Contact tracing, il principio di proporzionalità e le linee guida dal Garante europeo

L’adozione di sistemi e app mobile di contact tracing (come la Immuni di Bending Spoon scelta dal governo italiano) comporta diversi rischi dal punto di vista della tutela dei dati personali dei soggetti interessati e pone il problema di un attento bilanciamento tra la tutela della salute pubblica e le libertà individuali, quali la tutela dei dati personali degli interessati: è dunque utile analizzare i profili applicativi delle tecnologie di contact tracing alla luce di quando disposto nelle linee guida del Garante europeo (EDPS) sul principio di proporzionalità, che offrono una metodologia pratica per valutarne l’adeguatezza.

Sul tema del rispetto della tutela del trattamento dei dati personali e delle norme contenute nel Regolamento UE n. 2016/679 (GDPR) nel contesto dell’emergenza sanitaria legata alla COVID-19, è intervenuto lo stesso Comitato europeo per la protezione dei dati (European Data Protection Board, EDPB), prospettando il trattamento di dati personali, nello specifico il tracciamento dei dati telefonici, contact tracing, come misura volta a contenere la pandemia.

Infatti, nella Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19 del 19 marzo u.s. l’EDPB ha evidenziato che le norme in materia di protezione dei dati, quale il GDPR, non ostacolano l’adozione di misure per il contrasto della pandemia di COVID-19. La lotta contro le malattie trasmissibili è obiettivo condiviso da tutte le nazioni, in quanto è nell’interesse dell’umanità arginare la diffusione delle malattie, anche mediante l’utilizzo di tecniche moderne.

Anche in questi momenti eccezionali, titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati ed a tal fine, tenendo conto di una serie di considerazioni per garantire la liceità del trattamento di dati personali e facendo sì che qualsiasi misura adottata in questo contesto debba rispettare i principi generali del diritto e non possa essere irrevocabile. L’EDPB evidenzia, infatti, che “l’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza”.

L’EDPB sottolinea, poi, che “Il regolamento generale sulla protezione dei dati (GPDR) è una normativa di ampia portata e contiene disposizioni che si applicano anche al trattamento dei dati personali in un contesto come quello relativo al COVID-19. Il RGPD consente alle competenti autorità sanitarie pubbliche e ai datori di lavoro di trattare dati personali nel contesto di un’epidemia, conformemente al diritto nazionale e alle condizioni ivi stabilite. Ad esempio, se il trattamento è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica. In tali circostanze, non è necessario basarsi sul consenso dei singoli”.

In relazione al trattamento dei dati personali, comprese le categorie particolari di dati, da parte di autorità pubbliche competenti, quali le autorità sanitarie pubbliche, l’EDPB ritiene che “gli articoli 6 e 9 del RGPD consentano tale trattamento, in particolare quando esso ricada nell’ambito delle competenze che il diritto nazionale attribuisce a tale autorità pubblica e nel rispetto delle condizioni sancite dal RGPD”.

Continua a leggere su Cyber Security 360.