Dichiarazione del presidente dell’EDPB sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19
Bruxelles, 16 marzo 2020
I governi, le organizzazioni pubbliche e private di tutta Europa stanno adottando misure per contenere e mitigare COVID-19. Ciò può comportare il trattamento di diversi tipi di dati personali.
Andrea Jelinek, presidente dell’European Data Protection Board (EDPB), ha dichiarato: “Le norme sulla protezione dei dati (come il GDPR) non ostacolano le misure prese nella lotta contro la pandemia di coronavirus. Tuttavia, vorrei sottolineare che, anche in questi tempi eccezionali, il responsabile del trattamento dei dati deve garantire la protezione dei dati personali degli interessati. Pertanto, una serie di considerazioni dovrebbero essere prese in considerazione per garantire il trattamento legale dei dati personali. “
Il GDPR è un’ampia legislazione e prevede anche che le regole si applichino al trattamento dei dati personali in un contesto come quello relativo al COVID-19. In effetti, il GDPR prevede i motivi legali per consentire ai datori di lavoro e alle autorità sanitarie competenti di trattare i dati personali nel contesto di epidemie, senza la necessità di ottenere il consenso dell’interessato. Ciò si applica ad esempio quando il trattamento dei dati personali è necessario per i datori di lavoro per motivi di interesse pubblico nel settore della salute pubblica o per proteggere interessi vitali (articoli 6 e 9 del GDPR) o per ottemperare a un altro obbligo legale.
Per il trattamento dei dati di comunicazione elettronica, come i dati sulla posizione mobile, si applicano regole aggiuntive. Le leggi nazionali di attuazione della direttiva e-privacy prevedono il principio secondo cui i dati di localizzazione possono essere utilizzati dall’operatore solo quando sono resi anonimi o con il consenso delle persone. Le autorità pubbliche dovrebbero in primo luogo mirare al trattamento dei dati relativi all’ubicazione in modo anonimo (ovvero l’elaborazione dei dati aggregati in modo tale da non poter essere convertiti in dati personali). Ciò potrebbe consentire di generare report sulla concentrazione di dispositivi mobili in una determinata posizione (“cartografia”).
Quando non è possibile trattare solo dati anonimi, l’art. 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per la sicurezza nazionale e pubblica * . Questa legislazione di emergenza è possibile a condizione che costituisca una misura necessaria, adeguata e proporzionata all’interno di una società democratica. Se vengono introdotte misure di questo tipo, uno Stato membro è tenuto a istituire garanzie adeguate, come garantire alle persone il diritto a un ricorso giurisdizionale.
* In questo contesto, si noti che la tutela della salute pubblica può rientrare nell’eccezione di sicurezza nazionale e / o pubblica.
Fonte: