Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19
adottata il 19 marzo 2020 da: EDPB – Comitato europeo per la protezione dei dati pubblicata sul sito web del Garante privacy il 20 marzo 2020
Sul sito del Garante è stata pubblicata la “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19” adottata dal Comitato europeo per la protezione dei dati (EDPB) per ribadire sostanzialmente:
- che le norme di protezione dei dati non ostacolano le misure di contrasto al coronavirus
- che la lotta contro le malattie trasmissibili va sostenuta nel miglior modo possibile
- che è nell’interesse dell’umanità usare tecniche moderne di lotta contro tali flagelli
- che sono legittime le limitazioni delle libertà proporzionate e circoscritte all’emergenza
- e che le misure da adottare devono rispettare i principi generali del diritto
In merito alla liceità del trattamento dei dati personali, la dichiarazione del Comitato EDPB evidenzia che il GDPR è una normativa di ampia portata, certamente applicabile nel contesto di epidemie come Covid-19 pure in ambito lavorativo; operando nel rispetto delle norme del diritto nazionale e delle condizioni ivi stabilite, le disposizioni del GDPR consentono di trattare i dati anche particolari e senza basarsi sul consenso dei singoli interessati se il trattamento è necessario …
- per adempiere un obbligo legale a cui è soggetto il datore di lavoro (GDPR art. 6 § 3), ad es. come nel caso degli obblighi legali in materia di salute e sicurezza sul luogo di lavoro oppure per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria
- per motivi di interesse pubblico rilevante (GDPR C46; art. 9 § 2 c, i), ad es. per il controllo di un’epidemia o la protezione da gravi minacce di natura sanitaria
- per rispettare leggi nazionali come quella di attuazione della direttiva e-privacy su vita privata e comunicazioni elettroniche, ad es. come nel caso dei dati di ubicazione
In tale particolare ambito, la dichiarazione ricorda:
- che tali dati possono essere utilizzati dagli operatori se resi anonimi oppure con il consenso degli interessati
- e che l’art. 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative eccezionali di tutela della sicurezza pubblica solo se necessarie, adeguate e proporzionate all’interno di una società democratica
Tali misure devono essere:
- conformi alla Carta dei diritti fondamentali e alla Convenzione UE per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali
- subordinate al controllo giurisdizionale della Corte di giustizia UE e della Corte europea dei diritti dell’uomo
- rigorosamente limitate alla durata dell’emergenza
PRINCÌPI FONDAMENTALI DI TRATTAMENTO DEI DATI PERSONALI
Al riguardo, viene segnalato, tra l’altro:
- finalità di trattamento specifiche, esplicite e trasparenti ad es., attività svolte, caratteristiche principali, periodo di conservazione dei dati, ecc.
- informazioni facilmente accessibili, formulate in un linguaggio semplice e chiaro
- adozione di adeguate misure di sicurezza e riservatezza che garantiscano che i dati personali non siano divulgati a soggetti non autorizzati (da documentare anche con riguardo ai relativi processi decisionali)
ASPETTI RELATIVI AL CONTESTO LAVORATIVO AFFRONTATI NELLA DICHIARAZIONE DEL COMITATO EDPB
un datore di lavoro può chiedere a visitatori o dipendenti loro dati sanitari sul Covid-19?Nel caso di specie, è particolarmente pertinente l’applicazione dei principi di proporzionalità e di minimizzazione dei dati. Il datore di lavoro dovrebbe chiedere informazioni sanitarie soltanto nella misura consentita dal diritto nazionale
il datore di lavoro è autorizzato a effettuare controlli medici sui dipendenti?La risposta dipende dalle leggi nazionali in materia di lavoro o di salute e sicurezza. I datori di lavoro dovrebbero accedere ai dati sanitari e trattarli solo se ciò sia previsto dalle rispettive norme nazionali
il datore di lavoro può informare soggetti esterni che un dipendente è affetto dal COVID-19?I datori di lavoro dovrebbero informare il personale sui casi di COVID-19 e adottare misure di protezione, ma non dovrebbero comunicare più informazioni del necessario. Qualora occorra indicare il nome del dipendente o dei dipendenti che hanno contratto il virus (ad esempio, in un contesto di prevenzione) e il diritto nazionale lo consenta, i dipendenti interessati ne sono informati in anticipo tutelando la loro dignità e integrità
quali informazioni trattate nel contesto COVID-19 possono essere usate dai datori di lavoro?I datori di lavoro possono ottenere informazioni personali nella misura necessaria ad adempiere ai loro obblighi e a organizzare le attività lavorative, conformemente alla legislazione nazionale.
USO DI DATI DI LOCALIZZAZIONE DA DISPOSITIVI MOBILI
I governi degli Stati membri possono utilizzare i dati personali relativi ai telefoni cellulari dei singoli nell’intento di monitorare, contenere o attenuare la diffusione del COVID-19?
In alcuni Stati membri i governi prevedono di utilizzare i dati di localizzazione da dispositivi mobili per monitorare, contenere o attenuare la diffusione del COVID-19
Ciò implicherebbe, ad esempio, la possibilità di geolocalizzare le persone o di inviare messaggi di sanità pubblica ai soggetti che si trovano in una determinata area, via telefono o SMS
Le autorità pubbliche dovrebbero innanzitutto cercare di trattare i dati relativi all’ubicazione in modo anonimo (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi sulla concentrazione di dispositivi mobili in un determinato luogo (“cartografia”)
Le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati
Quando non è possibile elaborare solo dati anonimi, la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15)
Qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l’obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale
Si applica anche il principio di proporzionalità. Si dovrebbero sempre privilegiare le soluzioni meno intrusive, tenuto conto dell’obiettivo specifico da raggiungere
Misure invasive come il “tracciamento” (ossia il trattamento di dati storici di localizzazione in forma non anonimizzata) possono essere considerate proporzionate in circostanze eccezionali e in funzione delle modalità concrete del trattamento
Tuttavia, tali misure dovrebbero essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità)