Consiglio d'Europa - La protezione dei dati personali nel contesto della pandemia Covid-19

Dichiarazione congiunta

sul diritto alla protezione dei dati nel contesto della pandemia COVID-19

di Alessandra Pierucci, Presidente del Comitato della Convenzione 108

e

Jean-Philippe Walter, Commissario per la protezione dei dati del Consiglio d'Europa

Strasburgo, 30 marzo 2020

La pandemia COVID-19 (più comunemente nota come Coronavirus) pone minacce e sfide senza precedenti per gli individui e per i paesi di tutto il mondo. La necessità di fermare la sua diffusione e di curare coloro che soffrono è un obiettivo importante condiviso dalle nazioni a livello globale.

Gli sforzi compiuti dall'Organizzazione Mondiale della Sanità, da altre organizzazioni internazionali, dai governi, dalle istituzioni sanitarie e dal loro personale, nonché dalle imprese, per prevenire una diffusione ancora più ampia del virus, per salvare le persone e proteggere la società, sono senza limiti e dovrebbero essere fortemente sostenuti.

Gli Stati devono affrontare la minaccia derivante dalla pandemia COVID-19 nel rispetto della democrazia, dello stato di diritto e dei diritti umani, compresi i diritti alla privacy e alla protezione dei dati.

Nel tentativo di contenere il numero di nuove contaminazioni, i governi hanno dovuto ricorrere a misure straordinarie, tra cui la dichiarazione dello stato di emergenza in molti casi. Se da un lato l'allarmante situazione sanitaria pubblica di questi Paesi ha giustificato l'introduzione di regimi specifici, dall'altro va sottolineato che, durante questi periodi limitati, l'esercizio dei diritti umani, come sancito da diversi strumenti internazionali (come il Patto internazionale sui diritti civili e politici e la Convenzione europea dei diritti dell'uomo) e nazionali, è applicabile e non può essere sospeso, ma solo derogato o limitato dalla legge, nella misura strettamente necessaria alle esigenze della situazione, nel rispetto dell'essenza dei diritti e delle libertà fondamentali.

Principi e regole generali per la protezione dei dati

Per quanto riguarda il diritto alla protezione dei dati, occorre innanzitutto notare che la Convenzione 108, così come la "Convenzione 108+" modernizzata, stabilisce standard elevati per la protezione dei dati personali che sono compatibili e conciliabili con altri diritti fondamentali e con i relativi interessi pubblici.

È importante ricordare che la protezione dei dati non può in alcun modo ostacolare il salvataggio di vite umane e che i principi applicabili consentono sempre un bilanciamento degli interessi in gioco.

In conformità alla Convenzione 108+ è fondamentale che, anche in situazioni particolarmente difficili, i principi di protezione dei dati siano rispettati e quindi è garantito che gli interessati siano informati del trattamento dei dati personali che li riguardano; il trattamento dei dati personali è effettuato solo se necessario e proporzionato allo scopo esplicito, specificato e legittimo perseguito; viene effettuata una valutazione d'impatto prima dell'inizio del trattamento; viene garantita la privacy fin dalla progettazione e vengono adottate misure appropriate per proteggere la sicurezza dei dati, in particolare quando si tratta di categorie particolari di dati, come i dati relativi alla salute; gli interessati hanno il diritto di esercitare i loro diritti.

Uno dei principali principi di protezione dei dati previsti dalla Convenzione 108+ è il principio di legittimità, secondo il quale il trattamento dei dati può essere effettuato sulla base del consenso della persona interessata o di un altro fondamento legittimo stabilito dalla legge. Si noti che, come esplicitamente previsto dalla Relazione esplicativa alla Convenzione 108+, tale base legittima comprende in particolare i trattamenti di dati necessari per gli interessi vitali delle persone e i trattamenti di dati effettuati per motivi di interesse pubblico, come nel caso del monitoraggio di epidemie potenzialmente letali.

Il diritto alla protezione dei dati, ad esempio, non impedisce alle autorità sanitarie pubbliche di condividere l'elenco degli operatori sanitari (nomi e recapiti) con gli enti incaricati della distribuzione delle maschere FFP2. Né si può sostenere che il diritto alla protezione dei dati sia incompatibile con il monitoraggio epidemiologico, sottolineando che i dati resi anonimi non sono coperti dai requisiti di protezione dei dati. L'uso di informazioni aggregate sull'ubicazione per segnalare raduni umani che violano i requisiti di confinamento o per indicare gli spostamenti di persone che si allontanano da un'area gravemente toccata (in termini di numero di persone positive al COVID-19) non sarebbe quindi impedito dai requisiti di protezione dei dati.

Inoltre, la "Convenzione 108+" riconosce la necessità di consentire alcune eccezioni e restrizioni in nome di obiettivi pressanti di interesse pubblico e di interessi vitali dei singoli. Tuttavia, le restrizioni ai suoi principi e diritti devono rispondere a requisiti molto chiari, anche durante lo stato di emergenza, per garantire il rispetto costante dello stato di diritto e dei diritti fondamentali.

Secondo la Convenzione 108+ (vedi articolo 11) le eccezioni sono "previste dalla legge, rispettano l'essenza dei diritti e delle libertà fondamentali e costituiscono una misura necessaria e proporzionata in una società democratica". In caso di applicazione di restrizioni, tali misure devono essere adottate solo in via provvisoria e solo per un periodo di tempo esplicitamente limitato allo stato di emergenza. È inoltre fondamentale che siano messe in atto misure di salvaguardia specifiche e che sia garantita la piena protezione dei dati personali una volta revocato lo stato di emergenza. Ciò dovrebbe includere misure e procedure concrete per il ritorno ai "normali" regimi di trattamento dei dati, con particolare attenzione alle banche dati contenenti dati relativi alla salute o ad altre categorie speciali di dati e/o a quelle create allo scopo di tracciare, seguire e profilare le persone, il cui trattamento è stato effettuato durante lo stato di emergenza.

Le autorità di protezione dei dati sono invitate a valutare attentamente le misure adottate dalle autorità statali contro tali condizioni.

Elaborazione di dati relativi alla salute

A condizione che il primato dell'essere umano e l'adozione di standard professionali siano valori guida nel campo della cura della salute, il trattamento dei dati relativi alla salute garantisce il rispetto dei diritti e delle libertà fondamentali di ogni individuo, in particolare il diritto alla privacy e alla protezione dei dati personali. La Raccomandazione CM/Rec(2019)2 per quanto riguarda i dati relativi alla salute fornisce linee guida specifiche al riguardo. Le sue disposizioni sulla condivisione dei dati tra gli operatori sanitari e tra la sanità e altri settori dovrebbero, in particolare, guidare le pratiche dei professionisti interessati.

La comunicazione al pubblico da parte delle autorità sanitarie e governative dovrebbe rimanere una priorità per essere in grado di proteggere, informare e consigliare il pubblico. Tuttavia, durante tali comunicazioni, la pubblicazione di dati sensibili (come i dati relativi alla salute) di specifici individui dovrebbe essere evitata e si raccomanda che il trattamento di tali dati venga effettuato solo se vengono messe in atto ulteriori misure tecniche e organizzative che integrano quelle applicate ai dati non sensibili.

Elaborazione dati su larga scala

Poiché vengono generati dati e basi di dati massicci, sfruttando i vantaggi delle tecniche e delle tecnologie di trattamento dei dati come i Big Data o l'Intelligenza Artificiale, tali dati dovrebbero essere trattati in tali ambienti in modo da rispettare la dignità umana e la protezione dei dati. Le rispettive linee guida sviluppate dal Comitato della Convenzione 108 nel contesto di Grandi dati e Intelligenza Artificiale possono essere strumenti utili sia per gli sviluppatori che per i governi per dare forma a tali elaborazioni in modo da salvaguardare da un uso improprio volontario o da conseguenze negative indesiderate, compresa la discriminazione di individui o gruppi di individui.

Trasparenza e "spiegabilità" delle soluzioni di analisi o di IA, un approccio precauzionale e una strategia di gestione del rischio (compreso il rischio di ri-identificazione nel caso di dati anonimi), l'attenzione alla qualità e alla minimizzazione dei dati e il ruolo della supervisione umana sono alcuni dei punti chiave da tenere in considerazione nello sviluppo di soluzioni innovative per combattere COVID-19.

Elaborazione dei dati da parte dei datori di lavoro

I datori di lavoro incontrano difficoltà nel mantenere la loro attività o attività proteggendo al tempo stesso il pubblico e il loro personale, molto spesso facendo telelavorare i loro dipendenti. Questa pratica, tuttavia, non dovrebbe portare al monitoraggio dei dipendenti, anche con mezzi video; occorre pensare a misure non intrusive nell'organizzazione del lavoro e delle condizioni di lavoro.

In determinate circostanze, i datori di lavoro possono essere costretti a trattare dati personali o sensibili che di solito non trattano (come i dati relativi alla salute); pertanto va ricordato che, nel farlo, dovrebbero rispettare i principi di necessità, proporzionalità e responsabilità e dovrebbero anche essere guidati da principi volti a ridurre al minimo i rischi che tale trattamento potrebbe comportare per i diritti e le libertà fondamentali dei dipendenti, in particolare il loro diritto alla privacy, come elaborato nella raccomandazione CM/Rec(2015)5 sul trattamento dei dati personali nell'ambito del rapporto di lavoro. In particolare, i datori di lavoro non dovrebbero trattare i dati personali al di là di quanto necessario per l'identificazione dei dipendenti potenzialmente esposti.

Se sono tenuti per legge a comunicare determinati dati alle autorità statali per motivi di salute pubblica, sono invitati a farlo nel rigoroso rispetto della base giuridica sottostante, al fine di adottare le misure necessarie per tornare al trattamento "normale" (compresa la cancellazione definitiva) una volta che il regime dello stato di emergenza non sarà più applicabile.

Dati del computer e mobili

Anche le società di telecomunicazione, le piattaforme online e i fornitori di servizi Internet sono attivamente coinvolti nella lotta contro la diffusione di COVID-19 e sono sempre più tenuti a condividere con le autorità pubbliche i dati degli abbonati, le informazioni personali raccolte e altri tipi di informazioni per contribuire in particolare alla sorveglianza delle epidemie, compresa l'analisi dei dati territoriali per determinare la posizione delle persone potenzialmente infette. Analogamente, gli enti pubblici e privati possono sviluppare soluzioni informatiche per la sorveglianza delle epidemie.

Il trattamento dei dati personali su larga scala può essere effettuato solo quando, sulla base di prove scientifiche, i potenziali benefici per la salute pubblica di tale sorveglianza digitale delle epidemie (ad esempio la tracciatura dei contatti), compresa la loro accuratezza, prevalgono sui vantaggi di altre soluzioni alternative che sarebbero meno invadenti.

Lo sviluppo di tali soluzioni di sorveglianza dovrebbe basarsi su una valutazione preliminare del probabile impatto del previsto trattamento dei dati sui diritti e sulle libertà fondamentali delle persone interessate e deve concepire il trattamento dei dati in modo da prevenire o ridurre al minimo il rischio di interferenze con tali diritti e libertà fondamentali.

Alla luce dei principi di precauzione e di proporzionalità, si dovrebbero raccomandare anche test preliminari in vari "recinti sicuri", come avviene attualmente per vari possibili farmaci in fase di sperimentazione clinica.

Mentre le informazioni in tempo reale sulla diffusione del virus possono essere utili per isolarlo, va sottolineato che le soluzioni meno invasive devono essere sempre preferite.

Elaborazione dei dati nei sistemi educativi

Le scuole e le università stanno mettendo in atto tutti gli sforzi possibili per aumentare le competenze e le risorse per l'apprendimento a distanza, con i professori e gli insegnanti stessi che devono affrontare la sfida dell'isolamento. Nel considerare le soluzioni tecniche volte a garantire la continuità del lavoro educativo, dovrebbero essere preferite configurazioni standard orientate alla protezione dei dati, ad esempio per quanto riguarda le impostazioni predefinite, in modo che l'uso di applicazioni e software non violi i diritti degli interessati (protezione dei dati di default) e per evitare di elaborare più dati del necessario per raggiungere lo scopo legittimo di garantire la continuità educativa.

È inoltre di primaria importanza che venga scelta una base giuridica adeguata (compresa l'approvazione da parte dei genitori o del tutore legale, se necessario) e che i genitori beneficino della massima trasparenza per quanto riguarda il trattamento dei dati dei loro figli.

Linee guida supplementari per quanto riguarda il trattamento dei dati personali nell'ambito dell'istruzione sono attualmente in fase di elaborazione da parte del Comitato della Convenzione 108 e serviranno agli operatori e ai decisori.

* * * * *

Mentre le persone si trovano ad affrontare tempi difficili e minacciosi, mentre la situazione si evolve rapidamente e i governi adottano misure per proteggere la popolazione, devono farlo senza mettere le società a maggior rischio a lungo termine.

Solo con l'unità e la solidarietà, nel pieno rispetto dello Stato di diritto, dei diritti umani e della democrazia, supereremo questa situazione senza precedenti.  

(Traduzione a cura di Vittorio Fiasconaro dal testo ufficiale reperibile qui )