Emergenza sanitaria e compressione dei diritti di privacy secondo l’EDPB

Specie a partire dai totalitarismi del ‘900, il genere umano ha realizzato a proprie spese che l’eliminazione dei diritti di autodeterminazione informativa è tra i prodromi che annunciano una deriva dei fondamenti della democrazia (almeno, per come la intendiamo oggi). Il prezzo pagato, anche dai cittadini europei, nel secolo scorso è stato troppo alto perché ci si possa già dimenticare che la perdita di diritti di riservatezza unitamente all’impossibilità di chiedere ad un governo quali informazioni personali esso raccoglie è sintomo di un fenomeno degenerativo in atto o, quantomeno, alle viste.

Premesso che gli ultimi anni, prim’ancora che scoppiasse l’emergenza in atto, hanno rappresentato un periodo particolarmente fertile per i propugnatori di dottrine populiste e sovraniste, non si può ignorare come la pandemia possa costituire un pretesto per introdurre o consolidare forme autoritarismo. Questo vale a varie latitudini (si veda, tra gli altri, il recente appello internazionale di cui si è fatto primo firmatario il premio Nobel Mario Vargas Llosa), ma anche il vecchio continente deve tenere gli occhi ben aperti. Prova ne sia il decreto con cui ai primi di maggio l’esecutivo ungherese con a capo Viktor Orban ha sospeso l’applicazione dei diritti di cui agli artt. 15-22 del GDPR (diritti di accesso e di cancellazione delle informazioni personali e diritti a presentare reclami o ricorsi giurisdizionale in materia di privacy) dopo aver messo in congedo il parlamento magiaro.

Su questi aspetti è, dunque, necessario che ciascun contesto/ordinamento democratico mantenga il punto. Ed occorre che, anche nei momenti più complicati, i cittadini non si prestino al baratto tra sicurezza nazionale e “privatezza” senza adeguato discernimento.

Per questi motivi è da accogliere favorevolmente il recente contributo del Comitato Europeo per la Protezione dei Dati (EDPB) che ha rilasciato un importante Statement in cui chiarisce la propria posizione riguardo alle iniziative che comportano una restrizione dei diritti accordati dal GDPR all’interessato per motivi legati al contenimento dell’emergenza sanitaria causata dal Covid-19.

Nello Statement on restrictions on data subject rights in connection to the state of emergency in Member States adottato il 2 giugno 2020, l’EDPB ristabilisce alcuni concetti fondamentali:

il GDPR – come già recentemente ribadito dal Comitato – non costituisce un freno alla lotta alla pandemia, consentendo un efficace azione di contrasto senza che si debba rinunciare alla tutela dei diritti e delle libertà fondamentali dei cittadini;
l’art. 23 del GDPR prevede puntuali meccanismi in base ai quali uno Stato membro può restringere con propria normazione la portata degli obblighi e dei diritti riconosciuti dal Regolamento purché tale “limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica” per salvaguardare interessi primari come la sicurezza sociale e la sanità pubblica;
anche in questi tempi eccezionali, la protezione dei dati personali deve essere mantenuta in tutte le misure di emergenza, comprese le restrizioni adottate a livello nazionale ai sensi dell’art. 23 del GDPR. In tal modo, si contribuisce al rispetto dei valori generali della democrazia, dello stato di diritto e diritti fondamentali su cui è fondata l’Unione: da un lato, qualsiasi misura adottata dagli Stati membri deve rispettare i principi generali di diritto, l’essenza dei diritti e delle libertà fondamentali, e non deve essere irreversibile e, dall’altro, i titolari e i responsabili del trattamento devono continuare a rispettare le norme sulla protezione dei dati;
qualsiasi restrizione deve rispettare l’essenza del diritto che viene limitato. Non possono giustificarsi le restrizioni che siano generali, estese o invasive nella misura in cui annullano il contenuto di base di un diritto fondamentale. Se l’essenza del diritto è compromessa, la restrizione deve essere considerata illegale, senza la necessità di valutare ulteriormente se persegua un obiettivo di interesse generale o soddisfi i criteri di necessità e proporzionalità;
il trattamento dei dati personali dovrebbe essere progettato per servire l’umanità e, in questo contesto, uno dei principali obiettivi delle leggi sulla protezione dei dati è quello di migliorare il controllo degli interessati sui loro dati;
al fine di garantire questo controllo, gli interessati godono di un certo numero di diritti sui propri dati. Il diritto di accesso e il diritto di rettifica sono sanciti dall’articolo 8 della Carta dei Diritti Fondamentali dell’Unione Europea. Il GDPR afferma tali diritti e li integra con una serie di diritti aggiuntivi, come il diritto di opposizione, il diritto alla cancellazione e altri nuovi, come il diritto alla portabilità. L’importanza dei diritti degli interessati non può essere sottovalutata. Sono al centro del diritto fondamentale alla protezione dei dati e la loro applicazione dovrebbe essere la regola generale. È in questo contesto che l’articolo 23 del GDPR dovrebbe essere letto e interpretato;
ai sensi dell’art. 52, par. 1 della Carta, qualsiasi limitazione all’esercizio dei diritti e delle libertà riconosciuti dalla Carta deve essere “prevista dalla legge“, statuizione cui fa eco l’espressione “conforme alla legge” di cui all’art. 8, par. 2 della Convenzione Europea sui Diritti Umani. In particolare, il diritto nazionale deve essere sufficientemente chiaro nei suoi termini per fornire un un’adeguata indicazione delle circostanze e delle condizioni in cui i titolari del trattamento sono autorizzati a ricorrere a tali restrizioni. Lo stesso rigoroso standard dovrebbe essere applicato per tutte le restrizioni che potrebbero essere imposte dagli Stati membri;
in linea con il GDPR e la giurisprudenza della Corte di Giustizia dell’Unione europea e della Corte Europea dei Diritti dell’Uomo, è davvero essenziale che le misure legislative che mirano a limitare la portata dei diritti dell’interessato siano prevedibili per le persone ad esse soggette , incluso per quanto riguarda la loro durata nel tempo. A questo proposito, in particolare quando vengono adottate restrizioni nel contesto di uno stato di emergenza per salvaguardare la salute pubblica, l’EDPB ritiene che le restrizioni, imposte per una durata non precisamente limitata nel tempo, che si applicano retroattivamente o che siano soggette a condizioni indefinite, non soddisfano le criterio di prevedibilità;
le restrizioni costituiscono eccezioni alla regola generale e, come tali, dovrebbero essere applicate solo in circostanze limitate. Come stabilito dall’art. 23 del GDPR, le restrizioni devono essere una misura necessaria e proporzionata in una società democratica per salvaguardare un importante obiettivo di interesse pubblico generale dell’Unione o di uno Stato membro come può essere la tutela della salute pubblica;
le restrizioni devono realmente perseguire un importante obiettivo di interesse pubblico generale dell’Unione o di uno Stato membro da salvaguardare, vale a dire – nel caso dell’attuale stato di emergenza in alcuni Stati membri – la salute pubblica. Questo legame tra le restrizioni previste e l’obiettivo perseguito deve essere chiaramente stabilito e dimostrato. La sola esistenza di una pandemia o di qualsiasi altra situazione di emergenza da sola non è una ragione sufficiente per prevedere qualsiasi tipo di restrizione sui diritti degli interessati;
alla luce della giurisprudenza della Corte di Giustizia dell’Unione Europea, tutte le restrizioni ai diritti degli interessati devono essere applicate solo nella misura in cui sia strettamente necessaria e proporzionata a salvaguardare un obiettivo come la salute pubblica. Lo stato di emergenza dichiarato in un contesto di pandemia è una condizione legale che può legittimare le restrizioni dei dati soggettivi, a condizione che tali restrizioni non superino i limiti di necessità e proporzionalità;
se le restrizioni contribuiscono a salvaguardare la salute pubblica in uno stato di emergenza, l’EDPB ritiene che le restrizioni debbano essere strettamente limitate nel campo di applicazione (ad esempio per quanto riguarda i diritti degli interessati o le categorie di titolari del trattamento coinvolti) e nel tempo. In particolare, deve essere limitato al periodo dello stato di emergenza. I diritti dell’interessato possono essere limitati ma non negati;
le garanzie previste dall’art. 23, par. 2 del GDPR devono essere pienamente applicate, ciò significa che le misure legislative di restrizione devono fornire specifiche indicazioni in merito alle finalità del trattamento, alle categorie di dati personali, alla portata delle restrizioni, alle garanzie atte a prevenire abusi o accessi o trasferimenti illeciti, alla tipologia di titolari del trattamento coinvolti e alla previsione dei i rischi per i diritti e le libertà degli interessati;
le restrizioni adottate nel contesto di uno stato di emergenza senza alcuna chiara limitazione temporale equivarrebbero di fatto a una sospensione generale di tali diritti e non sarebbe compatibile con l’essenza dei diritti e delle libertà fondamentali. Inoltre, la gestione di una richiesta di esercizio dei diritti degli interessati, ad esempio in merito al diritto di opposizione ai sensi dell’articolo 21 del GDPR, deve essere trattata tempestivamente per essere significativa ed efficace. Pertanto, in questo contesto, il rinvio o la sospensione – senza alcun limite specifico – della gestione delle richieste dell’interessato costituirebbe un ostacolo completo contro l’esercizio dei diritti stessi;
ai sensi dell’art. 57, par. 1, lett. c) del GDPR, l’autorità nazionale di supervisione – come il nostro Garante – dovrebbe essere consultata per tempo dall’amministrazione nazionale che voglia introdurre delle restrizioni e dovrebbe avere il potere di verificarne l’applicazione nel rispetto dei principi ribaditi dall’EDPB;
la Commissione europea, in quanto custode dei trattati continentali, ha il dovere di monitorare l’applicazione del diritto primario e secondario dell’UE e di garantirne l’applicazione uniforme anche adottando azioni laddove le misure nazionali non rispettassero il diritto dell’UE. L’EDPB resta a disposizione per fornire consulenza alla Commissione come previsto all’art. 70 del GDPR, ove ritenuto necessario;

L’EDPB pubblicherà linee guida più complete sull’attuazione dell’art, 23 del GPDR nei prossimi mesi. Sarà un atto molto rilevante perché, se ben articolato, specificherà in modo chiaro quale sia il livello di compressione sostenibile per la protezione dati non solo a fronte della presente emergenza epidemiologica ma anche in qualsiasi stato di crisi profonda (anche economica) o di vulnerabilità della sicurezza nazionale. Definire un perimetro netto e invalicabile sarà anche indispensabile per poter preservare diritti e le libertà individuali da quegli esecutivi che, ora o in futuro, potranno essere tentati dal desiderio di strumentalizzare qualsiasi criticità (reale, prospettata o inventata) per far leva sulla paura della gente comune ed espandere la propria autorità a detrimento della democrazia.

Emergenza sanitaria e compressione dei diritti di privacy secondo l’EDPB

Artificial Intelligence

Big Data

Biometria

Cloud

Data Transfer

Droni

E-commerce

Finance & Insurance

GDPR

Internet of Things

Lavoro

Localization

Marketing

Minori

News

Oblio

P.A.

Salute & E-health

Search Engine

Security & Cybercrime

Smart City & Life

Smart Device

Social Media

Sorveglianza Governativa

Varie

Videosorveglianza

Emergenza sanitaria e compressione dei diritti di privacy secondo l’EDPB

Condividi questo articolo

Post correlati