Trattamento dei dati personali ai tempi dell'epidemia

Il Presidente del Comitato Europeo per la protezione dei dati ha preso posizione sul tema del trattamento dati in periodi di epidemia

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

Comitato europeo per la protezione dei dati (EDPB), Dichiarazione del Presidente del 16.03.2020

Premessa

In questi giorni di grave crisi sanitaria che sta attraversando tutta l’Europa, si vede – particolarmente in Italia (che per prima ha dovuto fare fronte all’emergenza COVID-19), dove nel giro di un paio di settimane sono state emanate diverse disposizioni normative finalizzate sia a contenere e prevenire la diffusione del virus nel territorio, sia a introdurre   nuove misure a sostegno di famiglie, lavoratori e imprese per contrastare gli effetti dell’emergenza coronavirus sull’economia italiana – numerosi governi europei hanno emanato disposizioni normative che influiscono sulla materia della protezione dei dati personali.  Infatti, è evidente che le summenzionate misure, siano esse a carattere sanitario oppure a carattere economico, possono implicare un trattamento di dati personali, a volte anche di quelli appartenenti alla categoria di dati particolari di cui all’art. 9 del Regolamento Europeo 2016/679 (c.d. GDPR) (cioè quelli che con il vecchio codice privacy italiano erano definiti “dati sensibili”).

Volume dedicato

La tutela della privacy in ambito sanitario

La tutela della privacy in ambito sanitario

Pier Paolo Muià, 2018,

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro...



Il Comitato Europeo per la protezione dei dati

In considerazione di ciò, il Presidente del Comitato Europeo per la protezione dei dati (c.d. EDPB) ha rilasciato una dichiarazione – che di seguito riportiamo – con la quale pone una importante riflessione sulla questione della protezione dei dati personali in un momento eccezionale come quello che stiamo vivendo. Ricordiamo che il comitato europeo per la protezione dei dati è un organo europeo indipendente, di cui fanno parte i rappresentanti delle autorità nazionali per la protezione dei dati (cioè i vari Garanti privacy delle nazioni aderenti all’UE) e il Garante europeo della protezione dei dati, il cui compito è quello di contribuire all’ applicazione coerente in tutto il territorio dell’Unione europea delle norme sulla protezione dei dati nonché di promuovere la cooperazione tra le varie autorità nazionali e europee che si occupano della tutela dei dati personali all’ interno del territorio dell’ Unione Europea.

Si legga anche:

-L’accesso non giustificato dei medici di un ospedale ai dossier sanitari dei pazienti costituisce trattamento illecito di dati;

-Paziente che chiede il risarcimento del danno per contagio da virus dell’epatite c a seguito di un intervento chirurgico deve dimostrare di aver contratto il virus a causa di detto intervento;

-La prima presa di posizione del Garante privacy sul trattamento dei dati personali connessi al possibile contagio da Coronavirus.

La dichiarazione del Presidente

Ebbene, ha dichiarato il Presidente del citato Comitato che “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data” (traduzione italiana per comodità di lettura: “Le norme sulla protezione dei dati (come il GDPR) non ostacolano le misure prese nella lotta contro la pandemia di coronavirus. Tuttavia, vorrei sottolineare che, anche in questi tempi eccezionali, il responsabile del trattamento dei dati deve garantire la protezione dei dati personali degli interessati. Pertanto, una serie di considerazioni dovrebbero essere valutate per garantire il trattamento legale dei dati personali.”

Riflessioni

In proposito, occorre evidenziare che nel complesso sistema normativo introdotto con il GDPR, si può ricavare anche una disciplina applicabile al trattamento dei dati personali in un contesto di epidemia ed emergenza sanitaria, come quello attuale.

L’art. 6 del Regolamento Europeo, infatti, nell’ esporre il principio di liceità del trattamento dei dati personali, stabilisce – fra le altre condizioni di liceità ivi elencate e per quanto qui di interesse – che “il trattamento è lecito solo se e nella misura in cui … il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica”. Ciò significa, quindi, che deve essere considerato lecito un trattamento di dati personali quando esso è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica e quindi anche quando vi siano in gioco le vite di un numero elevato di altre persone. In questi casi, vi è sicuramente un valido motivo (anche di interesse pubblico) per giustificare un trattamento dati qualora esso sia necessario per tenere sotto controllo l’evoluzione di un’ epidemia (come quella attuale di COVID – 19) e la sua diffusione e conseguentemente per gestire la correlata emergenza sanitaria).

Analogamente, l’art. 9 del GDPR consente anche il trattamento di categorie particolari di dati, cioè quelli relativi alla salute, in presenza delle stesse condizioni di tutela degli interessi vitali dell’interessato o di un’ altra persona nonché più in generale se il trattamento è necessario per assolvere gli obblighi del titolare del trattamento in materia di sicurezza sociale e protezione sociale.

In considerazione di ciò, si può ritenere che, in presenza di un’ epidemia, sussistano dei validi motivi che legittimino i trattamenti dati personali da parte dei datori di lavoro e delle autorità sanitarie competenti, senza la necessità di ottenere il consenso dell’interessato. Ciò, ovviamente, come abbiamo visto, a condizione che il trattamento in questione sia necessario per motivi di interesse pubblico nel settore della salute pubblica o per proteggere interessi vitali delle persone.

Un altro aspetto che può interessare, in questa situazione di emergenza che ha imposto limitazioni anche alla libertà di movimento delle persone, il trattamento dei dati relativi alla  posizione mobile (si pensi al gps dello smartphone) per individuare e registrare la eventuale presenza di assembramenti di persone in un dato luogo in modo da intervenire in maniera mirata per risolvere il problema.

Sul punto, può essere d’ aiuto la legislazione interna che ha dato attuazione alla direttiva europea e-privacy. In particolare, di rilievo è il principio di anonimizzazione: in base al quale il titolare del trattamento può utilizzare i dati di localizzazione esclusivamente dopo averli resi anonimi oppure in presenza del consenso dell’ interessato. In applicazione di tale principio, quindi, i dati relativi all’ubicazione delle persone devono essere trattati applicando delle misure che impediscano di identificare gli interessati: per esempio attraverso la creazione di dati aggregati, dai quali non si possa quindi risalire ai dati personali dei singoli soggetti facenti parte del dato aggregato.

Infine, occorre evidenziare che la citata direttiva e-privacy ammette, in via eccezionale, il trattamento di dati non anonimi, in presenza della duplice condizione che: (i) vi siano ragioni di sicurezza nazionale e pubblica (come potrebbe evidentemente rientrarci la situazione di crisi sanitaria dovuta alla diffusione del coronavirus); (ii) vengano previste delle garanzie adeguate per la tutela degli interessati. In tal caso, quindi, gli stati membri dell’Unione Europea potrebbero adottare delle disposizioni normative apposite con le quali autorizzare il trattamento anche di dati non anonimi e prevedendo delle apposite misure di garanzia per gli interessati che siano adeguate ad una loro effettiva tutela.

Volume dedicato

La tutela della privacy in ambito sanitario

La tutela della privacy in ambito sanitario

Pier Paolo Muià, 2018,

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro...



 

 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!