PRIVACY E LA SITUAZIONE DI EMERGENZA (Covid-19)

Inevitabilmente il sorgere di una situazione particolarmente allarmante come quella attuale a seguito della pandemia da coronavirus cambia l’equilibro dei due valori di rilevanza costituzionale che vengono in conflitto e cioè il diritto alla riservatezza ed il diritto alla salute. Ma ovviamente è necessaria una base normativa che giustifichi il trattamento dei dati sanitari in questo particolare periodo. E l’Italia in questo non è seconda a nessuno.
L’art. 14 del DL n. 14/2020 ha subito fornito le adeguate basi di liceità del trattamento richiamando le disposizioni del GDPR. In particolare al 1° comma ha sancito che «fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell’articolo 9, paragrafo 2, lettere g) , h) e i) , e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonché dell’articolo 2-sexies , comma 2, lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196, i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID19».

La medesima disposizione chiarisce che la comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto.
L’art. 14 opera altri due richiami fondamentali all’art. 5 del GDPR come principi generali da rispettare ed all’ 2- quaterdecies del d.lgs. n. 196/2003 per soddisfare la necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, prevedendo un regime semplificato per le autorizzazioni di sorta.
Addirittura al comma 5 l’art. 14 prevede che nel contesto emergenziale in atto, ai sensi dell’articolo 23, paragrafo 1, lettera e) , del GDPR, fermo restando quanto disposto dall’articolo 82 del decreto legislativo 30 giugno 2003, n. 196, i soggetti di cui al comma 1 possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione.

Il protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14 marzo 2020 (aggiornato al 26/04/2020)

Come noto il documento è stato realizzato per agevolare gli enti e le imprese nell’adozione di protocolli di sicurezza anti-contagio, ovverosia Protocollo di regolamentazione per il contrasto e il contenimento della diffusione del virus COVID 19 negli ambienti di lavoro, ma contiene importanti disposizioni anche in materia di privacy.
Difatti la rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente.

Per questo motivo vengono suggerite tutta una serie di precauzioni da adottare:
• Rilevare la temperatura e non registrare il dato acquisito. È possibile identificare l’interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali.

• Fornire l’informativa sul trattamento dei dati personali. Si ricorda che l’informativa può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente.

• Definire le misure tecniche e organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID19);

• In caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto lavorativo, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi.

• Qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID19, si ricorda di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati. A tal fine, si applicano le indicazioni precedenti e, nello specifico, si suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19. Ad esempio, se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi.

DUBBI:

Un titolare del trattamento può chiedere ai visitatori o ai dipendenti di fornire informazioni sanitarie specifiche nel contesto del COVID-19?
Nel caso di specie, è particolarmente pertinente l’applicazione dei principi di proporzionalità e di minimizzazione dei dati.

Il datore di lavoro dovrebbe chiedere informazioni sanitarie soltanto nei casi previsti dalla normativa speciale. Il titolare del trattamento può informare dipendenti o soggetti esterni del fatto che un dipendente è affetto dal COVID-19?
I titolari del trattamento devono informare il personale sui casi di COVID-19 e adottare misure di protezione, ma non devono comunicare più informazioni del necessario. Qualora occorra indicare il nome del dipendente o dei dipendenti che hanno contratto il virus (ad esempio, in un contesto di prevenzione), i dipendenti interessati ne sono informati in anticipo tutelando la loro dignità e integrità.