Il GEPD ha pubblicato le sue osservazioni formali su un pacchetto di tre proposte legislative per un’Unione europea sulla salute . Si compiace di un approccio unificato europeo per affrontare le minacce sanitarie transfrontaliere nel rispetto del ruolo e delle competenze dei sistemi sanitari nazionali degli Stati membri dell’UE. In questi commenti formali, prende atto dei passi positivi intrapresi dalla Commissione per rafforzare ulteriormente un approccio coordinato in materia di salute e, in particolare, per ampliare i compiti dell’Agenzia europea per i medicinali e del Centro europeo per la prevenzione e il controllo delle malattie. Entrambi questi organismi dell’UE si sono rivelati risorse chiave nella gestione della pandemia COVID-19.
Proposta di regolamento sul ruolo rafforzato dell’Agenzia europea per i medicinali (EMA) nella preparazione e gestione delle crisi per i medicinali e i dispositivi medici
Il GEPD raccomanda che la proposta includa disposizioni specifiche sull’applicazione della normativa sulla protezione dei dati. Allo stesso modo, la proposta dovrebbe contemplare anche il ruolo delle entità coinvolte ai sensi della normativa sulla protezione dei dati. Più specificamente sul trattamento dei “dati sanitari elettronici al di fuori degli studi clinici” e dei “dati in tempo reale”, dovrebbe essere inclusa una chiara definizione dei “dati generati al di fuori dell’ambito delle sperimentazioni cliniche”; e il significato di “dati del mondo reale” dovrebbe essere chiarito, specificando, almeno, esempi del tipo di dati interessati e lo scopo per il quale questi dati verranno utilizzati.
Proposta sulla creazione di un Centro europeo per la prevenzione e il controllo delle malattie (ECDC)
Il GEPD fornisce una serie di raccomandazioni. In particolare, consiglia che:
- le categorie di persone che avranno i loro dati personali trattati dovrebbero essere chiaramente delimitate insieme a una descrizione delle misure specifiche per proteggere i diritti e le libertà delle persone coinvolte, in linea con la legislazione sulla protezione dei dati;
- identificare chiaramente le situazioni in cui i compiti, nell’ambito del mandato dell’ECDC, comporteranno il trattamento dei dati personali e istituire un forte meccanismo di governance dei dati che richieda la chiara identificazione dei principali attori coinvolti nel trattamento dei dati personali.
Per quanto riguarda i nuovi compiti dell’ECDC riguardo alle piattaforme digitali e alle applicazioni a sostegno della sorveglianza epidemiologica, il GEPD osserva che queste applicazioni possono presentare rischi elevati per i diritti e le libertà delle persone e, pertanto, richiedono una valutazione d’impatto sulla protezione dei dati (DPIA) per essere condotto prima della loro distribuzione. Inoltre, il GEPD insiste sul fatto che le applicazioni di tracciamento dei contatti utilizzano tecnologie per il miglioramento della privacy.
In relazione al compito dell’ECDC di istituire e gestire una rete di servizi nazionali di sangue e trapianti e alle autorità nazionali di tale rete, il GEPD incoraggia lo sviluppo di un codice di condotta per il trattamento dei dati personali quale efficace abilitatore di attività transfrontaliere scambio di questi dati, che porterebbe ulteriore chiarezza e fiducia nel nuovo sistema.
Proposta di regolamento sulle gravi minacce per la salute a carattere transfrontaliero
Il GEPD raccomanda di prevedere ulteriori atti di esecuzione o delegati che stabiliscano i ruoli degli attori coinvolti nel trattamento dei dati personali tramite l’uso degli strumenti e dei sistemi informatici previsti nella proposta.
Dati i potenziali rischi associati all’uso dei sistemi di sorveglianza e dell’intelligenza artificiale, il GEPD raccomanda che l’ECDC conduca una DPIA prima della diffusione di una piattaforma digitale. Il GEPD sottolinea inoltre che, a meno che il titolare del trattamento non adotti misure per mitigare il rischio nei casi in cui la DPIA rivela che il trattamento dei dati personali comporterebbe un rischio elevato per i diritti e le libertà delle persone, vi è l’obbligo di consultare l’autorità di controllo ai sensi dell’articolo 40 del regolamento (UE) 2018/1725 .
In modo simile, ma in relazione al sistema di allarme rapido e risposta (EWRS), il GEPD ribadisce che una DPIA dovrebbe essere eseguita prima di trattare i dati personali utilizzando tecnologie innovative se è probabile che il trattamento comporti un rischio elevato per i diritti delle persone e libertà. Inoltre, il GEPD richiama l’attenzione dei legislatori dell’UE sulle linee guida EDPB 04/2020 sull’uso dei dati sull’ubicazione e sugli strumenti di tracciamento dei contatti nel contesto dell’epidemia di COVID-19 che forniscono utili orientamenti e chiarimenti sulle condizioni e sui principi che circondano l’uso dei dati sulla posizione e degli strumenti di tracciamento dei contatti in modo proporzionato.
Infine, in relazione alle tre proposte , il GEPD ribadisce che i trasferimenti di dati personali a paesi terzi o organizzazioni internazionali devono essere conformi al regolamento (UE) 2018/1725, compreso il capo V del presente regolamento.
Linee guida EDPB 04/2020 sull’uso dei dati sull’ubicazione e sugli strumenti di tracciamento dei contatti nel contesto dell’epidemia di COVID-19:
edpb_guidelines_20200420_contact_tracing_covid_with_annex_en