GDPR, EDPB e CORONAVIRUS

In questi giorni è sceso a combattere il Coronavirus anche l’EDPB (Comitato europeo per la protezione dei dati): “trattare i dati personali come misura di contenimento del contagio“. 

Questo infatti sembra essere il “motto” del Comitato. Una direzione che potrebbe apparire incoerente con la propria mission: utilizzare dei dati che sono strettamente personali, pur essendo un Comitato che lavora al fine di proteggerli?

Eppure in questi giorni abbiamo appreso come Google ed i social network quali Facebook, nel resto del mondo potrebbero essere usati per mappare il contagio.

E in Europa?

1) Cos'è il regolamento GDPR

Dato il districato complesso che regola le normative sulla privacy, proveremo a far chiarezza delicatamente partendo dal Regolamento essenziale: il GDPR.

Il GDPR (General Data Protection Regulation), o Regolamento Ue 2016/679, è stato emanato dall’Ue per la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Con il GDPR l’Ue ha quindi voluto focalizzare i seguenti obiettivi:

• regole e limiti più precisi su informativa e consenso e al trattamento automatizzato dei dati personali
• norme rigorose per i casi di violazione dei dati
• realizzazione di un terreno fertile per futuri diritti e criteri inflessibili per il loro trasferimento al di fuori dell’Ue

Anche se il GDPR è stato attuato in Europa nel maggio del 2016, in Italia è entrato in vigore tardi – due anni dopo – a settembre tramite il Decreto legislativo 10 agosto 2018, n. 101 (detto del GDPR) e quindi pienamente integrato nella normativa nazionale.

Ora, la presenza del GDPR in Europa ha dato vita a numerosissimi ed importantissimi decreti e provvedimenti legati ad esso, soprattutto in Italia, ad esempio il Provvedimento n.127 del 12 giugno 2019 approvato dal Garante privacy e denominato Codice di condotta per il trattamento dei dati personali in materia di informazioni commerciali:

Con il nuovo Codice viene garantito il principio di accountability introdotto dal GDPR, ovvero garantire alle associazioni di categoria e alle imprese un’applicazione consapevole e trasparente delle norme regolamentari. La svolta è che con il Codice di condotta le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager possono disporre e trattare i dati personali dei soggetti censiti senza richiederne il consenso. Ovviamente le medesime società a loro volta dovranno tutelare maggiormente i soggetti interessati, tramite i diritti esposti e contenuti nella normativa privacy. 

2) La posizione dell'EDPB

Negli ultimi giorni varie autorità Garanti (inclusa quella italiana) sono intervenute con la pubblicazione di alcune indicazioni spesso discordanti sull’argomento, come per esempio ribadendo il principio di accountability. Pertanto, con ritardo, la Presidente dell’EDPB si è espressa finalmente sull’applicazione della normativa sulla privacy nella situazione attuale di pandemia con un articolo pubblicato il 16 marzo 2020 sullo stesso sito dell’EDPB: https://edpb.europa.eu/ .

Ora l’EDPB, organismo europeo autonomo, ha come vocazione quella di garantire proprio un’applicazione efficace del GDPR e promuovere, guidare, incoraggiare, intervenire nell’applicazione e controversie del medesimo Regolamento (GDPR) tramite la cooperazione delle varie autorità garanti della privacy nel territorio europeo.

In primis – come si evince dall’articolo pubblicato sul sito del Comitato – l’EDPB ha chiarito che il GDPR non rappresenta un limite all’adozione di misure per combattere la pandemia del Coronavirus, evidenziando che il GDPR possa garantire fondamenta giuridiche per trattare i dati personali come misura di contenimento del contagio: «Le norme sulla protezione dei dati (come il GDPR) – secondo Andrea Jelinek, presidente dell’EDPB – non ostacolano le misure prese nella lotta contro la pandemia di coronavirus».

In particolare secondo l’EDPB il trattamento potrebbe essere giustificato se: “necessario per motivi di interesse pubblico nel settore della sanità pubblica” (art. 9(2)(i) GDPR); “necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica” (artt. 6(1)(d) e 9(2)(c) GDPR); o “necessario per adempiere un obbligo legale” (artt. 6(1)(c) e 9(2)(b) GDPR).

3) EDPB e anonimato dei dati sensibili

Come si traduce tutto ciò per le imprese e le aziende? Potrebbero raccogliere i dati personali dei propri dipendenti e di altri, compresi i dati sanitari, per prevenire la diffusione del virus.

Un esempio è già delineato nell’intervento dell’EDPB, essendo riportata la casistica legata al tracciamento dei dati telefonici – in breve: di norma i dati relativi alla posizione di uno smartphone possono essere utilizzati dall’operatore telefonico interessato solo quando i dati sono stati resi anonimi o con il consenso degli utenti. Ciò è uno strumento utilissimo per le autorità pubbliche quando hanno bisogno di analisi sulla concentrazione di dispositivi mobili in un determinato luogo o posizione geografica. 

Ora, con l’intervento dell’EDPB che richiama la Direttiva ePrivacy, anche se non fosse possibile lasciare anonimi i dati sensibili, si può comunque intervenire nel trattamento dei dati senza il consenso dei soggetti interessati: «in effetti, il GDPR prevede i motivi legali per consentire ai datori di lavoro e alle autorità sanitarie competenti di trattare i dati personali nel contesto di epidemie, senza la necessità di ottenere il consenso dell’interessato […] Quando non è possibile trattare solo dati anonimi, l’art. 15 della direttiva e-privacy consente agli Stati membri di introdurre misure legislative per la sicurezza nazionale e pubblica».

L’intervento dell’ EDPB per il trattamento dei dati sensibili non fornisce comunque uno “strumento” giuridico generale ed oggettivo, ovvero valido per tutti gli Stati Membri, lasciando così ad ogni Stato una propria libera interpretazione dell’intervento dell’EDPB.