Le attività di trattamento dei dati personali svolte in una situazione emergenziale come quella del COVID-19 hanno generato non pochi dibattiti, soprattutto sui profili di liceità e di potenziale conflitto con la normativa in materia di protezione dei dati personali, arrivando finanche a paventare una “sospensione” di fatto dell’applicazione del GDPR.
Il Comitato europeo per la protezione dei dati (EDPB) ha rilasciato una dichiarazione riguardante le misure di contenimento e mitigazione degli effetti del Coronavirus che coinvolgono il trattamento di dati personali adottate da istituzioni, soggetti pubblici e privati. La premessa essenziale è che la protezione dei dati personali non rappresenta alcun ostacolo per la lotta all’attuale pandemia, ma che ogni limitazione della protezione dei dati personali deve comunque trovare una giustificazione ed essere coerente con i principi generali del diritto, proporzionata e non irreversibile. Le condizioni di emergenza sanitaria ed i conseguenti interventi normativi d’urgenza possono conseguentemente rappresentare un valido fondamento di liceità per le attività di trattamento, ma non possono in alcun caso derogare alla responsabilizzazione dei soggetti che operano sui dati personali né eliminare le garanzie a tutela degli interessati.
La normativa in materia di protezione dei dati personali è dunque pienamente applicabile in quanto compatibile anche con l’attuale situazione di emergenza pandemica. Ad esempio: non è necessario richiedere alcun consenso agli interessati se l’attività di trattamento è svolta per perseguire interessi nel settore della sanità pubblica normativamente individuati, in quanto gli artt. 6 e 9 GDPR già prevedono tale base giuridica per il trattamento, rispettivamente, di dati comuni e di categorie particolari. I trattamenti sono dunque leciti se svolti da quei soggetti cui sono attribuite funzioni pubbliche (anche temporaneamente) o altrimenti da soggetti privati che devono adempiere a precisi obblighi di legge quale il rispetto della normativa sulla salute e sicurezza dei luoghi di lavoro.
Tutti i principi del GDPR devono essere rispettati, e dunque le finalità perseguite devono essere determinate, esplicite e legittime, e il trattamento non può essere incompatibile con tali finalità. Ulteriormente, devono essere garantite la minimizzazione dei dati e la limitazione della conservazione, nonché una trasparenza nei confronti dell’interessato che deve riguardare sia la completezza delle informazioni riguardanti le attività svolte sui dati che l’impiego di un linguaggio semplice, chiaro e facilmente accessibile. Il profilo della sicurezza, inoltre, deve essere curato con particolare riguardo a prevenire accessi non autorizzati, in ragione dell’elevato impatto che informazioni riguardanti anche un sospetto di infezione da COVID-19 possono avere nei confronti degli interessati.
Nei luoghi di lavoro, ad esempio, il flusso di informazioni deve essere definito sempre tenendo conto del rispetto degli obblighi di legge e soprattutto del principio di minimizzazione. La raccolta e comunicazione delle sole informazioni necessarie anche ai fini di prevenzione del contagio deve essere valutata tenendo conto della loro necessità e proporzionalità, considerando anche misure per la tutela della dignità del lavoratore in caso di riscontrata infezione.
Circa i dubbi sulla presunta deroga all’applicazione del GDPR, dunque, si potrebbe citare Shakespeare dicendo che è stato fatto “Molto rumore per nulla”. Dal momento che tali dubbi però sono iniziati con il DPCM emesso sotto gli auspici della luna piena di marzo, sembra l’occasione ideale per citare il Bardo con una altrettanto celebre frase: “È tutta colpa della luna, quando si avvicina troppo alla terra fa impazzire tutti”.
