La privacy è un diritto dei cittadini. La gestione appropriata delle informazioni è un dovere per le aziende. Ma entrambi questi capisaldi vanno valutati in funzione della situazione contingente. Quindi il GDPR non deve essere visto come un freno alle azioni per contrastare la pandemia da coronavirus. Almeno in Europa. Questo è in sintesi il messaggio dello European Data Protection Supervisor, la "data protection authority" europea.

L'authority - nella persona del Garante, Wojciech Wiewiórowski - ribadisce il suo pensiero di fondo: "big data means big responsibility". Ma anche che è altrettanto una responsabilità "non usare gli strumenti che abbiamo per combattere la pandemia". È quindi normale, ed apprezzato, che in questi giorni si parli spesso di privacy quando si citano le iniziative prese da alcuni Governi o enti locali. Tra cui anche Regioni italiane. Ma attenzione a non esagerare.

La gestione di dati personali, ed anche sensibili, può essere legale se "è necessaria per ragioni di sostanziale interesse pubblico". Come è certamente la lotta al contagio da coronavirus. Non c'è bisogno di sospendere le leggi a garanzia della privacy. Perché le leggi stesse indicano le misure per salvaguardare gli interessi della collettività e della privacy. Allo stesso tempo. Le norme quindi non sono "un ostacolo ad agire" o "una scusa per non essere efficienti".

Il punto che però il Garante mette in evidenza è che una minaccia globale non si risolve con strumenti nazionali. "Più europea sarà la nostra risposta, migliori risultati otterremo", spiega Wiewiórowski. Il riferimento è in particolare alle app mobili che alcuni Stati europei stanno sviluppando per monitorare lo stato di salute dei cittadini. O i loro spostamenti. Oppure anche per operazioni percepite come più invasive per la privacy.

Un approccio troppo eterogeneo non va bene, per l'Authority. Che invece chiede lo sviluppo di una “COVID-19 mobile application” coordinata a livello UE. Magari con il coinvolgimento dell'Organizzazione Mondiale per la Sanità (OMS, o WHO in inglese). L'invito a chiunque stia sviluppando qualcosa del genere è "garantire la protezione dei dati sin dall'inizio".

In tutto questo, lo European Data Protection Supervisor non abdica certo al suo ruolo di garanzia. Si confronterà con la Commissione Europea per verificare che tutte le misure prese siano corrette. Ossia siano temporanee, con scopi precisi, con un accesso limitato ai dati, con un controllo mirato su cosa verrà fatto con i dati e con le informazioni che potranno generare.

Lo Speciale di SecurityOpenLab sulla cyber security durante l'emergenza coronavirus

Ci sono in questo senso da considerare, ricorda Wiewiórowski, diversi pronunciamenti specifici della Corte di Giustizia europea. Anche in caso di emergenze gravi, valgono comunque le quattro cosiddette "garanzie essenziali europee" (European Essential Guarantees).

Ossia il requisito che i trattamenti dei dati siano basati su regole chiare, precise e accessibili. La dimostrazione della necessità e della proporzionalità del trattamento, rispetto agli obiettivi legittimi che ci si è posti. L'esistenza di meccanismi indipendenti di controllo. La disponibilità, per i singoli cittadini, di misure che "rimedino" ad eventuali problemi.