Il Garante italiano è stato il primo ad esprimersi, ma ormai le autorità garanti di mezza Europa hanno fornito indicazioni su come applicare il GDPR nel contesto della crisi legata al coronavirus. Purtroppo però, le posizioni assunte non sono sempre allineate. È quindi possibile, e forse auspicabile, che presto intervenga il Comitato europeo per la protezione dei dati (EDPB) per dare un indirizzo comune.
Al momento risulta che si siano espresse le autorità italiana, francese, polacca, spagnola, britannica, irlandese, norvegese, danese, islandese, lussemburghese, slovacca e slovena. Le posizioni espresse da queste autorità non sono però sempre allineate. Vediamo come.
Indice degli argomenti
Le posizioni più rigide: Italia e Francia
Il Garante italiano è stato il primo ad esprimersi sul tema. Ciò non sorprende vista la rapidità con cui il virus si è diffuso in Italia. La posizione di base assunta dal Garante è piuttosto rigida: i titolari del trattamento non devono effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti. A detta del Garante, l’accertamento e la raccolta di informazioni relative ai sintomi tipici del coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spetterebbero esclusivamente alle autorità sanitarie. Il garante francese (CNIL) e lussemburghese (CNPD) hanno assunto posizioni simili. In sostanza, secondo queste autorità, la normativa sulla privacy imporrebbe forti limitazioni alla possibilità di raccogliere e trattare dati personali come misura di contenimento del contagio da parte di aziende ed enti privati.
L’approccio di UK, Irlanda, Danimarca e Norvegia
Altre autorità hanno assunto posizioni quasi opposte. Ad esempio, il garante britannico (ICO) ha sottolineato come la normativa sulla protezione dei dati non costituisca un ostacolo all’adozione di misure volte a contenere la pandemia del Coronavirus. Ha anche sottolineato che, alla luce della gravità della crisi attuale, l’ICO adotterà un approccio pragmatico rispetto all’enforcement del GDPR, un approccio volto a non penalizzare le organizzazioni che si stanno impegnando principalmente su altri fronti rispetto al pedissequo rispetto della normativa sulla privacy. Ad esempio, l’ICO ha annunciato che non imporrà sanzioni a quei titolari che non saranno in grado di rispondere alle richieste degli interessati entro i termini stabiliti per legge. Un approccio in parte simile è quello dei garanti danese e norvegese – che in stile tipicamente scandinavo hanno indicato che applicheranno la normativa sulla privacy secondo “buon senso” – nonché di quello irlandese.
Le questioni più dibattute
Una delle questioni di maggior rilievo per le aziende, ma anche una di quelle più dibattute riguarda la possibilità di richiedere al singolo lavoratore informazioni sulla presenza di eventuali sintomi influenzali nonché sull’eventuale soggiorno dello stesso in zone a rischio epidemiologico. Il Garante italiano sostanzialmente nega questa possibilità. Al contrario, secondo l’ICO è ragionevole chiedere alle persone se hanno visitato un determinato Paese o se presentano i sintomi del COVID-19. Anche il garante irlandese ritiene che i datori di lavoro siano giustificati nel “chiedere a dipendenti e visitatori di informarli se hanno visitato un’area a rischio e/o stanno riscontrando sintomi”, nonché nel “richiedere ai dipendenti di informarli se sono stati diagnosticati con COVID-19 al fine di consentire l’adozione delle misure necessarie”.
Un’altra questione dibattuta attiene a come qualificare le informazioni relative alla quarantena: si tratta di “dati relativi alla salute” – quindi di dati sensibili che godono di maggiori tutele – o di dati personali “semplici”? A detta del garante norvegese tali informazioni non sarebbero qualificabili come “dati relativi alla salute”. Tale posizione non è condivisa da tutti. Infatti, pur se è vero che il fatto che un soggetto sia stato posto in quarantena non indica di per sé che lo stesso sia stato contagiato, è anche vero che ai sensi del GDPR i “dati relativi alla salute” ricomprendono anche informazioni riguardanti “il rischio di malattie”. In aggiunta, le autorità che si sono espresse finora non paiono concordare su quali siano le basi giuridiche di rilievo. Alcune autorità, come quella spagnola, ritengono che siano molte le basi giuridiche astrattamente applicabili al trattamento di dati nel contesto della lotta al COVID-19. Altre autorità indicano invece un numero piuttosto limitato di basi giuridiche applicabili.
Conclusioni
Alla luce delle divergenze riscontrate è possibile che il Comitato europeo per la protezione dei dati (“EDPB”) decida di intervenire per dare un indirizzo comune. Uno dei compiti dell’EDPB è infatti quello di assicurare un’applicazione più armonica delle norme sulla privacy in Europa, attraverso l’emanazione di linee guida e pareri. Una maggiore chiarezza e armonia interpretativa sarebbe particolarmente auspicabile in questa difficile congiuntura, dove la tensione tra rispetto della privacy ed obbiettivi di salute pubblica appare più che mai evidente.
