Tra i temi sollevati dall’emergenza sanitaria da Covid-19 emerge quello relativo al trattamento dei dati personali e in particolare al rapporto tra l’impianto normativo ordinario, costituito in Italia dal Regolamento generale sulla protezione dei dati personali (GDPR) e dal Codice della Privacy, e i trattamenti di dati che, in modo diverso, derivano dalla crisi epidemiologica.
La gestione dell’emergenza e la lotta all’espandersi del virus hanno infatti determinato un aumento dei flussi e delle tipologie di trattamenti di dati personali, in primo luogo di quelli relativi alla salute, e potrebbero rendere necessario il ricorso a misure di geolocalizzazione dei soggetti contagiati e di mappatura costante dei movimenti, realizzate attraverso dispositivi mobili.
Allo stesso tempo, le misure adottate dal Governo per fronteggiare l’emergenza hanno avuto come effetto la crescita dei trattamenti di dati personali derivanti da attività che sempre più devono svolgersi attraverso Internet (lavoro agile, commercio online, lezioni, udienze).
In questo contesto, in molti si chiedono se l’emergenza in corso giustifichi deroghe alla disciplina in materia di protezione dei dati personali e permetta cioè qualche “strappo alla regola”, nel nome prima di tutto della tutela della salute pubblica, ma anche di quella del nostro sistema economico.
Una prima risposta era arrivata ai primi di marzo dal Garante per la protezione dei dati personali che, escludendo la legittimità del ricorso a iniziative “fai da te” nella raccolta dei dati, aveva precisato che i datori di lavoro devono astenersi dal raccogliere informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti e sui suoi spostamenti.
La conferma, ancora più autorevole, è arrivata pochi giorni fa dal Comitato europeo per la protezione dei dati (EDPB), organo europeo indipendente istituito dal GDPR e composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo.
Con la “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia da COVID-19” adottata il 19 marzo 2020, l’EDPB ha da un lato riconosciuto che “è nell’interesse dell’umanità arginare la diffusione delle malattie e utilizzare le tecniche moderne nella lotta contro i flagelli”, ma ha poi affermato che titolari e responsabili del trattamento, anche in questa situazione di emergenza, devono garantire la protezione dei dati personali degli interessati e agire quindi nell’ambito delle norme in materia di protezione dei dati personali, che non ostacolano l’adozione di misure per il contrasto della pandemia da Codiv-19.
L’EDPB sottolinea in particolare che il GDPR ha una portata ampia e contiene già previsioni che si applicano anche ai trattamenti in contesti di emergenza, alle quali quindi devono attenersi i titolari e i responsabili del trattamento.
Il riferimento è al considerando (46), che sancisce la liceità dei trattamenti necessari a tenere sotto controllo l’evoluzione di epidemie e all’articolo 9, paragrafo 2, lettere c) e i), ai sensi del quale è consentito il trattamento di dati biometrici e dati relativi alla salute anche in assenza del consenso dell’interessato se il trattamento è necessario, rispettivamente, per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona, e per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero.
Anche nell’ambito della gestione dell’emergenza da Covid-19 i trattamenti di dati personali devono quindi conformarsi ai principi che ispirano il GDPR e la disciplina nazionale in materia di protezione dei dati personali, e in particolare quelli di necessità, proporzionalità e minimizzazione, che impongono un’analisi sullo scopo della raccolta dei dati e sull’esistenza di misure meno invasive che siano idonee a conseguire i medesimi risultati.
Le limitazioni dei diritti alla protezione dei dati che dovessero essere necessarie per tutelare la salute pubblica dovranno quindi essere proporzionate, temporanee ed attuate nell’ambito del bilanciamento tra diritti contrapposti, in applicazione dei principi fondamentali relativi al trattamento dei dati personali.