Sospensione della protezione della privacy dei dati durante le crisi civili: Coronavirus vs GDPR
Ringraziamo l’Avvocato Laura Gargano per la consulenza fornita nella stesura di questo articolo.
Il regolamento generale sulla protezione dei dati dell’UE consente la sospensione temporanea di alcuni diritti di protezione dei dati in tempi di crisi, come l’esplosione del Coronavirus.
GDPR in ITALIA durante Covid-19
GDPR in ITALIA durante Covid-19L’obiettivo principale del Regolamento generale sulla protezione dei dati (GDPR) dell’UE è la protezione delle informazioni di identificazione personale degli interessati.
L’uso di tali informazioni personali, incluso il trasferimento di dati, è specificamente limitato dall’enumerazione dei diritti dell’interessato da parte del GDPR.
Questi diritti, tuttavia, non sono incondizionati e gli autori della normativa hanno previsto che in circostanze di crisi civile, alcune di queste protezioni e diritti potrebbero essere sospesi o limitati.
La diffusione globale del Coronavirus (COVID-19) presenta il primo esempio della sospensione del GDPR di fronte alla crisi civile.
In particolare, l’articolo 9, paragrafo 2, lettera i), del regolamento generale sulla protezione dei dati consente il trattamento di queste speciali categorie di dati se il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, come la protezione da gravi minacce transnazionali relative alla Salute.
In che modo la necessità di affrontare la crisi sanitaria in corso viene bilanciata con i diritti di protezione dei dati in Italia?
Il Dipartimento della protezione civile italiano ha adottato l’ordinanza sulla protezione civile n. 630 il 3 febbraio 2020, come misura urgente per combattere la diffusione di COVID-19.
Questa ordinanza conferisce al personale della protezione civile in Italia ampi poteri per il trattamento dei dati personali relativi alla crisi COVID-19. Attualmente (marzo 2020) è valido solo fino al 30 luglio 2020, ma potrebbe essere esteso.
L’ordinanza solleva restrizioni, tra l’altro, sulla condivisione di dati personali “necessari per lo svolgimento della funzione di protezione civile” che potrebbero includere informazioni personali sensibili come:
- origine razziale o etnica;
- opinioni politiche, credenze religiose o filosofiche;
- appartenenza sindacale;
- dati genetici, dati biometrici ai fini dell’identificazione inequivocabile di una persona fisica;
- dati sanitari;
- dati relativi alla salute o dati relativi alla vita o all’orientamento sessuale; e
- dati su condanne penali e reati.
Sebbene sia ragionevole presumere che un’emergenza di sanità pubblica richieda misure eccezionali per contenere l’epidemia, come la gestione del tema privacy, le conseguenze per gli interessati di tali misure sono meno chiare.
Le agenzie preposte possono tenere traccia degli interessati di cui si sospetti un’infezione utilizzando i dati del dispositivo mobile, le e-mail e le informazioni di geolocalizzazione per valutarne il rischio. La quantità di dati raccolti attraverso queste misure sarà sostanziale e la raccolta può essere eseguita all’insaputa dell’interessato.
Inoltre, non è ancora chiaro cosa accadrà con i dati raccolti al termine della crisi e chi possa accedervi.
L’autorizzazione di sospensione ai sensi dell’articolo 9 del GDPR in tempi di crisi riguarda la durata di conservazione delle informazioni e dove, chi può accedervi e quando i dati devono essere eliminati dopo il superamento della crisi.
Sono necessarie consapevolezza e vigilanza per garantire che i singoli paesi e le loro autorità preposte alla protezione dei dati rispettino i limiti dell’autorizzazione del GDPR ed applichino le necessarie protezioni dei dati per il superamento della crisi.
Non cedete al FATTORE PANICO: la legge è ancora la legge
Sì, l’UE potrebbe dover raccogliere e utilizzare le informazioni personali sui singoli con il fine di applicare i protocolli coronavirus e consigliare al meglio i cittadini su come limitare il loro rischio di esposizione.
Tuttavia, è importante non dimenticare che i requisiti della legge sulla protezione dei dati si applicheranno comunque a tutte le informazioni personali utilizzate per tali scopi. Privacy sì, ma prima di tutto vi è la sicurezza.
Le informazioni sulla salute sono informazioni sensibili: cosa stanno raccogliendo e perché?
Ai sensi del GDPR, le informazioni sulla salute sono una “categoria speciale di dati personali”, che necessita di un livello più elevato di protezione. Ciò significa che, al fine di raccogliere e utilizzare legalmente informazioni sulla salute dei propri dipendenti, l’UE dovrà soddisfare un motivo ai sensi dell’articolo 9 GDPR.
Tuttavia, esiste ancora un limite alle informazioni che i datori di lavoro dovrebbero cercare di raccogliere sui propri dipendenti o visitatori a fini di salute e sicurezza.
Sebbene i datori di lavoro interagiranno senza dubbio con i loro dipendenti in relazione al coronavirus, ciò ha in genere più a che fare con la fornitura di informazioni e l’assistenza ai dipendenti, piuttosto che con la raccolta di informazioni per una strategia preventiva verso il coronavirus.
Al contrario, saranno il Servizio sanitario nazionale e gli altri operatori sanitari responsabili dell’identificazione dei casi di contagio e della consulenza sulle misure appropriate che l’azienda dovrà prendere in considerazione.
Questa separazione dei ruoli è stata inoltre rafforzata nella recente guida pubblicata dal Garante privacy (il regolatore italiano della protezione dei dati), che sottolinea che le aziende non possono obbligare dipendenti o visitatori a divulgare informazioni sulla loro presenza di sintomi di coronavirus.
Al contrario, il Garante evidenzia che qualsiasi azione intesa a prevenire la diffusione del coronavirus deve essere effettuata da soggetti in possesso delle qualifiche adeguate per farlo (ad es. Medici o istituti medici).
Mentre la progressione di questo virus continua, le aziende dovrebbero rimanere al passo con gli aggiornamenti dei loro governi, in quanto i governi possono introdurre ulteriori requisiti di legge locali o linee guida in relazione al modo in cui le aziende sono autorizzate o si aspettano di operare in relazione al coronavirus.
La trasparenza è fondamentale nella privacy
Come per qualsiasi uso di informazioni personali, deve essere chiaro all’individuo perché l’azienda sta raccogliendo le proprie informazioni, come vengono utilizzate e quali sono i diritti dei dipendenti in relazione alle stesse.
Se l’azienda ritiene di dover raccogliere nuovi tipi di dati per affrontare in modo specifico un problema di coronavirus, non dimenticare di avvisare i tuoi dipendenti.
Fornisci un aggiornamento ai tuoi dipendenti spiegando quali nuove informazioni sono necessarie e come verranno utilizzate, in modo che la tua forza lavoro sappia cosa aspettarsi.
Se stai inviando comunicazioni interne alla tua forza lavoro sul virus, di nuovo, non menzionare le persone che potrebbero essere state infettate per nome. È possibile che sia necessario inviare comunicazioni personalizzate allo staff in cui è stato riscontrato che sono a rischio di infezione; di nuovo, mantenere riservata questa e-mail (e chi intende riceverla).
Mantieni le informazioni accurate
Un altro principio di base del GDPR è l’accuratezza dei dati. In relazione alle informazioni sul coronavirus, assicurati di conservare registrazioni accurate.
Non solo questo è un requisito per la privacy insito nel GDPR, ma è probabile che informazioni obsolete minino l’efficacia delle procedure di coronavirus che si sta tentando di mettere in atto.
Aziende internazionali: non dimenticate i meccanismi di trasferimento dei dati internazionali
Le aziende che operano a livello internazionale potrebbero voler condividere le informazioni raccolte sui propri dipendenti e sul rischio coronavirus all’interno del gruppo aziendale, al fine di avere una visione collettiva del modo migliore per rispondere a questa malattia.
Tuttavia, il GDPR richiede che le informazioni personali trasferite al di fuori del SEE siano protette da adeguate garanzie. Assicurati che tutti i trasferimenti verso sedi aziendali al di fuori del SEE siano ancora gestiti in modo appropriato.
Inoltre, se la sede centrale del proprio gruppo aziendale è al di fuori del SEE, le stesse protezioni discusse in questo blog dovrebbero essere considerate sia a livello di sede centrale sia in relazione a qualsiasi ulteriore diffusione a livello aziendale.
Se l’azienda non dispone di un meccanismo internazionale di trasferimento dei dati GDPR (o se ciò non include le informazioni sul coronavirus), l’attività sarà limitata dalla condivisione delle informazioni personali tra i suoi gruppi.
In tal caso, come soluzione a breve termine, la società dovrebbe cercare di stipulare clausole contrattuali standard UE tra tutte le entità del gruppo pertinenti per consentirne il trasferimento.
Elimina ciò che non è più necessario
Il GDPR richiede che le informazioni personali vengano eliminate una volta che non sono più necessarie per lo scopo per il quale sono state raccolte.
A tal fine, una società dovrebbe essere sicura di eliminare tutte le informazioni che ha raccolto in relazione al coronavirus, una volta che la minaccia è passata. Quindi la privacy, una volta conclusa la pandemia, è garantita.
Dove ci porterà tutto questo?
Quando si tratta di utilizzare le informazioni su persone allo scopo di affrontare (o prevenire) l’epidemia di coronavirus, la regola d’oro da ricordare è che la posizione legale non è cambiata.
Sebbene si tratti di un nuovo scenario fattuale, si applicheranno le stesse considerazioni. Le aziende dovrebbero assicurarsi di disporre delle giuste politiche e procedure, in modo da poter elaborare queste informazioni in conformità con la legge.
In altre parole: mantieni la calma e vai avanti.
Bibliografia
https://www.hhs.gov/hipaa/for-professionals/faq/2005/is-the-security-rule-under-hipaa-suspended-during-a-public-health-emergency/index.html
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117
https://www.cybersecurity360.it/news/coronavirus-e-gdpr-il-trattamento-dei-dati-durante-lemergenza-ecco-le-regole/