Ad oggi le varie autorità garanti europee hanno dato indicazioni su come applicare il GDPR nel contesto della crisi legata al coronavirus. Purtroppo però, le posizioni assunte non sono sempre allineate. Di conseguenza si spera che intervenga il Comitato europeo per la protezione dei dati (EDPB) per dare un indirizzo comune.
Ad oggi le autorità che hanno dato indicazione sono quella italiana, francese, polacca, spagnola, britannica, irlandese, norvegese, danese, islandese, lussemburghese, slovacca e slovena.
IL PUGNO DI FERRO DI ITALIA E FRANCIA
Data la rapida e massiccia diffusione del virus nella nostra penisola il Garante italiano è stato il primo a dare indicazioni riguardanti questo tema. Vista la situazione drastica la posizione del Garante è molto rigida: i titolari del trattamento non devono effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.
CORONAVIRUS: GDPR E SMART WORKING
Secondo il Garante, l’accertamento e la raccolta di informazioni relative ai sintomi del coronavirus e alle informazioni sui recenti spostamenti spetterebbero solamente alle autorità sanitarie. Il garante francese (CNIL) e lussemburghese (CNPD) hanno assunto posizioni simili. Infatti, secondo loro, la normativa sulla privacy imporrebbe forti limitazioni alla possibilità di raccogliere e trattare dati personali.
LA POSIZIONE DI INGHILTERRA, IRLANDA, DANIMARCA E NORVEGIA
Alcuni stati de nord Europa hanno preso posizioni opposte. Per esempio, il garante britannico (ICO) ha sottolineato come la normativa sulla protezione dei dati non sia un ostacolo all’adozione di misure fatte per contenere la pandemia del Coronavirus. Inoltre, adotterà un approccio pragmatico rispetto all’enforcement del GDPR, un approccio volto a non penalizzare le organizzazioni che si stanno impegnando principalmente su altri fronti rispetto al pedissequo rispetto della normativa sulla privacy. L’ICO ha annunciato che non imporrà sanzioni a quei titolari che non saranno in grado di rispondere alle richieste degli interessati entro i termini stabiliti per legge. Un approccio simile è quello dei garanti danese e norvegese i quali hanno affermato che applicheranno la normativa sulla privacy secondo “buon senso”. L’Irlanda attuerà delle disposizioni simili.
IL DIBATTITO
La questione più dibattuta da parte delle imprese riguarda la possibilità di richiedere al singolo lavoratore informazioni sulla presenza di eventuali sintomi influenzali o sull’eventuale soggiorno in zone a rischio. Il Garante italiano sostanzialmente nega questa possibilità.
Invece, secondo l’ICO è ragionevole chiedere alle persone se sono state in un determinato Paese o se presentano i sintomi del COVID-19. Il garante irlandese ritiene che i datori di lavoro siano giustificati nel “chiedere a dipendenti e visitatori di informarli se hanno visitato un’area a rischio e/o stanno riscontrando sintomi”, nonché nel “richiedere ai dipendenti di informarli se sono stati diagnosticati con COVID-19 al fine di consentire l’adozione delle misure necessarie”.
PIANO DI RISK MANAGEMENT PER AZIENDE
Un’altra questione importante riguarda come qualificare le informazioni relative alla quarantena: si tratta di “dati relativi alla salute” – quindi di dati sensibili che godono di maggiori tutele – o di dati personali “semplici”? Il garante norvegese afferma che tali informazioni non sarebbero qualificabili come “dati relativi alla salute”. Tale posizione non è condivisa da tutti.
Infatti, anche se una persona è messa in quarantena, non vuol dire per forza che sia contagiato. D’altro canto è vero che per il GDPR i “dati relativi alla salute” ricomprendono anche informazioni riguardanti “il rischio di malattie”. In aggiunta, le autorità che si sono espresse finora non paiono concordare su quali siano le basi giuridiche di rilievo. Le autorità spagnole ritengono che siano molte le basi giuridiche astrattamente applicabili al trattamento di dati nel contesto della lotta al COVID-19. Altre autorità indicano invece un numero piuttosto limitato di basi giuridiche applicabili.
IN CONCLUSIONE
Vedendo il numero di pareri contrastanti è probabile che il Comitato europeo per la protezione dei dati (“EDPB”) intervenga per dare una linea comune da seguire. L’EDPB ha infatti il compito di assicurare un’applicazione più armonica delle norme sulla privacy in Europa, attraverso l’emanazione di linee guida e pareri.
Fonte: cybersecurity360
L’area GDPRConforma è a tua completa disposizione per poter attivare servizio GDPR NO STRESS con le sue varie opzioni : Implementazione, formazione, verifica, mantenimento
Controlla ed eleva la tua azienda salvaguardandoti da sanzioni.
Scrivi a supporto@bwbconforma.it e richiedi informazione sulla GDPR no-Stress.