Con la diffusione del coronavirus una serie di provvedimenti emergenziali hanno modificato il quadro normativo. Producendo i propri effetti anche nel settore della tutela dei dati personali. Facciamo il punto, accendendo un riflettore sui risvolti pratici degli interventi effettuati.
Dati personali e sanitari
L’emergenza sanitaria causata dal Coronavirus ha suscitato preoccupazioni e domande. Una di queste, forse la principale, è legata alle misure da implementare a tutela di se stessi, dei propri cari e delle persone sotto la propria responsabilità: non solo familiari e amici, quindi, ma anche personale dipendente.
Sin dalla dichiarazione dello stato di emergenza, le iniziative adottate con l’obiettivo di prevenire il contagio sono state oggetto di grande attenzione: si tratta, in particolare, della misurazione della temperatura corporea, anche con scanner termici, e delle autodichiarazioni sulla provenienza da zone a rischio o sulla sussistenza di sintomi.
È evidente che tutte queste iniziative richiedono, e implicano, il trattamento di dati personali e, soprattutto, di categorie particolari di dati personali (nello specifico, di dati relativi allo stato di salute). Non può, quindi, stupire che al Garante siano state fatte molte richieste tese a verificare la liceità delle stesse e, a tali richieste, l’Autorità ha risposto con il comunicato del 2 marzo 2020.
Al comunicato del Garante hanno poi fatto seguito ulteriori provvedimenti emergenziali.
Comunicazione del Garante di marzo
Il Garante ha precisato che i datori di lavoro “devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”.
Infatti, “[l’]accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate”.
La prevenzione dal contagio è riservata ai singoli, che hanno il dovere di segnalare eventuali situazioni di rischio. In questo contesto, i titolari del trattamento possono ricordare tale dovere e, per il resto, devono “attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti”.
Il Decreto Legge 14 del 9 marzo 2020
Il Decreto Legge 14/2020, recante “Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19”, ha introdotto (all’art. 14) alcune semplificazioni per il trattamento di dati personali “che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19”, da parte dei soggetti pubblici operanti nel Servizio nazionale di protezione civile, degli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, nonché delle strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale.
Le semplificazioni riguardano:
- l’informativa ex art. 13 GDPR, che può essere omessa o fornita con modalità semplificate, “previa comunicazione orale agli interessati della limitazione”;
- le autorizzazioni al trattamento dei dati personali, che potranno essere fornite ai c.d. soggetti designati (ex incaricati del trattamento: art. 2 -quaterdecies Codice Privacy) con “modalità semplificate, anche oralmente”.
Restano, invece, ferme la necessità che il trattamento avvenga nei limiti di cui all’art. 9, par. 1, lettere g), h) ed i) del GDPR (che consente – rispettivamente – il trattamento di dati sanitari per “motivi di interesse pubblico rilevante”, per “finalità di diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali” e per “motivi di interesse pubblico nel settore della sanità pubblica” sulla base del diritto dell’Unione o degli Stati membri) e nei limiti di cui all’art. 2-sexies del Codice Privacy, nonché la necessità che il trattamento avvenga nel rispetto dei principi generali dell’art. 5 GDPR (liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione; esattezza; limitazione della conservazione; integrità e riservatezza; responsabilizzazione).
L’art. 14 prevede altresì che, al termine dell’emergenza sanitaria, vengano adottate misure “idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali”.
Per quanto riguarda i privati, il secondo comma dell’art. 14 del Decreto Legge ammette la “comunicazione” di dati personali ai soggetti privati e ai soggetti pubblici diversi da quelli indicati, e la “diffusione” di dati diversi da quelli ex artt. 9 e 10 GDPR (che riguardano, rispettivamente, le categorie particolari di dati personali, inclusi quelli sanitari, e i dati personali relativi a condanne penali e reati), nei limiti in cui “risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto”.
Niente raccolta da parte di privati
Dalla lettura del testo della norma sembra che sia stata semplicemente riconosciuta una facoltà, ai soggetti pubblici deputati alla gestione dell’emergenza sanitaria, di comunicare a privati o di diffondere dati personali al fine di contribuire alla prevenzione della diffusione del Coronavirus: la norma non attribuisce, quindi, ai privati (tra cui, naturalmente, anche i datori di lavoro) la facoltà di raccogliere direttamente dati sullo stato di salute di dipendenti, visitatori o clienti.
Il Decreto Legge sembra, quindi, porsi in linea di continuità con la posizione del Garante.
Il Protocollo Condiviso
Il 14 marzo 2020 è stata annunciata, dalle principali associazioni datoriali ed organizzazioni sindacali, la sottoscrizione del “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”. Tale Protocollo, sebbene firmato in attuazione dell’art. 1, comma 1, n. 9) del DPCM dell’11 marzo 2020, non rappresenta una fonte normativa, ma esclusivamente un protocollo di intesa volto a favorire buone pratiche e misure di contenimento del virus nei luoghi di lavoro.
Il Protocollo prevede che i datori di lavoro possano misurare la temperatura corporea ai dipendenti prima dell’accesso al luogo di lavoro. In particolare, se la temperatura dovesse risultare superiore a 37,5°, i dipendenti interessati non potranno accedere al luogo di lavoro e verranno momentaneamente isolati e muniti di mascherine, con tutte le dovute garanzie a tutela della loro riservatezza e dignità; dovranno, inoltre, contattare nel più breve tempo possibile il proprio medico curante e attenersi alle indicazioni che riceveranno. La conservazione dei dati identificativi dell’interessato e del superamento della soglia prevista (37,5°) è, però, da limitare al caso in cui sia necessario documentare le ragioni che hanno precluso l’accesso al luogo di lavoro.
La misurazione della temperatura corporea richiede, comunque, il coordinamento con le Autorità sanitarie competenti e il rispetto delle prescrizioni dettate dalla normativa in materia di tutela dei dati personali, con particolare riferimento all’obbligo di fornire l’informativa, anche in via orale (ma con ogni conseguente difficoltà probatoria, nel caso in cui venga chiesto di dimostrare di averla effettivamente fornita).
Nell’informativa devono essere indicati, tra gli altri elementi:
- come finalità del trattamento, la prevenzione dal contagio da COVID-19;
- come base giuridica, l’adempimento dell’obbligo di legge di implementare i protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, paragrafo 7, lettera (d) del DPCM 11 marzo 2020;
- come tempo di conservazione dei dati, laddove si debba procedere alla conservazione, tutto il periodo di durata dello stato d’emergenza.
Altri obblighi per i datori di lavoro
Tra gli ulteriori obblighi a carico dei datori di lavoro/titolari del trattamento, il Protocollo menziona espressamente quelli di implementare adeguate misure di sicurezza e di individuare e autorizzare debitamente i soggetti designati al trattamento, fornendo loro le dovute istruzioni.
Il Protocollo riconosce anche la possibilità raccogliere un’autodichiarazione, dal personale dipendente e da terzi, che attesti la non provenienza da zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, ma sempre nel rispetto della normativa in materia di trattamento di dati personali: evitando cioè, in particolare, la raccolta di dati eccedenti quelli strettamente necessari al raggiungimento della finalità di prevenzione del contagio.
È, quindi, possibile chiedere se ci sono stati contatti con persone risultate positive al COVID-19, ma non è possibile richiedere informazioni aggiuntive in merito alla persona risultata positiva; è, ancora, possibile chiedere una dichiarazione sulla provenienza da zone a rischio epidemiologico, ma non è possibile richiedere informazioni aggiuntive in merito alle specificità dei luoghi.
Garante e Protocollo, linea condivisa
Sembra possibile affermare che il Protocollo condiviso abbia integrato la comunicazione del Garante del 2 marzo scorso, fermo restando che nessuno dei due documenti costituisce una vera e propria fonte normativa.
Il Garante ha, infatti, ritenuto illegittima una raccolta di dati relativi allo stato di salute e alla presenza di sintomi condotta a priori, in modo sistematico e generalizzato, laddove non prevista da norme di legge o non disposta dagli organi competenti, invitando espressamente “ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus”.
Da questo punto di vista, il Protocollo ha adottato un approccio coerente, laddove:
- individua l’ambito di trattamenti che possono dirsi consentiti, nel rispetto della normativa privacy, alla luce della normazione d’urgenza emanata successivamente alla comunicazione del Garante (normazione che ha totalmente modificato lo scenario, ad esempio introducendo limitazioni alla circolazione e poi inibendo l’ingresso alle attività lavorative non oggetto di sospensione in tutti quei casi in cui non siano garantiti adeguati livelli di protezione sanitaria e di rispetto della distanza interpersonale di almeno un metro);
- subordina comunque le attività di trattamento alla direzione delle Autorità sanitarie competenti.
È significativo osservare che sia in base alla comunicazione del Garante, sia in base al Protocollo, si può concludere che sia preferibile non comunicare l’identità del contagiato in modo indifferenziato, affidandosi all’Autorità sanitaria che condurrà, con la cooperazione di tutti, le dovute indagini per individuare le persone da sottoporre a quarantena preventiva e alle quali, quindi, dare un’informazione completa.
Privacy e contagio: il quadro europeo
A livello europeo, diverse autorità si sono espresse sul trattamento dei dati personali nel contesto della crisi e sulla possibilità di raccogliere e trattare dati personali (e categorie particolari di dati personali) a fini di prevenzione dal contagio.
Lo European Data Protection Board (EDPB) non si è fatto attendere e, il 16 marzo 2020, ha pubblicato un comunicato stampa nel quale viene chiarito che, sebbene la legislazione europea sulla protezione dei dati non ostacoli l’adozione di misure di lotta contro la pandemia, deve comunque essere garantita la tutela dei dati personali: a maggior ragione, se si considera che il GDPR è un regolamento di ampio respiro che fornisce regole specifiche per il trattamento di dati anche in contesti come quello relativo al COVID-19.
Tra gli aspetti che i titolari del trattamento devono tenere in considerazione, uno dei principali è la base giuridica del trattamento. Sotto questo punto di vista, lo EDPB precisa che il ricorso al consenso dell’interessato non è necessario: ci sono basi giuridiche più adatte a permettere ai datori di lavoro e alle autorità pubbliche competenti di trattare dati personali nel contesto di una pandemia quali, ad esempio, la necessità di trattare dati personali per motivi di interesse pubblico nel settore della sanità pubblica, o per proteggere un interesse vitale dell’interessato, o per adempiere a un obbligo di legge.
Lo EDPB prende in esame anche il trattamento di dati sul traffico, per l’eventualità in cui vengano utilizzati dalle autorità pubbliche per verificare la concentrazione di dispositivi mobili (e, quindi, di persone) in una determinata località. La raccomandazione dello EDPB è quella di trattare dati in forma anonima e aggregata: il trattamento in forma nominativa – come previsto anche dalla Direttiva e-Privacy – è possibile solo se (i) legittimato da norme urgenti finalizzate a tutelare la sicurezza nazionale e pubblica, (ii) che costituiscono una misura necessaria, appropriata e proporzionata, e (iii) che prevedono garanzie adeguate (come il diritto alla tutela giudiziaria).
Integrazione fra Italia ed Europa
Si può dire che la comunicazione del Garante sia stata chiarita ed integrata, progressivamente, dal Protocollo e dal comunicato dello EDPB:
- il Protocollo ha individuato, alla luce della recente normazione d’urgenza, i trattamenti consentiti nel rispetto della normativa privacy e delle indicazioni delle autorità competenti;
- lo EDPB ha chiarito quali basi giuridiche, e quali deroghe al divieto di trattamento di categorie particolari di dati personali, sono applicabili in sostituzione del consenso.
Dati personali oltre l’emergenza virus
È possibile che ci siano presto altre novità. È recente la notizia che i controlli sul rispetto delle misure di isolamento sociale si stanno inasprendo, anche attraverso l’analisi di dati di traffico anonimi e aggregati: non possiamo escludere che non vengano adottate anche ulteriori misure che, anche se meno invasive rispetto a quelle adottate in Cina (come, ad esempio, l’app “Health” Code che, tramite l’assegnazione a ciascun soggetto di un colore corrispondente allo stato di salute, decide la quarantena o il livello di libertà di movimento dello stesso), potranno far sorgere nuovi interrogativi sulla compatibilità con i principi a tutela dei dati personali.
