Il Presidente della commissione sulla convenzione 108 del Consiglio d’Europa e il commissario per la protezione dei dati personali del Consiglio d’Europa hanno adottato una posizione comune sul trattamento dei dati personali in relazione alla pandemia di COVID-19.
Le persone affrontano momenti difficili e minacce, mentre la situazione si sta sviluppando rapidamente e gli stati stanno adottando misure per proteggere la popolazione. Tuttavia, devono farlo senza esporre l’azienda a un rischio maggiore nel lungo periodo.
Supereremo questa situazione senza precedenti solo se saremo uniti, solidali, nel pieno rispetto dello stato di diritto, dei diritti umani e della democrazia.
Il presidente del Comitato della Convenzione 108 e il Commissario per la protezione dei dati del Consiglio d’Europa ricordano i principi della protezione dei dati in questi tempi di lotta contro la pandemia di COVID-19.
Alessandra Pierucci e Jean-Philippe Walter
La pandemia COVID-19 (più comunemente nota come Coronavirus) pone minacce e sfide senza precedenti per gli individui e i paesi di tutto il mondo. La necessità di fermare la sua diffusione e curare coloro che soffrono è un obiettivo importante condiviso dalle nazioni in tutto il mondo.
Gli sforzi intrapresi dall’Organizzazione mondiale della sanità, da altre organizzazioni internazionali, dai governi, dalle istituzioni sanitarie e dal loro personale, nonché dalle imprese per prevenire una propagazione ancora più ampia del virus, per salvare le persone e proteggere la società sono illimitati e dovrebbero essere fortemente supportato.
Gli Stati devono affrontare la minaccia derivante dalla pandemia di COVID-19 in materia di democrazia, stato di diritto e diritti umani, compresi i diritti alla privacy e alla protezione dei dati.
Nello sforzo di contenere il numero di nuove contaminazioni, i governi hanno dovuto ricorrere a misure straordinarie, tra cui la dichiarazione di uno stato di emergenza in molti casi. Mentre l’allarmante situazione di salute pubblica di questi paesi ha giustificato l’introduzione di regimi specifici, va sottolineato che, in quei periodi limitati, l’esercizio dei diritti umani, come sancito in numerosi accordi internazionali (come il Patto internazionale sui diritti civili e politici e la Convenzione europea dei diritti dell’uomo) e gli strumenti nazionali sono applicabili e non possono essere sospesi, ma solo derogati o limitati dalla legge, nella misura strettamente richiesta dalle esigenze della situazione nel rispetto dell’essenza dei diritti e delle libertà fondamentali.
Principi e regole generali sulla protezione dei dati
Quando si tratta del diritto alla protezione dei dati, va innanzitutto notato che la Convenzione 108, nonché la modernizzata ” Convenzione 108+ “, stabiliscono standard elevati per la protezione dei dati personali che sono compatibili e riconciliabili con altri fondamentali diritti e interessi pubblici pertinenti.
È importante ricordare che la protezione dei dati non può in alcun modo costituire un ostacolo al salvataggio di vite umane e che i principi applicabili consentono sempre un bilanciamento degli interessi in gioco.
- in conformità con la Convenzione 108+ è fondamentale che, anche in situazioni particolarmente difficili, vengano rispettati i principi di protezione dei dati e pertanto si assicura che gli interessati siano informati del trattamento dei dati personali ad essi correlati; il trattamento dei dati personali viene effettuato solo se necessario e proporzionato allo scopo esplicito, specificato e legittimo perseguito; una valutazione d’impatto viene effettuata prima dell’avvio del trattamento; la privacy by design è garantita e sono adottate misure appropriate per proteggere la sicurezza dei dati, in particolare se correlati a categorie speciali di dati come i dati relativi alla salute; gli interessati hanno il diritto di esercitare i propri diritti.
Uno dei principali principi di protezione dei dati previsti dalla Convenzione 108+ è il principio di liceità, in base al quale il trattamento dei dati può essere effettuato sulla base del consenso dell’interessato o su qualche altra base legittima stabilita dalla legge. Va notato che, come esplicitamente fornito dalla relazione esplicativa alla Convenzione 108+, tale base legittima comprende in particolare il trattamento dei dati necessari per gli interessi vitali delle persone e il trattamento dei dati effettuato sulla base di motivi di interesse pubblico, come in il caso del monitoraggio dell’epidemia potenzialmente letale.
Il diritto alla protezione dei dati, ad esempio, non impedisce alle Autorità sanitarie pubbliche di condividere l’elenco degli operatori sanitari (nomi e dettagli di contatto) con entità incaricate della distribuzione di maschere FFP2. Né si può affermare che il diritto alla protezione dei dati sia incompatibile con il monitoraggio epidemiologico, sottolineando che i dati anonimi non sono coperti dai requisiti di protezione dei dati.
L’uso di informazioni aggregate sulla posizione per segnalare le riunioni che violano i requisiti di confinamento o per indicare i movimenti di persone che si allontanano da un’area gravemente toccata (in termini di numero di persone positive al COVID-19) non sarebbe quindi impedito dai requisiti di protezione dei dati.
Inoltre, la Convenzione 108+” riconosce la necessità di consentire alcune eccezioni e restrizioni in nome di pressanti obiettivi di interesse pubblico e interessi vitali delle persone. Tuttavia, le restrizioni ai suoi principi e diritti devono rispondere a requisiti molto chiari, anche durante lo stato di emergenza, per garantire il rispetto costante dello stato di diritto e dei diritti fondamentali.
Secondo la Convenzione 108+ (cfr. L’articolo 11), le eccezioni sono previste dalla legge, rispettano l’essenza dei diritti e delle libertà fondamentali e costituiscono una misura necessaria e proporzionata in una società democratica .
Laddove vengano applicate restrizioni, tali misure devono essere adottate esclusivamente a titolo provvisorio e solo per un periodo di tempo esplicitamente limitato allo stato di emergenza.
È inoltre fondamentale istituire garanzie specifiche e rassicurazioni sul fatto che una protezione completa è garantita ai dati personali una volta revocato lo stato di emergenza. Ciò dovrebbe includere misure e procedure concrete relative al ritorno a “normali” regimi di elaborazione dei dati, con particolare attenzione alle basi di dati contenenti dati relativi alla salute o ad altre categorie speciali di dati e / o a quelli creati allo scopo di tracciare, seguire e persone di profilazione, la cui elaborazione è stata eseguita durante lo stato di emergenza.
Le Autorità di protezione dei dati sono invitate a valutare attentamente le misure adottate dalle Autorità statali rispetto a tali condizioni.
Elaborazione di dati relativi alla salute
A condizione che il primato dell’essere umano e l’adozione di standard professionali siano valori guida nel campo del trattamento sanitario, il trattamento dei dati relativi alla salute deve garantire il rispetto dei diritti e delle libertà fondamentali di ogni individuo, in particolare i diritti alla privacy e alla protezione dei dati personali. La raccomandazione CM / Rec (2019) 2 relativa ai dati relativi alla salute fornisce linee guida specifiche al riguardo. Le sue disposizioni sulla condivisione dei dati tra gli operatori sanitari e tra la salute e altri settori dovrebbero, in particolare, guidare le pratiche degli operatori sanitari interessati.
La comunicazione al pubblico da parte delle Autorità sanitarie e governative dovrebbe rimanere una priorità per essere in grado di proteggere, informare e consigliare il pubblico. Tuttavia, durante tali comunicazioni, la pubblicazione di dati sensibili (come i dati relativi alla salute) di individui specifici dovrebbe essere evitata e si raccomanda che il trattamento di tali dati sia effettuato solo se ulteriori misure tecniche e organizzative che completano quelle vengono applicati ai dati non sensibili.
Elaborazione dati su larga scala
Poiché vengono generati enormi quantità di dati e basi di dati, sfruttando i vantaggi delle tecniche e tecnologie di elaborazione dei dati come Big Data o Intelligenza artificiale, tali dati dovrebbero essere elaborati in tali ambienti in modo da rispettare la dignità umana e la protezione dei dati.
Le rispettive linee guida sviluppate dal Comitato della Convenzione 108 nel contesto dei Big Data e dell’intelligenza artificiale possono essere strumenti utili per gli sviluppatori e i governi per modellare tali trattamenti in modo da salvaguardare da abusi volontari o conseguenze negative indesiderate, inclusa la discriminazione individui o gruppi di individui.
Trasparenza e “spiegabilità” di soluzioni analitiche o di intelligenza artificiale, un approccio precauzionale e una strategia di gestione dei rischi (incluso il rischio di reidentificazione in caso di dati anonimi), un focus sulla qualità e la minimizzazione dei dati e il ruolo della supervisione umana alcuni dei punti chiave da tenere in considerazione nello sviluppo di soluzioni innovative per la lotta contro COVID-19.
Elaborazione dei dati da parte dei datori di lavoro
I datori di lavoro incontrano difficoltà nel mantenere la propria attività proteggendo al contempo il pubblico e il proprio personale, molto spesso con il telelavoro dei propri dipendenti. Questa pratica, tuttavia, non dovrebbe condurre al monitoraggio dei dipendenti, anche per via video; misure non intrusive devono essere pensate quando si organizzano il lavoro e le condizioni di lavoro.
In determinate circostanze, i datori di lavoro potrebbero dover elaborare dati personali o sensibili che normalmente non elaborano (come i dati relativi alla salute); pertanto, va ricordato che, nel farlo, dovrebbero rispettare i principi di necessità, proporzionalità e responsabilità e dovrebbero anche essere guidati da principi concepiti per minimizzare i rischi che tale trattamento potrebbe comportare per i diritti dei dipendenti e le libertà fondamentali, in particolare il loro diritto alla privacy come elaborato nella Raccomandazione CM / Rec (2015) 5 sul trattamento dei dati personali nel contesto dell’impiego. In particolare, i datori di lavoro non dovrebbero elaborare dati personali oltre a quanto necessario per l’identificazione dei dipendenti potenzialmente esposti.
Se sono tenuti per legge a divulgare determinati dati alle Autorità statali per motivi di salute pubblica, sono invitati a farlo nel rigoroso rispetto della base giuridica sottostante, al fine di adottare le misure necessarie per tornare al trattamento “normale” (tra cui cancellazione permanente) quando lo stato del regime di emergenza non è più applicabile.
Mobile, dati informatici
Anche le società di telecomunicazioni, le piattaforme online e i fornitori di servizi Internet sono attivamente coinvolti nella lotta contro la diffusione del COVID-19 e sono sempre più tenuti a condividere i dati degli abbonati, le informazioni personali che raccolgono e altri tipi di informazioni con le Autorità pubbliche per contribuire in particolare alla sorveglianza delle epidemie , compresa l’analisi dei dati spaziali per determinare la posizione delle persone potenzialmente infette. Allo stesso modo, enti pubblici e privati possono sviluppare soluzioni IT per la sorveglianza delle epidemie.
L’elaborazione di dati personali su larga scala può essere eseguita solo quando, sulla base di prove scientifiche, i potenziali benefici per la salute pubblica di tale sorveglianza epidemica digitale (ad esempio il monitoraggio dei contatti), inclusa la loro accuratezza, prevalgono sui benefici di altre soluzioni alternative che sarebbero inferiori invadente.
Lo sviluppo di queste soluzioni di sorveglianza dovrebbe basarsi su una valutazione preventiva del probabile impatto sul trattamento dei dati sui diritti e sulle libertà fondamentali degli interessati e deve elaborare il trattamento dei dati in modo tale da prevenire o ridurre al minimo il rischio di interferenza con tali diritti e libertà fondamentali.
Alla luce dei principi precauzionali e di proporzionalità, dovrebbero essere raccomandati anche pre-test in vari “sandbox”, come è attualmente il caso di vari possibili farmaci in fase di sperimentazione in studi clinici.
Sebbene le informazioni in tempo reale sulla diffusione del virus possano essere determinanti per isolarlo, è necessario sottolineare che le soluzioni meno invasive dovrebbero sempre essere preferite.
Elaborazione dei dati nei sistemi educativi
Le scuole e le università stanno impegnando tutti gli sforzi possibili per aumentare le capacità e le risorse di apprendimento a distanza, con i professori e gli insegnanti stessi che affrontano la sfida dell’isolamento. Quando si considerano le soluzioni tecniche intese a garantire la continuità del lavoro educativo, si dovrebbero preferire configurazioni standard orientate alla protezione dei dati, ad esempio per quanto riguarda le impostazioni predefinite, in modo che l’uso di applicazioni e software non violi i diritti degli interessati ( protezione dei dati di default) ed evitare di elaborare più dati del necessario per raggiungere lo scopo legittimo di garantire la continuità educativa.
È anche di primaria importanza la scelta di una base giuridica adeguata (inclusa l’approvazione dei genitori o del tutore legale ove necessario) e che i genitori beneficino di una massima trasparenza riguardo al trattamento dei dati dei loro figli.
Ulteriori linee guida relative al trattamento dei dati personali nell’ambito dell’educazione sono attualmente in fase di elaborazione da parte del Comitato della Convenzione 108 e serviranno a professionisti e decisori.
Mentre le persone si trovano ad affrontare tempi difficili e minacciosi, mentre la situazione si evolve rapidamente e i governi adottano misure per proteggere la popolazione, devono farlo senza mettere a rischio le società a più lungo termine.
Solo con unità e solidarietà, nel pieno rispetto dello stato di diritto, dei diritti umani e della democrazia, riusciremo a superare questa situazione senza precedenti
FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA SLOVACCHIA – COUNCIL OF EUROPE