva e-privacy consente agli stati membri di introdurre misure legislative per la salvaguardia della sicurezza pubblica, ma devono essere privilegiate le soluzioni meno intrusive e proporzionate.

Se quindi il trattamento è possibile e necessario per tutelare la salute, non si possono dimenticare le garanzie a tutela dei diritti fondamentali delle persone fisiche.

I dati, comunque raccolti, anche attraverso una APP, devono essere sempre trattati per finalità specifiche ed esplicite e gli interessati devono essere informati sulle attività di trattamento, incluso il periodo di conservazione e la finalità.

Chi gestisce i dati deve porre la massima attenzione alla sicurezza ed adottare tutte le misure di sicurezza e riservatezza idonee ad impedire la divulgazione dei dati a soggetti non autorizzati. Precauzione ancora più importante quando in gioco ci sono i dati più sensibili che ci riguardano.

Qualsiasi misura a salvaguardia della nostra salute è la benvenuta. Incompetenze e superficialità devono però essere evitate.