Il Presidente del Comitato Europeo per la protezione dei dati ha preso posizione sul tema del trattamento dati in periodi di epidemia
Autore: Muia’ Pier Paolo
In: Diritto civile e commerciale
Comitato europeo per la protezione dei dati (EDPB), Dichiarazione del Presidente del 16.03.2020
Premessa
In questi giorni di grave crisi sanitaria che sta attraversando tutta l’Europa, si vede – particolarmente in Italia (che per prima ha dovuto fare fronte all’emergenza COVID-19), dove nel giro di un paio di settimane sono state emanate diverse disposizioni normative finalizzate sia a contenere e prevenire la diffusione del virus nel territorio, sia a introdurre nuove misure a sostegno di famiglie, lavoratori e imprese per contrastare gli effetti dell’emergenza coronavirus sull’economia italiana – numerosi governi europei hanno emanato disposizioni normative che influiscono sulla materia della protezione dei dati personali. Infatti, è evidente che le summenzionate misure, siano esse a carattere sanitario oppure a carattere economico, possono implicare un trattamento di dati personali, a volte anche di quelli appartenenti alla categoria di dati particolari di cui all’art. 9 del Regolamento Europeo 2016/679 (c.d. GDPR) (cioè quelli che con il vecchio codice privacy italiano erano definiti “dati sensibili”).
Volume dedicato
Il Comitato Europeo per la protezione dei dati
In considerazione di ciò, il Presidente del Comitato Europeo per la protezione dei dati (c.d. EDPB) ha rilasciato una dichiarazione – che di seguito riportiamo – con la quale pone una importante riflessione sulla questione della protezione dei dati personali in un momento eccezionale come quello che stiamo
© 2017 Diritto.it s.r.l. – Tutti i diritti riservati Fondatore Francesco Brugaletta
P.I. 01214650887
Diritto & Diritti ISSN 1127-8579
1 di 4
vivendo. Ricordiamo che il comitato europeo per la protezione dei dati è un organo europeo indipendente,
di cui fanno parte i rappresentanti delle autorità nazionali per la protezione dei dati (cioè i vari Garanti privacy delle nazioni aderenti all’UE) e il Garante europeo della protezione dei dati, il cui compito è quello di contribuire all’ applicazione coerente in tutto il territorio dell’Unione europea delle norme sulla protezione dei dati nonché di promuovere la cooperazione tra le varie autorità nazionali e europee che si occupano della tutela dei dati personali all’ interno del territorio dell’ Unione Europea.
Si legga anche:
-L’accesso non giustificato dei medici di un ospedale ai dossier sanitari dei pazienti costituisce trattamento illecito di dati;
-Paziente che chiede il risarcimento del danno per contagio da virus dell’epatite c a seguito di un intervento chirurgico deve dimostrare di aver contratto il virus a causa di detto intervento;
-La prima presa di posizione del Garante privacy sul trattamento dei dati personali connessi al possibile contagio da Coronavirus.
La dichiarazione del Presidente
Ebbene, ha dichiarato il Presidente del citato Comitato che “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data
of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data” (traduzione italiana per comodità di lettura: “Le norme sulla protezione dei dati (come il GDPR) non ostacolano le misure prese nella lotta contro la pandemia di coronavirus. Tuttavia, vorrei sottolineare che, anche in questi tempi eccezionali, il responsabile del trattamento dei dati deve garantire la protezione dei dati personali degli interessati. Pertanto, una serie di considerazioni dovrebbero essere valutate per garantire il trattamento legale dei dati personali.”
Riflessioni
In proposito, occorre evidenziare che nel complesso sistema normativo introdotto con il GDPR, si può ricavare anche una disciplina applicabile al trattamento dei dati personali in un contesto di epidemia ed emergenza sanitaria, come quello attuale.
L’art. 6 del Regolamento Europeo, infatti, nell’ esporre il principio di liceità del trattamento dei dati personali, stabilisce – fra le altre condizioni di liceità ivi elencate e per quanto qui di interesse – che “il
© 2017 Diritto.it s.r.l. – Tutti i diritti riservati Fondatore Francesco Brugaletta
P.I. 01214650887
Diritto & Diritti ISSN 1127-8579
2 di 4
trattamento è lecito solo se e nella misura in cui … il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica”. Ciò significa, quindic,he deve essere considerato lecito un trattamento di dati personali quando esso è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica e quindi anche quando vi siano in gioco le vite di un numero elevato di altre person.eIn questi casi, vi è sicuramente un valido motivo (anche di interesse pubblico) per giustificare un trattamento dati qualora esso sia necessario per tenere sotto controllo l’evoluzione di un’ epidemia(come quella attuale di COVID – 19) e la sua diffusione e conseguentemente per gestire la correlata emergenza sanitaria).
Analogamente, l’art. 9 del GDPR consente anche il trattamento di categorie particolari di dati, cioè quelli relativi alla salute, in presenza delle stesse condizioni di tutela degli interessi vitali dell’interessato o di un’ altra persona nonché più in generale se il trattamento è necessario per assolvere gli obblighi del titolare del trattamento in materia di sicurezza sociale e protezione sociale.
In considerazione di ciò, si può ritenere che, in presenza di un’ epidemia, sussistano dei validi motivi che legittimino i trattamenti dati personali da parte dei datori di lavoro e delle autorità sanitarie competenti, senza la necessità di ottenere il consenso dell’interessato. Ciò, ovviamente, come abbiamo visto, a condizione che il trattamento in questione sia necessario per motivi di interesse pubblico nel settore della salute pubblica o per proteggere interessi vitali delle persone.
Un altro aspetto che può interessare, in questa situazione di emergenza che ha imposto limitazioni anche alla libertà di movimento delle persone, il trattamento dei dati relativi alla posizione mobile (si pensi al gps dello smartphone) per individuare e registrare la eventuale presenza di assembramenti di persone in un dato luogo in modo da intervenire in maniera mirata per risolvere il problema.
Sul punto, può essere d’ aiuto la legislazione interna che ha dato attuazione alla direttiva europea e- privacy. In particolare, di rilievo è ilprincipio di anonimizzazione: in base al quale il titolare del trattamento può utilizzare i dati di localizzazione esclusivamente dopo averli resi anonimi oppure in presenza del consenso dell’ interessato. In applicazione di tale principio, quindi, i dati relativi all’ubicazione delle persone devono essere trattati applicando delle misure che impediscano di identificare gli interessati: per esempio attraverso la creazione di dati aggregati, dai quali non si possa quindi risalire ai dati personali dei singoli soggetti facenti parte del dato aggregato.
Infine, occorre evidenziare chela citata direttiva e-privacy ammette, in via eccezionale, il trattamento di dati non anonimi, in presenza della duplice condizione che: (i) vi siano ragioni di sicurezza nazionale e pubblica (come potrebbe evidentemente rientrarci la situazione di crisi sanitaria dovuta alla diffusione del coronavirus); (ii)vengano previste delle garanzie adeguate per la tutela degli interessati. In tal caso, quindi, gli stati membri dell’Unione Europea potrebbero adottare delle
© 2017 Diritto.it s.r.l. – Tutti i diritti riservati Fondatore Francesco Brugaletta
P.I. 01214650887
Diritto & Diritti ISSN 1127-8579
3 di 4
disposizioni normative apposite con le quali autorizzare il trattamento anche di dati non anonimi e prevedendo delle apposite misure di garanzia per gli interessati che siano adeguate ad una loro effettiva tutela.
Volume dedicato
https://www.diritto.it/il-presidente-del-comitato-europeo-per-la-protezione-dei-dati-ha-preso-posizione-sul-t ema-del-trattamento-dati-in-periodi-di-epidemia/