La pandemia da coronavirus (COVID-19) ha colpito più di 3,9 milioni di persone in tutto il mondo (all’11 maggio 2020). La maggior parte delle aziende si trova ad affrontare una crisi senza precedenti in termini di impatto economico.
Le implicazioni economiche di questa crisi hanno interessato quasi tutti i settori, dal servizio clienti alle operazioni finanziarie e di gestione ordinaria delle aziende convolte.
La pandemia ha anche influenzato in modo significativo le attività in materia di protezione dei dati personali. Pertanto, le autorità di protezione dei dati di tutto il mondo stanno intensificando attivamente i propri controlli al fine di dare il loro contributo e la loro guida in materia di elaborazione dei dati oltre che alla lotta contro il coronavirus.
The European Data Protection Board (EDPB)
Il 19 marzo 2020, il Comitato Europeo per la Protezione dei Dati (European Data Protection Board - EDPB) ha adottato una "Dichiarazione sul trattamento dei dati personali nel contesto dell'epidemia di COVID-19". La dichiarazione sottolinea che mentre le norme sulla protezione dei dati personali, compreso il Regolamento Generale sulla Protezione dei Dati dell'Unione europea ("GDPR") non devono "ostacolare le misure adottate nella lotta" contro COVID-19, i titolari del trattamento ed i responsabili del trattamento devono garantire "anche in questi tempi eccezionali” la protezione dei dati personali degli individui. L'EDPB ha chiarito in particolare, che tutte le misure adottate in questo contesto devono comunque essere conformi ai principi generali di legge in materia di protezione dei dati personali ad oggi vigenti e che "l'emergenza è una condizione giuridica che può legittimare le restrizioni alla libertà a condizione che tali restrizioni siano proporzionate e limitate al periodo di emergenza”.
Inoltre, l'EDPB ha ribadito i principi fondamentali in materia di protezione della privacy riguardo ai dati personali che i titolari ed i responsabili del trattamento sono tenuti a rispettare. Tra questi principi ci sono quelli che affermano che gli interessati dovrebbero ricevere informazioni trasparenti sulle attività di trattamento dei propri dati, compresi gli scopi correlati, i periodi di elaborazione e conservazione e che la società è tenuta ad adottare adeguate misure di sicurezza e politiche di riservatezza, nonché documentare le misure attuate ed i processi decisionali sottostanti per gestire l'attuale emergenza.
Per quanto riguarda la base giuridica per il trattamento dei dati personali, l'EDPB ha spiegato che il GDPR fornisce motivi legali ai datori di lavoro e alle autorità sanitarie competenti per il trattamento dei dati nel contesto di un'epidemia, in conformità con la legislazione nazionale e in conformità con le condizioni ivi stabilite. Nei riguardi della situazione relativa ai dipendenti, modifiche alla tipologia di trattamento possono essere necessarie per l'adempimento di obblighi legali nazionali al quale può essere soggetto il datore di lavoro, come gli obblighi relativi alla salute e sicurezza sul luogo di lavoro oppure nel caso di azioni nell'interesse pubblico, come il controllo della situazione sanitaria ed altre minacce per la salute pubblica. L'EDPB ha inoltre sottolineato che le eccezioni relative alle limitazioni imposte al trattamento dei dati medici possono essere concesse alle imprese "laddove ciò sia necessario per motivi di notevole interesse pubblico nel settore della sanità pubblica" o "laddove sia necessario proteggere gli interessi vitali dell’individuo." Tuttavia, sebbene l'EDPB sia stato in grado di fornire alcuni chiarimenti alla domanda più importante, molti professionisti criticano che non sono state fornite linee guida sufficientemente specifiche ma piuttosto ripetizioni dei principi generali già enunciati nel Regolamento Generale sulla Protezione dei Dati (GDPR).
Il Garante per protezione dei dati personali – la situazione italiana
In assenza di raccomandazioni più specifiche da parte dell'EDPB, le autorità di protezione dei dati (DPA) dei vari Stati membri dell'UE hanno diramato in autonomia informazioni ed indicazioni in materia di privacy e coronavirus.
Per quanto riguarda l’Italia, il Presidente del Garante in data 8 aprile 2020, ha emanato un’audizione informale presso la Commissione IX della Camera dei Deputati in cui vengono affrontati diritti, deroghe e limiti sulla raccolta dei dati in questa anomala situazione. Inoltre, specificamente per fare maggiore chiarezza su come un datore di lavoro nei settori pubblico o privato debba agire in termini di raccolta e trattamento dei dati dei propri dipendenti, il Garante ha prodotto e diffuso una raccolta di possibili FAQs, ossia domande frequenti, con la quale fornisce informazioni alle aziende su come approcciare la tematica al meglio.
Il Garante chiarisce la propria posizione sottolineando sia la necessità di raccogliere e trattare dati personali inerenti al coronavirus in modo utile per combattere l’emergenza, sia la necessità di farlo in modo consono e conforme alle vigenti leggi ed alla lungimiranza. In particolare, discutendo delle possibilità di redigere mappe epidemiologiche e di ricorrere al contact tracing, Il Garante afferma: “Vanno studiate, dunque, modalità e ampiezza delle misure da adottare in vista della loro efficacia, gradualità e adeguatezza, senza preclusioni astratte o tantomeno ideologiche, ma anche senza improvvisazioni o velleitarie deleghe, alla sola tecnologia, di attività tanto necessarie quanto complesse”.
A fronte di una situazione nuova e mai sperimentata quindi, l’authority italiana sottolinea l’importanza di ricorrere a figure professionalmente qualificate in materia di privacy e protezione dei dati. Già dal 20 Marzo 2020, il garante per la Protezione dei Dati Personali dichiara sul proprio sito ufficiale “La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.” A significare che la situazione di pandemia non comporta la possibilità di intraprendere iniziative “fai da te” per la raccolta ed il trattamento dei dati personali, con particolare attenzione al ricorso ai mezzi informatici per assicurare una corretta e legittima gestione dell’emergenza.
Pertanto, durante la pandemia, è più importante che mai porre la privacy e la protezione dei dati personali al centro del discorso pubblico e promuovere l'idea che non si debba considerarlo come "salute pubblica o privacy", ma piuttosto come "salute pubblica e privacy” ricorrendo a soluzioni che permettano la tutela di entrambe. Citando il testo diffuso sul sito ufficiale del Garante, il rischio da esorcizzare e minimizzare è lo scambio tra “la rinuncia a ogni libertà per l’efficienza e la delega cieca all’algoritmo per la soluzione salvifica.”
Contattaci oggi per richiedere ulteriori informazioni su come rispettare al meglio le norme in materia di protezione dei dati personali e la sicurezza degli stessi durante la pandemia di coronavirus.
Fabrizio Bulgarelli – Partner RSM - Head of Risk Advisory Service (RAS) and IT Services