La Data protection durante il COVID-19 - ICT e Telco

Conor Hogan,

 

Senior Manager | Cyber, Risk and Advisory

 

In questo articolo si tratta dell’equilibrio precario che le autorità di sanità pubblica e le aziende stanno vivendo mentre, nel cercare di reagire in maniera utile e funzionale al benessere pubblico, devono anche essere conformi alle norme per la protezione dei dati nei loro piani di risposta alla crisi provocata dal virus Covid-19.

La crisi Coronavirus (Covid-19) è senza precedenti. Dopo che il virus è stato dichiarato una pandemia lo scorso 11 marzo dall’Organizzazione Mondiale della Sanità, l’intensificazione e la diffusione dei contagi nel mondo ha messo a dura prova le nostre società a tutti i livelli: governi, aziende e vita privata.

Mentre Paesi e governi organizzano piani di contenimento e rallentamento dei contagi, aziende – piccole e grandi – stanno vivendo una situazione di “new normal”. I governi hanno imposto chiusure e distanziamento sociale, che hanno portato ad una visibile riduzione degli spostamenti, sia internazionali che domestici. Inoltre, molteplici attività ricreative sono state sospese.

La dura realtà è che le prossime settimane, mesi probabilmente, peseranno inesorabilmente sulle attività locali, centri commerciali, attività sportive, probabilmente molte aziende saranno costrette a chiudere, accelerando il processo di recessione economica globale.

Oltre alle sfide in ambito commerciale, pesano sulle aziende anche le problematiche relative alla sicurezza e protezione dei dati, cui ora è necessario dedicare particolare attenzione, soprattutto per supportare le attività in un simil business-as-usual che tenga in considerazione la ridotta forza lavoro, le conseguenze del remote-working, le problematiche sulla supply chain, la diminuzione delle vendite e la ridefinizione dei piani di crescita.

Quindi, la protezione dei dati è solo altra carne al fuoco in una situazione già di per sé complicata?

Con l’evoluzione della crisi Covid-19, le aziende potrebbero considerare necessario il completamento di un questionario sulla situazione di salute dei loro dipendenti per verificare ed eventualmente limitare accessi e attività per impiegati e visitatori allo scopo di ridurre la diffusione del virus.

Il management potrebbe anche sentire il bisogno di chiedere ai dipendenti di fornire dettagliate informazioni sanitarie per poter avere un veto sull’eventuale capacità di tornare in ufficio, e, potenzialmente, avvisare lo staff in caso di contagio interno. Si potrebbe argomentare che questo tipo di informazioni possono essere richieste in quanto di interesse dell’azienda, dei collaboratori esterni all’azienda, ma anche di interesse pubblico, vista la situazione di crisi sanitaria.  Tuttavia, come affermato dalla Commission nationale de l'informatique et des libertés (CNIL) francese:

“Non è possibile implementare, per esempio:

  • Letture della temperatura corporea obbligatorie per impiegati/collaboratori/visitatori al fine di inoltrarle ai loro manager;
  • Raccolta di documentazione medica o questionari medici da tutti gli impiegati e/o collaboratori”.

I responsabili devono essere certi che i principi fondamentali della norma sulla protezione dei dati siano rispettati e devono assicurare la protezione dei dati anche dei soggetti sensibili. Specificamente, i responsabili devono garantire che la lavorazione dei dati:

  • Sia chiaramente rispettosa della norma
  • Sia trasparente
  • Abbia uno scopo preciso ed esplicito
  • Sia limitata alle necessità
  • Abbia una durata temporale definita
  • Sia lavorata in modo da garantire la sicurezza dei dati.

Il GDPR esprime una chiara indicazione per poter processare i dati sia da parte del management che da parte delle autorità di sanità nel contesto di Covid-19. L’Articolo 46 fa riferimento in maniera chiara alla legittimità di alcune lavorazioni dei dati con finalità di pubblico interesse, “including for monitoring epidemics and their spread”. Le disposizioni negli articoli 6 e 9 inoltre, facilitano la raccolta, l’uso e la condivisione dei dati personali relativi alla salute nel contesto di un’emergenza sanitaria.

Tuttavia, il Garante Italiano, sicuramente il paese che in Europa è stato il più colpito, ha emanato una guida che raccomanda ai datori di lavoro di “astenersi dal raccogliere in anticipo e in maniera sistematica e generalizzata…informazioni sulla presenza di qualsiasi segno di influenza nel lavoratore e/o nei suoi contatti più vicini, o di qualsiasi area nell’ambiente di lavoro”.

Il Data Protection Commissioner (DPC) irlandese consiglia che “la norma sulla protezione dei dati non impedisca la gestione della sanità pubblica”, e che “è importante tenere in considerazione che nonostante il contesto, si sta comunque avendo a che fare con dati personali sensibili, con particolare riferimento ai dati sanitari e dati personali”. Il trattamento di questi dati, allora, deve essere necessario e proporzionato ma soprattutto “deve essere gestito con la guida e/o le direzioni delle autorità di sanità pubblica, o altre autorità rilevanti”.

Il Chair dell’European Data Protection Board (EDPB) Andrea Jelinek ha dichiarato che “le regole di protezione dei dati (come il GDPR) non ostacolano le misure prese durante e allo scopo di gestire la pandemia di Covid-19. Tuttavia, ci tengo a sottolineare che, anche in questi tempi eccezionali, i controllori dei dati devono garantire la protezione dei dati personali dei soggetti”.

Le autorità possono voler utilizzare le moderne tecnologie in maniera innovativa, mentre, nel mondo, il sistema sanitario a fatica cerca di gestire il crescente numero di casi. La comunicazione dei dati in maniera elettronica, come la localizzazione da mobile, potrebbe essere utilizzata per monitorare il contagio, informare e migliorare le strategie di risposta supportando le risorse locali. Tuttavia, prendere in considerazione direttive addizionali di ePrivacy assieme alle già esistenti direttive GDPR e leggi sulla protezione dei dati personali è necessario, per garantire che i diritti e le libertà fondamentali siano protetti e bilanciati rispetto all’interesse pubblico.

Accountability: Responsabilità per le azioni

Il principio del GDPR di “Accountability”, principio di responsabilità, è di fondamentale importanza in questa fase. Documentare e tenere traccia di tutte le decisioni prese in relazione alla registrazione di dati relativi al Covid-19, comprese le misure di sicurezza del dato implementate, sia tecniche che organizzative, è una misura chiave per la conformità al regolamento europeo.

I responsabili dei dati possono però tirare un sospiro di sollievo. Sebbene i regolatori della privacy europei stiano mantenendo la mano ferma su questo principio, essi riconoscono che nel mezzo di un periodo incerto di pandemia globale siano necessari sensibilità e pragmatismo. Infatti, i regolatori hanno riconosciuto che per molte organizzazioni, mantenere il piano d’azione prefissato per ottemperare ai loro obblighi sarà decisamente ostacolato e influenzato dalla crisi del periodo.

Nel Regno Unito, l’Information Commissioner Office (ICO) ha affermato che loro non “penalizzeranno le organizzazioni che hanno bisogno di dare priorità ad altre funzioni o adattare il loro approccio tradizionale all’eccezionalità del periodo”; dando una maggiore sicurezza a tutte quelle aziende che pur conformi, stanno avendo delle difficoltà ad adattare gli accessi ai dati personali dei singoli o altre operazioni in materia di protezione dei dati in questa fase.

Il DPC irlandese concorda con la posizione dell’ICO britannico, ma pone l’accento sull’importanza di cercare comunque di aderire ai principi fondamentali della protezione dei dati: “allo scopo di garantire l’accountability e la trasparenza, la ragione che causa la mancanza di conformità al piano di lavoro per l’implementazione di policy per la protezione dei dati deve essere documentata dall’organizzazione e chiaramente comunicata ai soggetti coinvolti. Mentre non è possibile rinunciare a rispettare le obbligazioni allo statuto, dovesse essere presentato un reclamo al DPC, saranno tenute in considerazione le motivazioni di mancata conformità dichiarate dall’azienda in questa fase critica”. Perciò, è fondamentale documentare tutte le attività e decisioni prese durante questo periodo per avere una posizione difendibile.

Conclusioni

Gli sforzi globali per rispondere al Covid-19 sono tanto vari quanto varie sono le interpretazioni delle norme di protezione dei dati.

I governi, le autorità di sanità pubblica e le aziende agiscono tutti al fine di proteggere e difendere l’interesse pubblico dei cittadini in questa crisi senza precedenti. Rispondere, mitigare e guarire da questa crisi globale richiederà forza, risorse, solidarietà, ma soprattutto uno sforzo collettivo per provare quanto la nostra società e la nostra economia siano resilienti.

La garanzia dei diritti della protezione dei dati può sembrare secondaria o addirittura terziaria allo stato dell’arte, soprattutto se comparata allo sforzo di contenere e combattere il virus. Tuttavia, bisogna tenere a mente che i diritti fondamentali non sono un ostacolo alle operazioni delle autorità sanitarie pubbliche. Anzi, aiutano a proteggere la nostra società da gravi abusi in un periodo di incertezza senza precedenti, e sono fondamentali per garantire la continuità e la resilienza della nostra società.