Nuovo intervento dell’EDPB in tema di trattamento dei dati sanitari e geolocalizzazione
Nel corso della sessione plenaria tenutasi il 21 aprile 2020, l’EDPB ha adottato nuove linee guida in tema di trattamento dei dati sanitari ai fini di ricerca scientifica, nonché in tema di geolocalizzazione e altri strumenti di tracciamento.
In particolare, con riguardo al trattamento dei dati sanitari nel contesto di emergenza sanitaria, l’EDPB ha osservato che:
- le specifiche disposizioni contenute nel GDPR sul trattamento dei dati sanitari ai fini di ricerca scientifica si applicano anche nel contesto dell’epidemia Covid-19, in particolare con riguardo alla disciplina del consenso e le rispettive legislazioni nazionali;
- l’applicazione del GDPR non ostacola l’eventuale trasferimento all’estero dei dati sanitari volto a fornire un contributo alla ricerca medica.
Quanto alla geolocalizzazione, le linee guida mirano a chiarire le condizioni e i principi da rispettare per un uso proporzionato dei dati di localizzazione, precisando che:
- l’utilizzo delle applicazioni di tracciamento deve avere base volontaria, ma ciò non significa che il trattamento dei dati personali debba essere necessariamente basato sul consenso. Infatti, l’EDPB osserva che quando le autorità pubbliche forniscono un servizio basato su un mandato assegnato dalla legge, la base giuridica per il trattamento deve essere quella indicata dall’art. 6 lett. e) GDPR e deve dunque ravvisarsi nella necessità di svolgere un compito di interesse pubblico;
- l’utilizzo del contact tracing deve rispettare i principi generali di trattamento dei dati personali previsti dal GDPR e, in particolar modo, il principio di minimizzazione, integrando, a tal fine, le necessarie misure e impostazioni di sistema dell’applicazione sin dalla sua progettazione, secondo le modalità previste dalla privacy by design e dalla privacy by default;
- al fine di garantirne l’equità, la responsabilità e, più in generale, il rispetto della legge, gli algoritmi utilizzati dal sistema devono essere verificabili e regolarmente rivisti da esperti indipendenti.
Infine, l’EDPB ha predisposto una guida, di natura generale e non esaustiva, agli sviluppatori delle applicazioni di contact tracing, fornendo utili indicazioni per una corretta progettazione delle applicazioni di tracciamento al fine di renderle conformi al quadro legislativo di riferimento.