Il Comitato europeo per la protezione dei dati (EDPB) è finalmente intervenuto sul tema del rispetto della privacy e delle norme GDPR nel contesto della crisi legata al coronavirus: l’EDPB apre al trattamento di dati personali come misura volta a contenere la pandemia, compreso il tracciamento di dati telefonici. Vediamo i dettagli.
Indice degli argomenti
GDPR e coronavirus: l’intervento dell’EDPB
Come auspicato, il Comitato europeo per la protezione dei dati (EDPB) si è finalmente espresso su come applicare la normativa sulla protezione dei dati personali nel contesto della crisi legata al coronavirus. L’intervento dell’EDPB arriva con un certo ritardo rispetto alla pubblicazione di analoghe indicazioni da parte di numerose autorità garanti europee (incluso il Garante italiano), che nei giorni scorsi si sono espresse, spesso in modo discordante, sul tema.
Ed è proprio tale disallineamento che ha reso necessario l’intervento dell’EDPB. Le indicazioni fornite dall’EDPB non chiariscono tutte le questioni su cui si dibatte da giorni, ma offrono alcuni spunti interessanti.
Contenimento del coronavirus, il GDPR non è un ostacolo
In primo luogo, l’EDPB ha chiarito che la normativa sulla privacy, e in particolare il GDPR, non costituisce un limite all’adozione di misure per combattere la pandemia del coronavirus. A questo proposito, l’EDPB sottolinea come il GDPR offra svariate basi giuridiche che possono essere utilizzate, in alternativa al consenso, per poter trattare dati personali come misura di contenimento del contagio.
L’EDPB indica in particolare che il trattamento potrebbe essere giustificato se: “necessario per motivi di interesse pubblico nel settore della sanità pubblica” (art. 9(2)(i) GDPR); “necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica” (artt. 6(1)(d) e 9(2)(c) GDPR); o “necessario per adempiere un obbligo legale” (artt. 6(1)(c) e 9(2)(b) GDPR).
Ciò sembrerebbe indicare che l’EDPB è aperto alla possibilità di consentire alle aziende di raccogliere i dati personali dei propri dipendenti e di altri, compresi i dati sanitari, per prevenire la diffusione del virus, almeno se ciò avviene secondo criteri di proporzionalità, di necessità, proporzionalità e in conformità alla normativa nazionale applicabile.
In ogni caso, l’EDPB sottolinea come qualsiasi additività di trattamento di dati personali debba rispettare i principi fondamentali del diritto alla protezione dei dati personali, i quali richiedono che questi vengano:
- raccolti per finalità determinate ed esplicite;
- trattati in modo trasparente, fornendo le adeguate informative agli interessati; e
- trattati in maniera da garantire un’adeguata sicurezza dei dati personali.
Tracciamento dei dati telefonici
L’aspetto più interessante del parere espresso dall’EDPB riguarda il tracciamento di dati telefonici. A questo proposito, l’EDPB osserva come ai sensi della Direttiva ePrivacy i dati relativi all’ubicazione di un dispositivo mobile (come uno smartphone o un cellulare) possano essere utilizzati dall’operatore telefonico interessato solo quando i dati sono stati resi anonimi (ad esempio, tramite un processo di aggregazione dei dati) o con il consenso degli utenti. Ciò consentirebbe alle autorità pubbliche di ottenere dati aggregati dagli operatori telefonici per generare ed utilizzare rapporti sulla concentrazione di dispositivi mobili in una determinata posizione geografica.
L’EDPB sottolinea come l’uso di dati resi anonimi sia la soluzione da preferire. Tuttavia, qualora non sia possibile (o utile) rendere anonimi i dati, l’EDPB ricorda come la Direttiva ePrivacy permetta agli Stati Membri (come l’Italia) di consentire il trattamento dei dati relativi all’ubicazione di dispositivi mobili senza il consenso degli utenti. Ciò deve però essere necessariamente previsto in maniera espressa dalla normativa d’emergenza adottata dallo Stato Membro interessato, la quale deve rispondere a criteri di necessità, appropriatezza e proporzionalità. Sul punto, l’EDPB ritiene che “misure invasive, come il ‘tracking’ degli individui (ovvero l’elaborazione di dati storici sulla posizione non anonimizzati) potrebbero essere considerate proporzionate in circostanze eccezionali e a seconda delle modalità concrete del trattamento. Tuttavia, dovrebbero essere soggette a maggiori controlli e garanzie per garantire il rispetto dei principi di protezione dei dati (proporzionalità della misura in termini di durata e portata, limitata conservazione dei dati e limitazione delle finalità)”. In sostanza. L’EDPB apre ad un uso oculato di app per il tracciamento.
Alcuni Stati Membri potrebbero quindi decidere di usufruire di questa possibilità per introdurre sistemi di tracciamento in parte simili a quelli utilizzati in Corea del Sud o a Singapore per combattere il virus. A questo proposito, l’EDPB purtroppo non chiarisce quali siano le misure di salvaguardia che tali misure nazionali devono necessariamente prevedere. C’è quindi il rischio che ogni Stato Membro interpreti a suo modo questa “clausola di apertura”, con la conseguenza che i cittadini europei potrebbero godere di diversi livelli di tutela a seconda dello Stato Membro di residenza.
A quanto risulta, la Slovacchia è stata la prima a regolamentare in maniera espressa l’uso dei dati telefonici nel contesto della pandemia, consentendo per legge alle proprie autorità sanitarie di richiedere tali dati, anche in forma non anonima, agli operatori telefonici. E’ probabile che simili normative vengano introdotte in altri Stati Membri, con l’introduzione delle necessarie sfumature nazionali.
Conclusioni
Pur se l’intervento dell’EDPB è da ritenersi apprezzabile, ulteriori chiarimenti sarebbero auspicabili, in particolare in questa difficile congiuntura dove la tensione tra rispetto della privacy ed obbiettivi di salute pubblica appare più che mai evidente.
Non è però da escludersi che l’EDPB torni ad occuparsi di questi temi nei giorni a seguire, magari con delle linee guida più dettagliate su come riuscire a far collimare, in modo concreto, il rispetto della privacy con la tutela della salute. Tuttavia, al momento, è più probabile che tali ulteriori chiarimenti vengano dalle autorità garanti della privacy nazionali, visto che gli Stati Membri sembrerebbero voler seguire approcci diversi, soprattutto per quanto riguarda il monitoraggio tecnologico del diffondersi del virus.
