Coronavirus: dichiarazione del 16 marzo 2020 del Comitato Europeo per la Protezione dei Dati (versione italiana)
Accedi alla versione originale in lingua inglese (in pdf) cliccando qui.
Dichiarazione della presidenza dell’EDPB sull’elaborazione di dati personali nel contesto dell’epidemia di COVID-19
Bruxelles, 16 marzo 2020 – Governi, organizzazioni pubbliche e private in tutta Europa stanno adottando misure per contenere e mitigare COVID-19. Ciò può comportare l’elaborazione di diversi tipi di dati personali.
Andrea Jelinek, presidente dell’European Data Protection Board (EDPB), ha dichiarato: “Le regole sulla protezione dei dati (come il GDPR) non ostacolano le misure adottate nella lotta contro la pandemia di coronavirus. Vorrei tuttavia sottolineare che, anche in questi tempi eccezionali, il responsabile del trattamento deve garantire la protezione dei dati personali degli interessati. Pertanto, si dovrebbero tener conto una serie di considerazioni per garantire il legittimo trattamento di dati personali”.
Il GDPR è una legislazione ampia e prevede anche le regole da applicare al trattamento dei dati personali in un contesto come quello relativo al COVID-19. Il GDPR prevede infatti le basi giuridiche per consentire ai datori di lavoro e alle competenti autorità sanitarie pubbliche di trattare i dati personali nel contesto di epidemie, senza la necessità di ottenere il consenso della persona interessata. Ciò vale ad esempio quando il trattamento dei dati personali è necessario per i datori di lavoro per motivi di interesse pubblico nel settore della sanità pubblica o per tutelare interessi vitali (art. 6 e 9 del GDPR) o per adempiere a un altro obbligo giuridico.
Per il trattamento dei dati relativi alle comunicazioni elettroniche, come ad esempio i dati relativi alla posizione dei dispositivi mobili, si applicano norme supplementari. Le leggi nazionali di attuazione della direttiva ePrivacy prevedono il principio che i dati relativi alla geolocalizzazione possono essere utilizzati dall’operatore solo se resi anonimi o con il consenso delle persone. Le autorità pubbliche dovrebbero innanzitutto mirare al trattamento dei dati relativi alla geolocalizzazione in modo anonimo (ossia così che il trattamento di dati aggregati non possa consentirne la conversione in dati personali). Ciò potrebbe consentire di generare rapporti sulla concentrazione di dispositivi mobili in una determinata località (“cartografia”).
Quando non è possibile trattare solo dati anonimi, Art. 15 della direttiva ePrivacy consente agli Stati membri di introdurre misure legislative che perseguono la sicurezza nazionale e la sicurezza pubblica. Questa legislazione di emergenza è possibile a condizione che costituisca un misura necessaria, appropriata e proporzionata all’interno di una società democratica. In caso di introduzione di tali misure, lo Stato membro è obbligato a mettere in atto adeguate misure di salvaguardia, come la concessione ai singoli del diritto al ricorso giurisdizionale.
