In sintesi
Il Garante per la Protezione dei Dati Personali ha avviato un'istruttoria su un reclamo contro Emirates relativo alla raccolta di dati sanitari di passeggeri con mobilità ridotta. La contestazione riguarda la richiesta del modulo MEDIF senza adeguata informativa e consenso per il trattamento delle informazioni. Tale procedura, secondo il reclamante, non rispetterebbe le normative sulla protezione dei dati personali. Emirates si difende richiamando gli obblighi di sicurezza del trasporto aereo.
Contesto
Il Garante per la Protezione dei Dati Personali ha preso in esame un reclamo presentato il 29/01/2025 dalla Sig.ra XX nei confronti di Emirates. La reclamante ha lamentato che la compagnia aerea avrebbe richiesto la compilazione del modulo MEDIF (Medical Information for Fitness to Travel or Special Assistance) per passeggeri a mobilità ridotta (PMR), inclusa lei stessa pur non rientrando nelle categorie strettamente necessarie. La contestazione principale riguarda la presunta mancanza di un'informativa sul trattamento dei dati personali e l'assenza di un consenso esplicito per la raccolta di "numerose informazioni sullo stato di salute". Il modulo MEDIF le sarebbe stato richiesto via email a MEDAattachments@emirates.com. A seguito dell'istruttoria avviata dal Garante con nota del 08/05/2025 (prot. n. 61864), Emirates ha fornito le proprie osservazioni il 06/06/2025. La compagnia ha giustificato la raccolta dei dati tramite MEDIF, evidenziando che il settore del trasporto aereo è regolato da normative complesse (come il Regolamento (CE) n. 1107/2006) che impongono stringenti obblighi di sicurezza e tutela della salute dei passeggeri. Il modulo MEDIF è descritto come uno strumento standardizzato per valutare l'idoneità al volo e predisporre assistenza speciale, richiesto solo in presenza di condizioni mediche specifiche (es. necessità di assistenza medica durante il volo, uso di dispositivi sanitari, recenti interventi chirurgici o patologie) e non per mera assistenza a terra. Le informazioni raccolte includono dati identificativi, informazioni di contatto, dettagli sullo stato di salute, eventuali esigenze mediche o di mobilità, nonché i dati del medico curante e dell'eventuale accompagnatore, considerate "strettamente necessarie per le finalità perseguite". Il testo si interrompe prima della decisione finale del Garante.
Perché conta
Questo provvedimento è estremamente rilevante per tutti i responsabili del trattamento dati, specialmente quelli che gestiscono categorie particolari di dati personali come quelli relativi alla salute. Sottolinea l'importanza di adempiere rigorosamente agli obblighi previsti dal Regolamento (UE) 2016/679 (GDPR), in particolare per quanto riguarda la base giuridica del trattamento, l'informativa agli interessati e l'eventuale raccolta del consenso esplicito. La gestione di dati sanitari richiede una base giuridica robusta (come il consenso esplicito o motivi di interesse pubblico rilevante, o interessi vitali), e le organizzazioni devono dimostrare la proporzionalità della raccolta e la necessità dei dati rispetto alle finalità dichiarate. L'assenza di un'informativa chiara e di un consenso valido, come lamentato nel reclamo, rappresenta una potenziale violazione grave dei principi di trasparenza e liceità del trattamento. Anche se il testo si interrompe prima della decisione finale, evidenzia come le giustificazioni basate su obblighi normativi settoriali (come quelli di sicurezza nel trasporto aereo) debbano comunque essere armonizzate con i principi del GDPR, garantendo che i diritti degli interessati non siano compromessi. Per la compliance ISO 27001 e NIS2, la corretta gestione dei dati, in particolare di quelli sensibili, è un pilastro fondamentale della sicurezza delle informazioni e della resilienza operativa, prevenendo data breach e sanzioni.
Cosa fare
- Verificare che tutte le procedure di raccolta dati, in particolare per categorie speciali di dati come quelli sanitari, includano una chiara e completa informativa privacy.
- Assicurarsi di aver individuato e documentato la corretta base giuridica per il trattamento di ogni tipo di dato, conformemente al GDPR.
- Raccogliere il consenso esplicito, specifico e informato degli interessati per il trattamento di dati sensibili, quando non si applichi un'altra base giuridica idonea.
- Eseguire valutazioni d'impatto sulla protezione dei dati (DPIA) per trattamenti ad alto rischio, come la gestione su larga scala di dati sanitari.
- Formare il personale sulla corretta gestione dei dati personali e sulla compliance privacy.
Cosa evitare
- Evitare di raccogliere dati personali, specialmente quelli relativi alla salute, senza una base giuridica solida e documentata.
- Non omettere l'informativa privacy in fase di raccolta dati o renderla poco accessibile.
- Non presumere il consenso implicito per il trattamento di dati sensibili.
- Non subordinare la prestazione di un servizio alla fornitura di dati non strettamente necessari o senza le dovute garanzie privacy.
Implicazioni pratiche
Questo caso evidenzia come le organizzazioni non possano prioritizzare in automatico i requisiti operativi o di sicurezza rispetto alla compliance GDPR, senza un attento bilanciamento e un'integrazione tra le normative. La necessità di raccogliere dati per motivi di sicurezza deve essere dimostrata come proporzionata e conforme ai principi di trasparenza, minimizzazione e base giuridica stabiliti dal GDPR. La mancata adozione di tali garanzie espone l'organizzazione a reclami, indagini da parte delle autorità di controllo e potenziali sanzioni, sottolineando l'importanza di un framework privacy robusto anche in settori fortemente regolamentati.
Azioni da fare
- Mappare e documentare tutti i trattamenti di dati personali, con particolare attenzione alle categorie speciali.
- Revisionare i moduli di raccolta dati (online e offline) per assicurare la presenza e la chiarezza dell'informativa privacy.
- Implementare meccanismi per la raccolta del consenso esplicito e documentabile, ove richiesto.
- Formare regolarmente il personale sul GDPR e sulla gestione dei dati sensibili.
Errori da evitare
- Ignorare i reclami degli interessati o sottovalutarne l'impatto.
- Ritenere che gli obblighi di sicurezza settoriali escludano automaticamente l'applicazione del GDPR.
- Non fornire un punto di contatto chiaro per le questioni relative alla protezione dei dati.
Domande di self-assessment
- La mia organizzazione raccoglie dati sensibili (es. stato di salute)? Se sì, abbiamo una base giuridica solida e documentata per ciascun trattamento?
- I nostri moduli di raccolta dati contengono un'informativa privacy completa, chiara e facilmente accessibile agli interessati?
- Il consenso (se base giuridica del trattamento) è raccolto in modo esplicito, libero, specifico, informato e documentabile?
- I dati che raccogliamo sono strettamente necessari per le finalità dichiarate? Applichiamo il principio di minimizzazione dei dati?
- Abbiamo procedure definite per rispondere ai reclami degli interessati relativi alla protezione dei dati e gestirli in modo tempestivo?
Riferimenti
Normativa nazionale: Regolamento (UE) 2016/679 (GDPR) · Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101) · Regolamento (CE) n. 1107/2006 (diritti delle persone con disabilità e delle persone a mobilità ridotta nel trasporto aereo)
Leggi l'articolo originale su garanteprivacy.it ↗
