La gestione dell’emergenza coronavirus non deve diventare una giustificazione alla violazione delle garanzie sui dati personali. La nuova legislazione europea sulla privacy (General data protection regulation, Gdpr) prevede comportamenti specifici in caso di epidemie che governi, autorità pubbliche e aziende private stanno rispettando, ma esistono alcune aree di attenzione. È quanto si legge nella nota diffusa dalla European data protection board (Edpb), il comitato europeo per la protezione dei dati (organo europeo indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea, composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati).
La presidente dell’Edpb, Andrea Jelinek, ha affermato: “Le regole sulla data protection (come il Gdpr) non ostacolano le misure prese per combattere la pandemia di coronavirus. Tuttavia vorrei sottolineare che, anche in periodi eccezionali, il garante dei dati deve assicurare la protezione dei dati personali degli individui cui quei dati appartengono. Di conseguenza occorre tenere conto di alcune considerazioni per garantire il trattamento dei dati personali in piena legalità”.
Il Gdpr all’epoca del coronavirus
Il Gdpr è una normativa ampia che prevede anche regole da applicare all’elaborazione dei dati personali in contesti particolari come quello che si è creato con l’epidemia di Covid-19. Anzi, il Gdpr, spiega l’Edpb, fornisce proprio le basi legali che permettono ai datori di lavoro e alle autorità sanitarie pubbliche di usare i dati personali nel contesto di un’epidemia, senza bisogno di ottenere il consenso del detentore dei dati. Questo si applica, per esempio, quando l’utilizzo dei dati personali è necessario ai datori di lavoro per ragioni di pubblico interesse nell’ambito della salute pubblica o per proteggere interessi vitali (Art. 6 e 9 del Gdpr) o per ottemperare a un altro obbligo legale.
Il nodo dei dati sulla location
Per l’elaborazione di altri generi di dati, come quelli delle comunicazioni elettroniche – per esempio la mobile location – ci sono altre regole che si applicano, continua la nota dell’Edpb. Le leggi nazionali che hanno recepito la Direttiva ePrivacy prevedono il principio in base al quale “i dati del posizionamento possono essere usati dall’operatore solo se anonimizzati o con il consenso degli individui. Le autorità pubbliche dovrebbero prima cercare di utilizzare questo genere di dati in forma anonima (per esempio, aggregando i dati in modo che non si possa risalire al dato personale). Questo permetterebbe di generare report sulla concetrazione di dispositivi mobili in un certo luogo”, spiega l’Edpb.
Quando non è possibile usare solo dati anonimizzati, l’articolo 15 della Direttiva ePrivacy permette agli stati membri dell’Ue di introdurre misure legislative che derogano da questo principio in nome della sicurezza nazionale e pubblica. Questa “legislazione di emergenza” è possibile a condizione che costituisca una misura necessaria, appropriata e proporzionata nell’ambito di una società democratica. Se tali misure vengono introdotte, conclude la nota dell’Edpb, lo stato membro è obbligato a mettere in piedi adeguate protezioni, per esempio garantendo alle persone il diritto a un ricorso giurisdizionale contro misure da cui ci si sentono danneggiati.