Durante l’ultima riunione plenaria tenutasi in data 7 aprile 2020, il Comitato Europeo per la Protezione dei Dati (in lingua inglese European Data Protection Board, “EDPB”) ha affidato alle proprie commissioni di esperti il compito di individuare ed elaborare i principi rilevanti in merito ai trattamenti di dati personali posti in essere al fine del contenimento del virus COVID-19 mediante l’approvazione di due specifiche deleghe aventi ad oggetto, rispettivamente, gli strumenti di tracciamento e geolocalizzazione ed il trattamento di dati relativi alla salute per finalità di ricerca.

IL FATTO:

Con il comunicato stampa del 7 aprile 2020 l’EDPB ha confermato di aver dato espresso mandato alle proprie sotto-commissioni di esperti in materia di tecnologia e salute ad approfondire alcuni temi attinenti alla tutela dei dati personali caratterizzati da importanza prioritaria nel contesto della crisi mondiale legata alla diffusione del c.d. coronavirus. L’obiettivo del Comitato è quello di fornire in tempi brevi a istituzioni pubbliche e enti privati operanti nel territorio dell’Unione una serie di principi comuni idonei a garantire un’uniforme tutela dei dati personali nell’ambito di trattamenti ritenuti indispensabili nella lotta alla pandemia, prevenendo lo sviluppo di soluzioni tecnologiche che comportino macroscopiche violazioni del fondamentale diritto alla riservatezza.

L’EDPB ha dunque chiesto ai propri esperti di affrontare l’ormai noto tema del tracciamento e geolocalizzazione degli interessati con finalità di contenimento dell’epidemia (sul quale aveva già avuto modo di esprimersi, seppur in maniera piuttosto sintetica, nel mese di marzo). In particolare, il Comitato ha chiesto di esaminare i seguenti profili:

• l’impiego di dati anonimizzati e/o aggregati e l’efficacia dei processi tecnici a questo sottesi;
• la concreta garanzia del rispetto dei principi di liceità, necessità e proporzionalità di trattamento, nonché di esattezza e minimizzazione;
• un assessment sotto il profilo legale del possibile utilizzo di un’applicazione ai fini del contenimento dell’epidemia;
• le potenziali misure di sicurezza applicabili a garanzia della protezione dei dati;
• il concreto funzionamento dei meccanismi di tracciamento;
• le garanzie a tutela del rispetto del principio della limitazione della conservazione.

Non deve sorprendere che i concetti sopra riportati riprendano in buona parte quanto già enunciato in una recente missiva del Garante Europeo per la Protezione dei Dati alla dalla Direzione generale delle Reti di comunicazione della Commissione Europea, di cui abbiamo trattato qui.

L’istituzione ha poi posto il focus sul trattamento di dati relativi alla salute per finalità di ricerca scientifica, chiedendo alla sotto-commissione compliance, e-government e salute di identificare gli elementi di base cui tali trattamenti dovranno essere informati (base giuridica, informativa, esercizio dei diritti degli interessati, ecc.), nonché di analizzare i limiti dei possibili ri-utilizzi dei dati raccolti in tale ambito.

Non viene stabilito un termine per lo svolgimento degli incarichi affidati, tuttavia è lecito aspettarsi che l’EPDB provvederà ad emettere della documentazione ufficiale in tempi brevi.

PERCHÉ È IMPORTANTE:

Pur accogliendo con favore la notizia oggetto della presente analisi, in quanto essa rappresenta l’anticamera all’emissione di specifica documentazione comunitaria di altro profilo tecnico in grado di offrire una guida in merito a temi tanto delicati quanto impellenti, non si può negare che l’intervento del Comitato appaia quanto meno intempestivo, in considerazione del particolare momento storico. Mentre Facebook e Google hanno già a disposizione di intere nazioni report statistici relativi agli spostamenti degli interessati, l’assenza di chiare linee guida in materia potrebbe aver contribuito a rallentare lo sviluppo di piattaforme tecnologiche utili per un efficace contrasto del virus.