Tutta l’Italia è ormai zona protetta per bloccare la diffusione del coronavirus. Una situazione che creerà sofferenza a esercizi commerciali e imprese. La soluzione sta nella circolazione dei dati che però è limitata dal GDPR. Occorrerà quindi consentire che i dati circolino, per dare vita “telematica” all’economia
In questi particolarissimi giorni, il tema del trattamento dei dati personali, per quanto molti non ci pensino, è tutt’altro che secondario.
Il Regolamento GDPR, che – come noto – da un paio d’anni circa è divenuto la regola europea comune della privacy ed è direttamente applicabile in Italia, considera anche le emergenze come quella che stiamo vivendo, causata dal coronavirus.
Esso stabilisce al considerando 46 che il trattamento di dati personali dovrebbe essere “altresì” considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato, cioè l’individuo a cui appartengono i dati personali, o di un’altra persona fisica.
Il Regolamento specifica che alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.
Questo per vari motivi, che in queste brevi riflessioni si possono solo accennare velocemente, ma che sin d’ora mi dichiaro disposto ad approfondire in qualsiasi sede, con le istituzioni competenti, a partire da Garante Privacy e Governo o con chi vorrà portarli avanti fino a costruire una proposta organica.
L’azione del Garante privacy
Il Garante Privacy sta già agendo sul fronte “sanitario” del trattamento dei dati personali ed ha pubblicato un avviso che vieta le raccolte di dati sanitari “fai da te” da parte dei datori di lavoro sulla salute dei propri dipendenti, fermo restando l’obbligo degli stessi di segnalare al datore di lavoro situazioni di rischio.
Questa rigidità è comprensibile, anche se può essere utile segnalare che in Cina, dal 9 febbraio scorso, il sistema che è stato utilizzato è stato quello di delegare la raccolta di dati personali sanitari sui propri dipendenti, i viaggi dei medesimi e le frequentazioni, proprio ai datori di lavoro, attesa la maggior facilità di raccolta e la conoscenza delle situazioni, al fine di segnalarli alle Autorità sanitarie e nel rispetto del principio di minimizzazione e della finalità specifica del trattamento; in Cina sono stati infatti costruiti sistemi di big data per mappare la diffusione del contagio a livello centralizzato, grazie appunto alle suddette deroghe.
Dunque, la scelta italiana da questo punto di vista è diversa e non pare far uso delle deroghe emergenziali consentite dal GDPR.
Quel che però preme evidenziare non riguarda la specificità dei dati sanitari, quanto l’idea di utilizzare la possibilità di deroga al GDPR ai fini emergenziali – innegabilmente presenti nel periodo attuale – per aiutare la sopravvivenza delle attività economiche.
Pensiamo infatti alla situazione: la circolazione delle persone, volontariamente o d’Autorità è limitata. Gli esercizi commerciali e le imprese, pur aperte, non vedono nessuno entrare dalla porta. I canali commerciali abituali sono in sofferenza; l’esercizio di vicinato, l’artigiano, il piccolo supermarket, il professionista, il negozio di abbigliamento che è abituato a comunicare di persona con la propria clientela, non riesce più a raggiungere i clienti.
Al contempo i clienti si domandano – forse – come risolvere i propri problemi minimizzando le proprie uscite da casa.
Una deroga alle limitazioni alla circolazione dei dati
La soluzione sta nella circolazione dei dati che però – qui l’arcano – è limitata dal GDPR.
Allora, per forza di cose, per proteggere interessi vitali degli individui, occorrerà consentire che i dati circolino, finché dura l’emergenza, in parziale deroga alle norme sul consenso.
La proposta è quella che le Istituzioni competenti autorizzino, sulla base della sopra indicata normativa, le imprese che offrono servizi a domicilio o a distanza, correlati all’emergenza COVID-19 e limitatamente alla durata della medesima, ad usare dati personali comunque acquisiti (da pubblici elenchi, da informazioni di vicinato, da liste di clientela senza consenso per marketing, da fornitori di dati, ecc.) per proporre i propri servizi.
Le proposte dovrebbero avere, al primo contatto, un diritto di opt-out: non vuole essere chiamato? Non la disturbo più.
Ci dovrebbe essere anche una contemporanea ed altrettanto limitata deroga al Registro delle Opposizioni: magari l’offerta di un servizio di banda larga, fastidiosa in altri tempi, in questo periodo è desiderabile e andare sino al negozio in questo periodo – specie per gli anziani, è difficile.
Si tratta di una proposta semplice, possibile, d’impatto e la cui attuazione sarebbe urgente per cercare di dare una vita “telematica” all’economia che viene bloccata nella dimensione fisica.
Al contempo, cogliendo anche io una suggestione già avanzata da altri studiosi, riterrei necessaria una moratoria delle sanzioni ed accertamenti GDPR per tutta la durata dell’emergenza: le imprese sono sotto stress e, come ho segnalato, la gestione dei dati non può seguire i percorsi normali in una situazione che normale non è. Si pensi soltanto a tutti i consensi che servono all’accettazione ospedaliera o alla situazione delle scuole che devono attivare le piattaforme a distanza facendo, anche qui, firmare i relativi consensi ai genitori per il trasferimento dei dati sul cloud.
Confido nell’attenzione e nella sensibilità delle Istituzioni competenti.
Fonte: www.agendadigitale.eu