Il contrasto alla dilagante pandemia da COVID19 sta costringendo il governo ad interventi normativi di carattere emergenziale spesso in contrasto con due dei valori fondamentali dall’ordinamento nazionale ed europeo, ovvero il diritto alla salute ed il diritto alla riservatezza.
In questo contesto di emergenza, il “Comitato Europeo per la Protezione dei Dati” (EDPB) ha adottato le Linee Guida n. 3/2020 in tema di trattamento dei dati sanitari ai fini di ricerca scientifica, nonché in tema di geolocalizzazione e altri strumenti di tracciamento, recepite dall’Autorità nazionale per la protezione dei dati personali.
L’intervento dell’Autorità Europea si è reso necessario in quanto gli attuali sforzi della ricerca scientifica nella lotta contro il SARS-CoV-2 al fine di giungere a risultati quanto più rapidamente possibile, continuano a porre questioni giuridiche riguardanti l’uso di dati relativi alla salute ai sensi dell’articolo 4, paragrafo 15, del regolamento generale sulla protezione dei dati per fini di ricerca.
Nelle linee guida diramate dal “Comitato Europeo per la Protezione dei Dati” (EDPB), con particolare riferimento al trattamento dei dati sanitari nel contesto di emergenza sanitaria, è stato affermato che:
- le norme in materia di protezione dei dati contenute nel GDPR non ostacolano le misure adottate nella lotta contro la pandemia da COVID-19, in particolare con riguardo alla disciplina del consenso e le rispettive legislazioni nazionali;
- l’applicazione del GDPR non ostacola l’eventuale trasferimento all’estero dei dati sanitari volto a fornire un contributo alla ricerca medica.
Dalla lettura delle Linee Giuda è possibile ricavare i principi di diritto comunitario che è necessario osservare per trattare in maniera proporzionata i dati ottenuti dalla geolocalizzazione.
In particolare vengono richiamate le Linee Guida n. 4/2019 concernenti l’obbligo di protezione dei dati fin dalla progettazione e la protezione dei dati per impostazione predefinita (Data Protection by Design and by Default, d’ora in poi “DPbDD“), di cui all’art. 25 del GDPR, osservando che:
- l’utilizzo delle applicazioni di tracciamento deve avvenire su base volontaria, precisando che ciò non comporta che il trattamento dei dati personali debba essere necessariamente basato sul consenso. Infatti, l’EDPB osserva che quando le autorità pubbliche forniscono un servizio basato su un mandato assegnato dalla legge, la base giuridica per il trattamento deve essere quella indicata dall’art. 6 lett. e) GDPR e deve dunque ravvisarsi nella necessità di svolgere un compito di interesse pubblico;
- l’utilizzo del contact tracing deve rispettare i principi generali di trattamento dei dati personali previsti dal GDPR e, in particolar modo, il principio di minimizzazione, integrando, a tal fine, le necessarie misure e impostazioni di sistema dell’applicazione sin dalla sua progettazione, secondo le modalità previste dalla privacy by design e dalla privacy by default;
- al fine di garantirne l’equità, la responsabilità e, più in generale, il rispetto della legge, gli algoritmi utilizzati dal sistema devono essere verificabili e regolarmente rivisti da esperti indipendenti.
L’esplicito richiamo operato dalle Linee Guida n. 3/2020 al concetto di obbligo di protezione dei dati fin dalla progettazione e per impostazione predefinita, di cui alle Linee Guida n. 4/2019, comporta da parte degli sviluppatori delle applicazioni di tracciamento del titolare del trattamento l‘attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni contenute nel GDPR.