Emergenza Covid-19: geolocalizzazione? sì, ma anonima
Ok alla geolocalizzazione anonima anti pandemia. Le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati. È quanto affermato dal Comitato europeo per la protezione dei dati, Edpb (che riunisce i garanti europei), che ha diffuso una dichiarazione sul trattamento dei dati personali nel contesto dell'epidemia di Covid-19.
Nella dichiarazione si accenna anche ai trattamenti di dati dei lavoratori sui luoghi di lavoro, ma questa materia è devoluta ai singoli stati europei. In particolare l'Edpb afferma che le norme in materia di protezione dei dati (come il regolamento generale sulla protezione dei dati n. 2016/679, Gdpr) non ostacolano l'adozione di misure per il contrasto della pandemia di coronavirus. Anche in questi momenti eccezionali, si devono, però, garantire la protezione dei dati personali degli interessati.
L'emergenza può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e provvisorie e cioè limitate al periodo di emergenza. Passiamo ora alle precisazioni più importanti.
Geolocalizzazione - Le autorità pubbliche dovrebbero, innanzitutto, cercare di trattare i dati relativi all'ubicazione in modo anonimo (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi sulla concentrazione di dispositivi mobili in un determinato luogo («cartografia»). Le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati. Quando non è possibile elaborare solo dati anonimi, la direttiva e-privacy consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15). Qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l'obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale.
Si applica anche il principio di proporzionalità. Si dovrebbero sempre privilegiare le soluzioni meno intrusive, tenuto conto dell'obiettivo specifico da raggiungere. Misure invasive come il «tracciamento» (ossia il trattamento di dati storici di localizzazione in forma non anonimizzata) possono essere considerate proporzionate in circostanze eccezionali e in funzione delle modalità concrete del trattamento. Tuttavia, tali misure dovrebbero essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità).
Sul lavoro - La dichiarazione dell'Edpb si limita a rinviare alle normative dei singoli stati, in quanto ad essi è delegata la disciplina della privacy sul luogo di lavoro. Il rinvio alle singole legislazioni è formulato con riferimento ai problemi più spinosi: se si possa o meno chiedere ai visitatori o ai dipendenti di fornire informazioni sanitarie specifiche; se possa o meno il datore di lavoro informare colleghi o soggetti esterni del fatto che un dipendente è affetto dal Covid-19; su quali informazioni trattate nel contesto del Covid-19 possono essere ottenute dai datori di lavoro. In materia si aggiunge che per l'Italia bisogna fare riferimento, anche se ci sono ancora problemi interpretativi, all'articolo 14 del decreto legge 14/2020 e al Protocollo Condiviso Confindustria-Sindacati del 14 marzo 2020.
Fonte: Italia Oggi del 25 marzo 2020 - Articolo di Antonio Ciccia Messina
