Con un comunicato stampa del 16 marzo 2020, il Comitato Europeo per la protezione dei dati personali (EDPB) ha pubblicato una dichiarazione della presidenza dell’EDPB in merito al trattamento dei dati personali nel contesto dell’epidemia COVID-19. Di seguito si riporta il testo tradotto (clicca qui per la versione originale)
* * * * * *
Bruxelles, 16 marzo 2020 – I governi, le organizzazioni pubbliche e private di tutta Europa stanno adottando misure per contenere e mitigare il contagio del virus COVID-19. Ciò può comportare il trattamento di diversi tipi di dati personali.
Andrea Jelinek, presidente del Comitato europeo per la protezione dei dati (EDPB), ha dichiarato: “Le norme di protezione dei dati (come il GDPR) non ostacolano l’adozione di misure per la lotta contro la pandemia del coronavirus. Vorrei tuttavia sottolineare che, anche in questi tempi eccezionali, il titolare del trattamento dei dati deve garantire la protezione dei dati personali degli interessati. Pertanto, è necessario procedere ad una serie di valutazioni per garantire il trattamento legittimo dei dati personali”.
Il GDPR è una legislazione ampia e prevede anche le regole da applicare al trattamento dei dati personali in un contesto come quello relativo all’emergenza dovuta al virus COVID-19. In effetti, il GDPR prevede le basi giuridiche per consentire ai datori di lavoro e alle autorità sanitarie pubbliche competenti di trattare i dati personali nel contesto di epidemie, senza la necessità di ottenere il consenso della persona interessata. Ciò vale ad esempio per i datori di lavoro quando il trattamento dei dati personali è necessario per motivi di interesse pubblico nel settore della sanità pubblica o per tutelare interessi vitali (art. 6 e 9 del GDPR) o per adempiere a un altro obbligo giuridico.
Per il trattamento dei dati relativi alle comunicazioni elettroniche, come ad esempio i dati relativi all’ubicazione, si applicano norme supplementari. Le leggi nazionali emanate in attuazione della Direttiva ePrivacy devono prevedere il principio secondo cui i dati relativi all’ubicazione possono essere utilizzati dall’operatore solo se resi anonimi o con il consenso delle persone. Le autorità pubbliche dovrebbero innanzitutto provvedere al trattamento dei dati relativi all’ubicazione in modo anonimo (ossia al trattamento di dati aggregati in modo tale che non possano essere considerati dati personali). Ciò potrebbe consentire di generare rapporti sulla concentrazione di dispositivi mobili in una determinata località (“cartografia”).
Quando non è possibile trattare solo dati anonimi, l’art. 15 della Direttiva ePrivacy consente agli Stati membri di introdurre misure legislative per il perseguimento di finalità di sicurezza nazionale e di pubblica sicurezza(*). Tali interventi legislativi sono consentiti a condizione che costituisca una misura necessaria, appropriata e proporzionata all’interno di una società democratica. Se tali misure sono introdotte, gli Stati Membri sono tenuti a mettere in atto adeguate salvaguardie, come il riconoscimento del diritto di presentare un ricorso giurisdizionale.
(*) In questo contesto, va evidenziato che la salvaguardia della salute pubblica può rientrare nell’eccezione della sicurezza nazionale e/o della pubblica sicurezza.
- “AI Chronicles”, il 1 Luglio un Convegno dedicato all’IA - 17 Giugno 2024
- Progetto ARC II, evento sul GDPR presso l’Università degli Studi di Cagliari - 6 Maggio 2024
- Nuovi scenari della giustizIA - 3 Ottobre 2022