Il Garante della Repubblica Ceca sanziona il Ministero dell’Interno
Trattamento diffuso di dati sul Covid-19 senza idonea base giuridica

L’Autorità Garante privacy della Repubblica ceca ha inflitto una sanzione da 975.000 corone al Ministero dell’Interno per il trattamento diffuso dei dati delle persone alle quali era stato ordinato l’isolamento a causa del COVID-19.
Secondo l’Ufficio, il caso riguardava circa 2.000.000 di persone che avevano contratto il virus tra il 1° aprile 2021 e l’8 marzo 2022.
“Le autorità pubbliche possono esercitare il loro potere solo nei modi previsti dalla legge. Questo vale in ogni momento, anche in circostanze eccezionali, comprese le pandemie. La legge sulla polizia non consente la raccolta generalizzata dei cosiddetti dati personali particolari, che comprendono le informazioni sulla salute. Il loro trattamento diffuso, inoltre, effettuato senza un’adeguata informazione alle persone a cui tali dati si riferiscono, può comportare rischi molto gravi”. Ha dichiarato Jiří Kaucký, presidente dell’Autorità garante.
Secondo quanto emerso dall’istruttoria condotta dagli uffici, la polizia ha raccolto dati personali sullo stato di salute delle persone in maniera generalizzata e preventiva, senza alcun legame con il caso specifico oggetto di indagine. In questo modo, tuttavia, ha superato i poteri previsti dalla legge per il trattamento di questo tipo di dati personali.
L’Autorità ha sottolineato, altresì, la violazione di altri obblighi che la polizia della Repubblica Ceca avrebbe dovuto rispettare in relazione al trattamento dei dati personali. In particolare, l’obbligo di informazione nei confronti delle persone, i cui dati sono stati raccolti e trattati in relazione agli accertamenti di casi di COVID-19, non è stato adeguatamente rispettato. Un’informazione adeguata è necessaria proprio per consentire agli interessati di difendersi in modo tempestivo e adeguato dal trattamento illecito dei loro dati personali.
L’altra condotta riscontrata dagli uffici è consistita nell’omissione di due passaggi che avrebbero dovuto impedire l’avvio di una raccolta di dati personali di tale portata e gravità. La Polizia della Repubblica Ceca avrebbe dovuto innanzitutto effettuare una valutazione d’impatto sulla protezione dei dati personali e avrebbe dovuto, inoltre, sottoporre il trattamento all’Autorità garante, trattandosi di un caso di raccolta ed elaborazione di dati sanitari su larga scala. Per questi tipi di trattamento, infatti, la legge rende obbligatorie entrambe le fasi, soprattutto per evitare rischi per le persone i cui dati personali devono essere trattati.
Secondo il presidente dell’Autorità, da questo caso emerge chiaramente che non si tratta di una formalità e che è effettivamente necessario valutare in anticipo il possibile impatto sulla protezione dei dati personali. “Se la Polizia della Repubblica Ceca avesse preso queste misure, avrebbe scoperto in tempo – o da sola, quando ha valutato le proprie attività pianificate, o in seguito, quando ne ha discusso con il nostro ufficio – che non è assolutamente consentito effettuare una tale raccolta generalizzata di dati personali sullo stato di salute in base alle leggi vigenti. Pertanto, l’illecito per cui è stata comminata la sanzione probabilmente non si sarebbe mai verificato”, ha dichiarato il presidente.
È stato, peraltro, precisato che la polizia ha iniziato a raccogliere dati sullo stato di salute delle persone in relazione al COVID-19 solo nell’aprile 2021, più di un anno dopo lo scoppio della pandemia. “Pertanto, non si può dire che non ci sia stato abbastanza tempo per effettuare le fasi preparatorie, che consistono nel valutare il quadro giuridico e i rischi potenziali della raccolta programmata di questi dati”, ha rincarato la dose il presidente dell’Autorità.