4265
COVID 19 - Come tutelare i dati personali
Linee-guida sul trattamento di dati relativi alla salute per finalità di ricerca e sulla geolocalizzazione e altri strumenti di tracciamento
Francesca Gardini, Ufficio giuridico
Il Garante per la protezione dei dati, con comunicazione del 22 aprile u.s., rende nota l’adozione, da parte del Comitato europeo per la protezione dei dati (EDPB), ai sensi dell’art. 70, par. 1, let. e), GDPR, delle seguenti linee guida che, in via eccezionale, alla luce dell’urgenza dell’attuale situazione e della necessità di disporre rapidamente di orientamenti specifici, non saranno sottoposte a consultazione pubblica.
1) Linee-guida 03/2020 sul trattamento di dati relativi alla salute per finalità di ricerca nel contesto dell’emergenza legata al COVID-19 con le quali, partendo dal presupposto che attualmente, a causa della pandemia COVID-19, sono in atto grandi sforzi di ricerca scientifica nella lotta contro la SARS-CoV-2, al fine di raggiungere risultati il più rapidamente possibile, che pongono questioni giuridiche relative all'uso dei dati relativi alla salute per scopi di ricerca, si tenta di far luce in merito alle questioni più rilevanti ovvero la base giuridica del trattamento dei dati relativi alla salute (il documento non affronta, come precisato nello stesso, il tema del trattamento dei dati personali per sorveglianza epidemiologica), l’implementazione di adeguate garanzie e l’esercizio dei diritti degli interessati.
Il documento, in premessa, precisa che le norme sulla protezione dei dati non ostacolano le misure prese nella lotta contro la pandemia COVID-19 e che, in particolare, il GDPR è un ampio atto legislativo e prevede diverse disposizioni che consentono, in conformità con i diritti fondamentali, il trattamento dei dati personali ai fini della ricerca scientifica connessa alla pandemia COVID-19. Lo stesso GDPR, del resto, prevede una deroga specifica al divieto di trattamento di alcune categorie speciali di dati personali, tra cui i dati relativi alla salute, laddove necessario per tali scopi ricerca scientifica (art. 9, par. 2, lett. j).
Il trattamento dei dati relativi alla salute a fini di ricerca scientifica connessa alla pandemia COVID-19, continua il documento, deve avvenire nel rispetto dei diritti fondamentali dell'UE; le norme sulla protezione dei dati e la libertà di scienza (art. 13 Carta dei diritti fondamentali dell'UE) devono essere attentamente valutati e equilibrati, con un risultato che rispetta l'essenza di entrambi.
2) Linee-guida sull’utilizzo della geolocalizzazione e di altri strumenti di tracciamento nel contesto dell’emergenza legata al COVID-19 con le quali, considerato l’orientamento di taluni Governi e attori privati di utilizzare soluzioni, in risposta alla pandemia COVID-19, basate sui dati, che sollevano numerosi problemi di privacy, il Comitato Europeo ha precisato che il quadro giuridico sulla protezione dei dati è stato progettato per essere flessibile e, in quanto tale, è in grado di offrire una risposta efficiente alla limitazione della pandemia che tenga conto, altresì, della protezione dei diritti umani e delle libertà fondamentali. Nel trattamento dei dati personali necessari per la gestione della pandemia attualmente in corso, ad avviso del Comitato Europeo, la protezione dei dati è indispensabile per creare fiducia e costruire le condizioni necessarie per far sì che qualsiasi soluzione venga accolta con favore dalla società, e, quindi, garantire l'efficacia delle misure adottate.
I dati e la tecnologia utilizzati per aiutare a combattere il COVID-19, inoltre, si legge nel documento, dovrebbero essere usati per potenziare, piuttosto che per controllare, stigmatizzare o reprimere gli individui, e possono essere, senza dubbio, strumenti importanti ma, hanno limiti intrinseci e possono sfruttare semplicemente l'efficacia di altre misure di sanità pubblica. I principi generali di efficacia, necessità e proporzionalità devono guidare qualsiasi misura adottata dagli Stati membri o dalle istituzioni dell'UE che prevedono il trattamento di dati personali per combattere il COVID-19.
Sembra preferibile, comunque, sviluppare un approccio europeo comune, attesa la natura del virus, in risposta all'attuale crisi o, almeno, istituire un quadro interoperabile.
Tanto ciò premesso il Comitato Europeo, con le sopracitate Linee Guida, ha inteso chiarire le condizioni ed i principi da rispettare ai fini di un impiego proporzionato degli strumenti che utilizzano i dati di localizzazione e il tracciamento dei contatti, in rapporto a due ambiti specifici:
a) utilizzo dei dati di localizzazione per supportare la risposta alla pandemia, tramite la definizione di modelli di diffusione del virus, in modo da valutare l’efficacia complessiva delle “misure di confinamento”;
b) tracciamento dei contatti allo scopo di informare le persone in merito alla circostanza che sono entrati in contatto ravvicinato con soggetti successivamente confermati positivi, al fine di interrompere il prima possibile la “catena” del contagio.
L 'efficienza del contributo delle applicazioni di tracciamento dei contatti alla gestione della pandemia, per quanto ovvio, precisa il Comitato Europeo, dipende da molti fattori (ad es. percentuale di persone che dovrebbero installarla; definizione di un "contatto" in termini di vicinanza e durata.) ed è necessario, altresì, che facciano parte di una strategia globale di sanità pubblica per combattere la pandemia, tra cui, tra l'altro, test e successiva tracciabilità manuale dei contatti ai fini della rimozione dei dubbi. La loro diffusione, infine, dovrebbe essere accompagnata da misure di sostegno al fine di garantire che le informazioni fornite agli utenti siano contestualizzate e gli avvisi possano essere utili al sistema sanitario pubblico.
Il Comitato Europeo, infine, nelle premesse delle Linee Guida sottolinea che il GDPR e la direttiva 2002/58 /CE (c.d. "direttiva e-privacy") contengono regole specifiche che consentono l'utilizzo di dati anonimi o personali a supporto delle autorità pubbliche e degli altri attori, a livello nazionale e ed europeo, nel monitoraggio e nel contenimento della diffusione del virus SARS-CoV-22. A questo proposito, del resto, il Comitato ha già preso posizione, precisando che il tracciamento dei contatti, tramite app, dovrebbero avvenire su base volontaria e non dovrebbero fare affidamento sui singoli movimenti ma piuttosto sulle informazioni di prossimità riguardanti gli utenti (cfr. Informaiop n. 349).
Si segnala, inoltre, che in allegato alla Linee Guida, il Comitato Europeo ha adottato anche una “Guida generale per le app di tracciamento dei contatti” con la quale vengono fornire indicazioni generali ai progettisti e agli sviluppatori delle app di tracciamento, sottolineando che eventuali ulteriori soluzioni, rispetto a quelle ivi descritte, possono essere utilizzate e possono essere lecite purché conformi al quadro giuridico, non potendosi considerare il documento esaustivo, e che, pertanto, ogni valutazione deve essere compiuta caso per caso.
Linee Guida sono liberamente consultabili e per praticità, le riportiamo in allegato.