ESPERTO LEGALE PRIVACY E CYBER SECURITY - EMERGENZA COVID-19

Il trattamento di dati personali per finalità di prevenzione e contenimento del contagio da Covid-19

| 06/04/2020 07:23

Il 31 gennaio 2020, il Governo italiano ha dichiarato lo stato di emergenza sul territorio nazionale relativamente al rischio sanitario connesso all'insorgenza di patologie derivanti da agenti virali trasmissibili. Al primo decreto legge del 23 Febbraio 2020, con cui il Governo ha autorizzato le autorità competenti ad adottare ogni misura di contenimento e gestione adeguata e proporzionata all'evolversi della situazione epidemiologica, sono seguiti una serie di ulteriori interventi normativi che hanno imposto misure via via più stringenti. 

1.  I provvedimenti sul trattamento dei dati personali per finalità di prevenzione e contenimento del contagio

Quali dati e quali categorie di soggetti?

La prevenzione ed il contenimento del contagio inevitabilmente comportano il trattamento di dati personali. Tra i dati trattati per tali finalità rientrano non solo i dati personali cosiddetti "comuni", come i dati anagrafici, ma anche i dati personali di tipo particolare: di quest'ultima categoria fanno parte i dati relativi allo stato di salute. Tra i dati di interesse vi sono anche le informazioni sugli spostamenti dei soggetti contagiati, che consentono a loro volta di identificare i terzi con cui detti soggetti avrebbero avuto contatti nel periodo di incubazione: tali informazioni possono essere ottenute mediante la raccolta dei dati di traffico degli utenti sulla rete telefonica ed internet. 

Tanto premesso sui dati strumentali al perseguimento delle predette finalità, dal punto di vista soggettivo, invece, il trattamento deve essere svolto anzitutto da parte delle autorità competenti e dagli operatori della Protezione Civile, per la gestione dell'emergenza e dunque per l'attuazione delle concrete misure di contenimento. Si pensi ai controlli mediante la rilevazione della temperatura corporea presso gli aeroporti oppure agli imbarchi navali, o ancora alla quarantena obbligatoria che tanti amministratori locali hanno imposto ai residenti rientrati dalle Regioni maggiormente colpite dal contagio. Senz'altro, poi, il trattamento dei dati viene posto in essere in occasione dell'erogazione della prestazione sanitaria, dunque da parte di operatori sanitari e personale medico.

Si badi come in quest'ultima circostanza si sia in presenza di un trattamento di dati personali, anche particolari, non soltanto in occasione del primo soccorso o del ricovero del paziente, ma anche in occasione del supporto telefonico (oltre al centralino del 112 per i sintomatici ed ai molteplici numeri verdi messi a disposizione, sono state da ultimo implementate da parte del Ministero della Salute soluzioni telematiche per l'assistenza da remoto ai soggetti colpiti). L'esigenza di raccogliere dati personali sorge anche per i datori di lavoro, pubblici e privati, per finalità di diritto del lavoro e protezione sociale: le aziende devono, infatti, vagliare l'idoneità alla mansione lavorativa dei propri dipendenti e collaboratori ed adottare ogni più opportuna misura al fine di evitare la proliferazione del contagio presso gli ambienti lavorativi. 

Focus. L'attuale disciplina normativa italiana sui dati particolari 

Come anticipato, a prescindere dalla categoria di appartenenza del titolare del trattamento, il perseguimento delle finalità di prevenzione e contenimento del contagio comporta la raccolta e l'elaborazione anche di dati sanitari. Occorre, pertanto, prima ancora di soffermarsi sugli interventi normativi del Governo in occasione di questa situazione emergenziale, esaminare le prescrizioni della vigente normativa in ordine al trattamento dei dati particolari. Ai sensi del Regolamento europeo n. 679/2016 (meglio noto come "GDPR") è vietato trattare i dati che rivelino: l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, dati genetici, dati biometrici tesi ad identificare in modo univoco una persona fisica, dati relativi alla salute, alla vita sessuale, all'orientamento sessuale della persona (art. 9). 

Il secondo paragrafo dell'art. 9, tuttavia, individua una serie di eccezioni in cui è possibile derogare al generale divieto, le quali dovranno essere ritenute tipiche. Trattasi di ben dieci circostanze. Per quel che qui rileva, tra tali deroghe rientrano (si menzionano, nel seguito, le lettere dalla norma): a) il caso in cui l'interessato abbia prestato il consenso esplicito per una o più finalità specifiche; b) il caso in cui sia necessario assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale; g) il caso in cui il trattamento è necessario per motivi di interesse pubblico rilevante; i) il caso in cui il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica. 

Con riferimento al caso della ricorrenza del consenso dell'interessato, è necessario precisare come lo stesso debba essere libero, specifico, informato e inequivocabile, non essendo ammesso il consenso tacito o presunto, manifestato attraverso una dichiarazione e azione positiva inequivocabile ed esplicito. A differenza della previgente disciplina, non è più necessario che il consenso sia documentato per iscritto, risultando la forma scritta una mera modalità per provare l'inequivocabilità della manifestazione di volontà da parte dell'interessato. Nell'attuale quadro normativo, l'opposizione al trattamento, esercitabile ex post da parte dell'interessato, consente allo stesso di monitorare l'attività di trattamento, tenuto conto degli effetti che il consenso prestato ha comportato nella sfera di interessi individuali giuridicamente tutelati dall'interessato. 

Il GDPR riconosce poi una deroga che consente il trattamento di speciali categorie di dati nel caso in cui i dati trattati siano necessari per finalità lavorative, in buona sostanza per consentire di disciplinare il rapporto di lavoro con ogni conseguente trattamento connesso alle finalità previdenziali, sanitarie, ecc.. In questo caso, il trattamento deve risultare indispensabile per il perseguimento delle finalità individuate, che devono naturalmente essere state esplicitate nella relativa informativa rilasciata all'interessato/dipendente. Tuttavia, per completezza, occorre puntualizzare come nell'ordinamento giuridico la sorveglianza sanitaria sui dipendenti sia demandata al medico competente, e tanto in conformità a quanto previsto dal testo unico sulla sicurezza (d.lgs. 81/2008). Dunque, sebbene l'art. 2087 c.c. imponga al datore di lavoro di "adottare nell'esercizio dell'impresa le misure che, secondo la particolarità del lavoro, l'esperienza e la tecnica, sono necessarie a tutelare l'integrità fisica e la personalità morale dei prestatori di lavoro", in ogni caso dette misure devono necessariamente essere adottate nel rispetto del d.lgs. 81/2008, oltre che dello Statuto dei lavoratori, e perché ciò avvenga la previsione della rinnovazione della verifica di idoneità del lavoratore per ragioni di prevenzione e contenimento del contagio potrebbe essere legittima solo in caso di aggiornamento del documento di valutazione del rischio, con indicazione del medico competente che prescriva una tale misura come idonea a prevenire il rischio secondo criteri e modalità di diligenza e prudenza....continua la lettura in Plusplus24Diritto 

Vetrina