skip to Main Content
DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI PERSONALI DELLA SLOVACCHIA:  Dichiarazione EDPB Sul Trattamento Dei Dati Personali In Relazione Allo Scoppio Del COVID-19

DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI PERSONALI DELLA SLOVACCHIA: Dichiarazione EDPB sul trattamento dei dati personali in relazione allo scoppio del COVID-19

Il comitato europeo per la protezione dei dati ha adottato la seguente:

Governi, organizzazioni pubbliche e private in tutta Europa stanno adottando misure per frenare e mitigare COVID-19. Ciò può includere il trattamento di vari dati personali.

Le norme sulla protezione dei dati (come il GDPR) non precludono le misure prese per combattere una pandemia da virus corona. La lotta contro le malattie trasmissibili è un valore condiviso da tutte le nazioni e dovrebbe pertanto essere sostenuta nel miglior modo possibile.

È nell’interesse dell’umanità limitare la diffusione delle malattie e utilizzare tecniche moderne per combattere le catastrofi che colpiscono gran parte del mondo. Tuttavia, l’EDPB desidera sottolineare che anche in questi tempi eccezionali, il responsabile del trattamento e l’intermediario devono garantire la protezione dei dati personali degli interessati.

Diversi aspetti dovrebbero pertanto essere presi in considerazione al fine di garantire il trattamento legittimo dei dati personali e in tutti i casi si deve ricordare che qualsiasi misura presa in questo contesto deve rispettare i principi legali generali e non deve essere irreversibile.

1. LEGALITÀ DEL TRATTAMENTO

Il GDPR è un ampio atto legislativo e stabilisce regole che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19. Il GDPR consente alle Autorità competenti della sanità pubblica e ai datori di lavoro di trattare i dati personali relativi a un’epidemia in conformità e alle condizioni stabilite dalla legislazione nazionale. Ad esempio, se l’elaborazione è necessaria a causa di un interesse pubblico prevalente per la salute pubblica.

In queste circostanze, non è necessario fare affidamento sul consenso individuale.

1.1 Per quanto riguarda il trattamento dei dati personali, comprese le categorie specifiche di dati da parte delle autorità pubbliche competenti (ad es. Autorità sanitarie pubbliche), l’EDPB ritiene che gli articoli 6 e 9 del GDPR consentano il trattamento di dati personali, in particolare laddove tale trattamento rientri nella competenza legale di legislazione e condizioni sancite dal GDPR.

1.2 Nel contesto dell’impiego , il trattamento dei dati personali può essere necessario per adempiere a un obbligo legale a cui è soggetto il datore di lavoro, come ad esempio obblighi in materia di salute e sicurezza sul luogo di lavoro o di interesse pubblico, come il controllo delle malattie e altre minacce per la salute.

Il GDPR prevede inoltre eccezioni al divieto di trattamento di determinate categorie specifiche di dati personali, come i dati sanitari, laddove ciò sia necessario a causa di un interesse pubblico significativo nel campo della sanità pubblica (articolo 9, paragrafo 2, lettera i), la legislazione nazionale o dell’Unione o laddove sia necessario tutelare gli interessi vitali essenziali della persona (articolo 9, paragrafo 2, lettera c), poiché il considerando 46 fa esplicito riferimento al controllo dell’epidemia.

1.3 Per quanto riguarda il trattamento dei dati di telecomunicazione, come i dati di localizzazione , è necessario rispettare anche la legislazione nazionale di attuazione della direttiva e-privacy. In linea di principio, i dati sulla posizione possono essere utilizzati da un operatore solo se sono anonimi o con il consenso di singoli.

Tuttavia, l’art. 15 La direttiva e-privacy consente agli Stati membri di introdurre misure legislative per garantire la sicurezza pubblica . Tale legislazione eccezionale è possibile solo se costituisce una misura necessaria, appropriata e proporzionata in una società democratica .

Tali misure devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

Inoltre  sono soggetti a controllo giurisdizionale da parte della Corte di giustizia europea e della Corte europea dei diritti dell’uomo. In caso di crisi, questa misura dovrebbe essere strettamente limitata alla durata della crisi.  

2. PRINCIPI DI BASE RELATIVI AL TRATTAMENTO DEI DATI PERSONALI

I dati personali necessari per raggiungere gli obiettivi perseguiti dovrebbero essere trattati per scopi specifici ed espliciti.

Inoltre, gli interessati dovrebbero ricevere informazioni trasparenti sulle attività di trattamento svolte e sulle loro caratteristiche principali, compreso il periodo di conservazione dei dati raccolti e le finalità del trattamento. Le informazioni fornite dovrebbero essere facilmente accessibili e formulate in modo chiaro e semplice.

È importante adottare adeguate misure di sicurezza e principi di politica di riservatezza per garantire che i dati personali non vengano divulgati a soggetti non autorizzati. Le misure messe in atto per gestire l’attuale situazione di crisi e il processo decisionale di base dovrebbero essere adeguatamente documentati.

3. USA I DATI SULLA POSIZIONE DAL TUO CELLULARE

I governi degli Stati membri possono utilizzare i dati personali relativi ai telefoni cellulari delle persone nei loro sforzi per monitorare, limitare o mitigare la diffusione di COVID-19?

In alcuni Stati membri i governi prevedono l’uso dei dati sulla posizione mobile come possibile modo per monitorare, limitare o mitigare la diffusione di COVID-19. Ciò significherebbe, ad esempio, la possibilità di localizzare geograficamente le persone o di inviare messaggi di sanità pubblica in un’area specifica per telefono o SMS.

Le autorità pubbliche dovrebbero prima tentare di elaborare i dati sulla posizione in modo anonimo (ovvero elaborare i dati aggregati in modo tale che le persone non possano essere nuovamente identificate), il che potrebbe consentire la generazione di rapporti sulla concentrazione mobile in un determinato luogo (“cartografia”).

 L’informativa sulla privacy non si applica ai dati che sono stati debitamente anonimizzati.

 Se non è possibile elaborare solo dati anonimi, la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per proteggere la sicurezza pubblica (articolo 15).

Laddove siano in atto misure per consentire il trattamento di dati di localizzazione non anonimizzati, lo Stato membro è tenuto a introdurre garanzie adeguate, quali la concessione alle persone il diritto di presentare ricorso nel settore dei servizi di comunicazione elettronica.

Si applica anche il principio di proporzionalità. La priorità dovrebbe essere sempre data alle soluzioni meno invasive, dato lo scopo specifico da raggiungere. Misure invasive come il “tracciamento” di individui (ad esempio il trattamento di dati storici sulla posizione non anonimizzati) potrebbero essere considerate appropriate in circostanze eccezionali e in base ai metodi di trattamento specifici.

Tuttavia, ciò dovrebbe essere soggetto a controlli e garanzie più rigorosi per garantire il rispetto dei principi di protezione dei dati (adeguatezza della misura in termini di durata e ambito di applicazione, conservazione limitata dei dati e limitazione delle finalità).

4. OCCUPAZIONE

Un datore di lavoro può richiedere ai visitatori o al personale di fornire informazioni sanitarie specifiche nel contesto di COVID-19?

L’applicazione del principio di proporzionalità e minimizzazione dei dati è particolarmente importante qui. Il datore di lavoro dovrebbe richiedere solo informazioni sanitarie nella misura consentita dalla legislazione nazionale.

Il datore di lavoro è autorizzato a svolgere esami medici dei dipendenti?

La risposta dipende dall’occupazione nazionale o dalla legislazione in materia di salute e sicurezza. I datori di lavoro dovrebbero avere accesso e trattare i dati sanitari solo se i loro obblighi legali lo richiedono.

Il datore di lavoro può segnalare che un dipendente è stato infettato da COVID-19 dai suoi colleghi o parti esterne?

I datori di lavoro dovrebbero informare i dipendenti dei casi COVID-19 e adottare misure di protezione, ma non dovrebbero divulgare più informazioni del necessario. Laddove sia necessario rivelare il nome del lavoratore o dei lavoratori infettati dal virus (ad esempio in un contesto preventivo) e la legislazione nazionale lo consente, i lavoratori interessati devono essere informati in anticipo e la loro dignità e integrità devono essere protette.

Quali informazioni elaborate da COVID-19 possono ottenere i datori di lavoro?

I datori di lavoro possono ottenere informazioni personali per svolgere le proprie funzioni e organizzare il proprio lavoro in conformità con la legislazione nazionale.

 

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI PERSONALI DELLA SLOVACCHIA

Back To Top