Le norme emergenziali sul trattamento dei dati personali finalizzato al contenimento e al contrasto dell’epidemia di COVID-19. Tutela della privacy vs. necessità emergenziali quale equilibrio?
Come è noto, nei giorni scorsi l’introduzione di norme emergenziali per il contenimento e il contrasto della grave epidemia in corso di COVID-19 ha interessato anche la normativa data protection, che ovviamente viene primariamente in considerazione in un momento così grave si pensi alla tracciatura dei dati sanitari tra tamponi e contagi, agli incroci delle informazioni a scopo di studio epidemiologico, alle comunicazioni tra enti pubblici e privati dei dati dei cittadini positivi al COVID-19 che necessitano di ospedalizzazione ai fini della gestione dei posti, anche di terapia intensiva, etc . Tutti si fanno la stessa domanda ha senso in questo momento la protezione dei dati personali in un contesto emergenziale, dove la privacy” potrebbe essere sentita come – oppure potrebbe costituire oggettivamente – un ostacolo alla gestione dell’emergenza? La domanda in realtà reca in sé una trappola emotiva”, possibile fonte di risposte e reazioni istintive che effettivamente sembrano spingere verso la direzione di considerare la privacy”, in questo momento, un qualcosa di cui fare volentieri a meno ad esempio in Corea del Sud, che era il secondo Paese al mondo per numero di contagi fino a qualche giorno fa, sono riusciti attualmente a fermare l’epidemia oramai sotto controllo anche attraverso una app di geolocalizzazione degli spostamenti dei cittadini, in grado di ricostruire compiutamente la cosiddetta catena dei contatti” in caso di positività al virus, con il pronto isolamento degli interessati. Alcuni studi sostengono che questo controllo capillare via cellulare in Europa non praticabile in base alle attuali regole data protection, anche emergenziali abbia contribuito in maniera addirittura decisiva unitamente ai tamponi effettuati su tutta la popolazione asintomatica al controllo ormai in atto dell’epidemia in quale Paese. In realtà non dobbiamo e possiamo correre il rischio grave quanto quello epidemico in corso di rinunciare alla privacy la tenuta democratica delle istituzioni e la tenuta anche dell’insieme delle garanzie e tutele democratiche e normative in favore della cittadinanza passa anche attraverso il mantenimento non la rinuncia delle ordinarie prescrizioni sulla protezione dei dati personali, da gestire con freddezza che eviti scelte istintive e dannose anche nel medio termine. D’altera parte, tanto il Regolamento Generale UE 679/2016 RGPD” sulla protezione dei dati personali quanto la stessa logica che da sempre permea la disciplina sulla protezione dei dati personali e cioè quella del contemperamento di opposte esigenze come la libera circolazione delle informazioni e il diritto alla protezione dei dati personali , contengono in sé dei meccanismi atti a rendere applicabile – senza snaturarla – la protezione dei dati anche in contesti emergenziali come quello che stiamo vivendo. Senza che sia cioè necessario rinunciare in toto alle tutele e alle corrispondenti prescrizioni obbligatorie in capo a chi tratta i dati come molti vorrebbero fare istintivamente in questo momento.
Occorre ora approfondire il caso pratico evidenziato nella titolazione del presente paragrafo per rispondere alla domanda e indicare ai datori di lavoro-titolari del trattamento quali scelte intraprendere e su quali basi normative nel contesto delle norme emergenziali sopra indicate e nel contesto ordinario” della normale applicabilità del RGPD per affrontare una situazione del genere. Inviare a dipendenti con i quali il lavoratore positivo al COVID-19 è entrato in contatto una comunicazione contente i dati identificativi di quest’ultimo è tecnicamente una comunicazione” di dati personali ai sensi dell’art. 2-ter del Codice della privacy cfr. articolo 2-ter, comma 4, che dispone che per comunicazione si intende il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione” . Come ogni trattamento, anche questa comunicazione - indipendentemente dalle modalità es email, ricordando che nel contesto lavorativo devono comunque essere privilegiate comunicazioni individuali quando aventi ad oggetto dati di particolare natura – deve fondarsi su una idonea base di legittimità, che nel contesto emergenziale che stiamo vivendo deve ovviamente coordinarsi, appunto, con le norme emergenziali emanate applicabili alla vostra situazione particolare. Trattasi inoltre di comunicazione avente ad oggetto dati di particolare natura sub specie dati sanitari cfr. art. 4, n. 15 del Regolamento 679/2016, dati relativi alla salute i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Quando parliamo di dati di particolare natura”, viene in considerazione – come regola generale – il divieto di trattamento di cui all’articolo 9, comma 1 del Regolamento 679/2016 È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona . Solo ove siano applicabili una o più deroghe a tale divieto tra quelle elencate al successivo comma 2 dell’articolo 9, il trattamento dei dati di particolare natura potrà risultare lecito.
Nel caso pratico in esame una circostanza di fatto che può costituire una discriminante nell’ottica del fondamento di legittimità del trattamento è l’eventuale stato fisico del lavoratore positivo al COVID-19. Difatti, ove fosse accertata la sua impossibilità fisica a prestare il consenso, sarebbe applicabile come deroga al divieto di trattamento la ipotesi elencata all’articolo 9, comma 2, lettera c del Regolamento 679/2016 c il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso Tale ipotesi vedrebbe il datore di lavoro e titolare del trattamento valutare come vitali” gli interessi sanitari dei dipendenti entrati in contatto con il lavoratore le altre persone fisiche” . Vitali” in quanto non avvertirli o attendere le procedure di comunicazione del datore alle competenti autorità sanitarie che sono le uniche deputate a trattare i dati e ad intervenire presso tali lavoratori a rischio, ricostruendone la catena dei contatti”, rischierebbe di far perdere tempo prezioso o potrebbe in teoria anche fondare responsabilità ex art. 438 c.p Dunque, nel caso il lavoratore positivo al COVID-19 non possa prestare il consenso per impossibilità fisica, il datore di lavoro potrebbe legittimamente procedere come sopra indicato. Ciò è d’altra parte coerente sia con il dettato normativo richiamato, sia con le indicazioni del CEPD sopra riportate. In questo caso, ovviamente, la comunicazione dovrebbe altresì essere conforme a tutti gli altri principi di cui all’articolo 5 del Regolamento 679/2016 ad esempio, il principio di proporzionalità imporrebbe una comunicazione mirata ai soli colleghi che siano realmente a rischio per pregressi contatti, essendo eccedente una comunicazione indifferenziata a tutti i lavoratori, anche a quelli che a seguito di una valutazione oggettiva non siano entrati in contatto con il dipendente positivo o non corrano rischi reali di infezione .
Nella diversa ipotesi in cui il lavoratore positivo al COVID-19 sia cosciente, va valutato il quadro delle regole emergenziali in materia di trattamento dei dati sanitari per poter dare una risposta in base al quadro fattuale diverso, ora oggetto di valutazione. Una prima considerazione attiene all’articolo 14 del decreto legge 9 Marzo 2020, alla cui illustrazione sopra effettuata si rinvia. Secondo tale norma – come si è visto - i soggetti pubblici autorizzati ad operare nell’ambito del Sistema Nazionale di Protezione Civile, il Ministro della Salute, l’Istituto Superiore della Sanità, gli enti pubblici e privati operanti nell’ambito del Sistema Sanitario Nazionale e i soggetti preposti al controllo delle misure di emergenza già emanate possono trattare i dati personali, anche mediante interscambio e comunicazione reciproca di dati sia sanitari che relativi a reati per eventuali violazioni delle misure di emergenza . Invece tutti gli altri soggetti privati diversi da quelli sopra individuati possono procedere alla comunicazione e alla diffusione dei soli dati personali comuni esclusi quindi i dati sanitari e i dati relativi ai reati a soggetti pubblici e privati diversi dai soggetti pubblici autorizzati ad operare nell’ambito del Sistema Nazionale di Protezione Civile, il Ministro della Salute, l’Istituto Superiore della Sanità, gli enti pubblici e privati che operano nell’ambito del Sistema Sanitario Nazionale è autorizzata, ove indispensabile, nell’ambito della gestione dell’emergenza sanitaria in corso. In base a questa disciplina speciale emergenziale emergerebbe che un soggetto quale una società privata datrice di lavoro non sia autorizzato alla comunicazione o alla diffusione di dati personali di particolare natura, essendo autorizzato a comunicare e diffondere - eventualmente – solo dati personali comuni. Interviene però questione interpretativa, che potrebbe portare ad una conclusione di segno opposto a quella appena proposta dalla mera lettura dell’articolo 14, comma 2 del d.l. 14/2020 e cioè che i privati possono in via di emergenza procedere a comunicare e diffondere a soggetti pubblici e privati diversi da quelli sanitari i soli dai personali comuni, adottando tale emergenza e l’articolo 14 del decreto legge quale base di legittimità del trattamento . È una lettura orientata dell’articolo 14, comma 2, del decreto legge 2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento UE 2016/679, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria in atto . Se esaminiamo l’inciso tra le due virgole sopra evidenziato, una non irragionevole lettura interpretativa potrebbe portare alla conclusione che • la comunicazione dei dati personali” dunque anche di quelli di particolare natura, sanitari inclusi a soggetti privati es i dipendenti del nostro datore di lavoro e pubblici diversi da quelli del comparto sanitario è consentita nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria in atto mentre • la diffusione dei dati che è in se stessa operazione più delicata della comunicazione, in quanto – sempre ai sensi dell’articolo 2-ter del Codice della privacy – consiste nel dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” , sarebbe consentita solo con riferimento dati comuni. Con la conseguenza che una tale lettura interpretativa consentirebbe al nostro datore di lavoro privato di procedere alla detta comunicazione emergenziale ove appunto come datore di lavoro gli risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria in atto”. Ovviamente, anche in questo caso, sarebbe comunque applicabile – anche nel contesto emergenziale – il comma 3 dell’articolo 14 decreto legge 9 marzo 2020 n. 14 I trattamenti di dati personali di cui ai commi 1 e 2 sono effettuati nel rispetto dei principi di cui all'articolo 5 del citato regolamento UE 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati”. L’adozione di adeguate misure di tutela dell’interessato è comunque e sempre una precondizione di liceità del trattamento anche ove consentito in via eccezionale come nel contesto sopra delineato. Anche il contesto emergenziale – in altri termini – in assenza delle adeguate misure organizzative di gestione della comunicazione non sarebbe da solo sufficiente a fondare la legittimità del trattamento. La lettura interpretativa sopra proposta, tra l’altro, e l’apertura possibilista alla comunicazione dei dati nella cornice di garanzie appare costituzionalmente orientata nel senso lavoristico. Difatti, il fondamento giuridico di tipo non data protection ma di tipo lavoristico sarebbe altresì rinvenibile nell’art. 2087 c.c. l’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro . L’articolo citato ha un elevato dinamismo applicativo, poiché tutela la salute dei lavoratori. A ciò si aggiunga che ogni norma ordinaria deve essere applicata secondo una lettura costituzionalmente orientata. Nel caso di specie, l’imprenditore, nello scegliere le misure necessarie a tutelare la salute dei lavoratori, deve anche valutare un altro diritto costituzionale e cioè la salute dei cittadini. Ora, volendo operare una gradazione dei diritti ed interessi in gioco, la privacy del dipendente positivo al COVID 2019 non può avere valore costituzionale primario rispetto alla salute dei lavoratori e dei familiari e, di conseguenza, della comunità. Con la conseguenza che in casi come questo i datori di lavoro possono adottare la misura ritenuta più necessaria, secondo le valutazioni rese anche dal Medico Competente e dal Responsabile della Sicurezza e Prevenzione RSPP, per applicare l’art. 2087 e tutelare la salute dei lavoratori e di conseguenza la salute pubblica. Ovviamente, sempre secondo un principio di continenza se il lavoratore operava con un ristretto cerchio di persone o ad esempio in un ufficio distaccato e non a contatto con altri colleghi, l’informativa potrà essere mirata. Ma questo aspetto va valutato nel dettaglio ad opera del datore di lavoro privato anche nella già citata prospettiva dell’articolo 5 del Regolamento 679/2016 .
L’articolo 9, comma 2, lettera g del Regolamento 679/2016 come integrato in sede nazionale dall’articolo 2-sexies, comma 1, del vigente d.lgs. 30 Giugno 2003, n. 196 coordinato al RGPD prevede che il trattamento dei dati di particolare natura ivi inclusi quelli sanitari è consentito in deroga al divieto generale di trattamento di cui all’articolo 9, comma 1, RGPD se è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”. L’articolo 2-sexies, comma 1, del Codice della privacy Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante prevede poi che 1. I trattamenti delle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g , del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato . Ora, certamente tali norme sono per lo più destinate a soggetti pubblici che perseguono nello svolgimento delle loro attività istituzionali interessi pubblici rilevanti o svolgono compiti di interesse pubblico o sono destinatari di poteri di natura pubblicistica, ma un interesse pubblico rilevante”- soprattutto in un contesto emergenziale - può ben essere perseguito anche da un soggetto privato come una azienda. Se non è irragionevole una tale conclusione, allora se ne deve trarre la conseguenza che comunicare dati personali sanitari a terzi è legittimo se previsto dall’ordinamento nazionale con norme che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato tutte condizioni che a ben vedere l’articolo 14, commi 2 e comma 3 del decreto legge 14/2020 appunto prevede nello specifico.
Occorre infine – per completezza – riferire che in data 17 Marzo 2020 il Ministero dell’Interno ha rilasciato una versione aggiornata del modello di autocertificazione che i cittadini che abbiano comprovate e indifferibili esigenze lavorative, sanitarie o di altro tipo devono portare con sé ed esibire alle Forze dell’Ordine in caso di controllo. Secondo il Ministero, difatti è emersa in particolare l’utilità di inserire nel modulo una apposita voce con la quale l’interessato autodichiara di non trovarsi nelle condizioni previste dall’articolo 1, comma 1, lettera c del d.p.c.m. 8 Marzo 2020 che – come è noto – reca un divieto assoluto di mobilità dalla propria abitazione o dimora per i soggetti sottoposti alla misura della quarantena ovvero risultati positivi al virus COVID-1 . In adesione a questa proposta si è provveduto a predisporre il nuovo modello che reca la esplicitazione di non essere sottoposto alla misura della quarantena e di non essere risultato positivo al virus COVID-19 di cui all'articolo 1, comma 1, lettera c , del Decreto del Presidente del Consiglio dei Ministri dell' 8 marzo 2020” n.d.r. . Tale esplicitazione trova il proprio fondamento nell’art. 14, comma 1 del decreto legge 14 marzo 2020 n. 14 il quale, per garantire la salute pubblica nella situazione di emergenza in atto, autorizza il trattamento e la comunicazione dei dati di natura sanitaria anche da parte dei soggetti deputati a garantire il monitoraggio e l’esecuzione di misure di cui all’articolo 3 del decreto legge 6/2020 tra i quali rientrano anche le Forze di polizia . Orbene, una delle esigenze della revisione del modulo è individuata – nel-la Circolare del Ministero dell’Interno alla quale il modello è allegato – nella necessità di coordinare la comunicazione dei dati sanitari effettuata dal cittadino all’agente delle Forze dell’Ordine che lo ferma per controllo. Tuttavia, il modello e i suoi presupposti legali di cui alla Circolare ministeriale appaiono tradire una certa frettolosità redazionale. A parte che l'applicazione dell'istituto della autocertificazione su stati sanitari è di per se stesso dubbia ma non è certo questa la sede per gli approfondimenti giuridici che tale considerazione necessiterebbe . Appare assai singolare che il cittadino ricordiamolo il modello di autocertificazione è di portata generale, e va utilizzato da tutti i cittadini italiani debba dichiarare di non essere risultato positivo al virus COVID-19 , Ci si domanda cioè come si possa – in assenza di effettuazione di tampone o degli accertamenti clinico-sanitari del caso - dichiarare di non essere risultati positivi” a cosa, se non ad un accertamento di laboratorio, e cioè al tampone? . Abbiamo dunque a che fare con un modello di una Autorità Pubblica che sostanzialmente spinge il cittadino o dichiarare o il falso egli, in assenza di accertamento sanitario a seguito del quale potrebbe risultare – al contrario – positivo, afferma assurdamente e aprioristicamente di non esserlo, sic! o a fare una affermazione i cui contenuti di effettiva veridicità non sono noti, con l'effetto di rendere inutile l'autocertificazione stessa e la deroga al divieto di circolare. Inoltre, il modello di autocertificazione contenente i suddetti dati sanitari pone anche problemi operativi. Intanto, le Forze dell'ordine dovranno rendere al cittadino per lo meno una informativa orale, ancorchè semplificata, contenente gli elementi fondamentali del trattamento. In secondo luogo, nel caso non infrequente in cui l’agente accertatore trattenga il modulo con i nostri dati e va tenuto presente che tale modulo è ricchissimo di informazioni, contenendo i dati anagrafici, di residenza, i recapiti, l’eventuale attività lavorativa, etc oltre ai dati sanitari ora richiesti c’è il problema della gestione successiva visto. Va in sostanza ricordato, anche al Ministero dell’Interno e alle Forze dell’Ordine, che l'art. 14.3 del d.l. 14/2020 richiama la necessità di applicare i principi fondamentali del trattamento articolo 5 del regolamento 679/2016 anche in questo contesto emergenziale
Anche se il presente contributo vuole approfondire un caso pratico di trattamento dei dati sanitari alla luce delle attuali norme privacy nell’emergenza e dare risposta operativa se taluni trattamenti siano leciti o meno anche nel contesto emergenziale, non si può che partire dalla prospettazione sintetica delle misure specifiche che ad oggi sono state adottate in materia di data protection dalle competenti autorità nell’esercizio delle proprie competenze legislative il Governo , amministrative l’Autorità Garante per la protezione dei dati personali o contrattuali il protocollo e gli accordi tra Sindacati e Confindustria . Partiamo dalle istruzioni che l’Autorità Garante per la protezione dei dati personali ha fornito in un comunicato del 2 marzo 2020, relative al trattamento dei dati personali dei dipendenti nell’ambito dell’emergenza Covid-19 • i datori di lavoro devono astenersi dal raccogliere, in anticipo e in modo sistematico e generalizzato, anche attraverso richieste specifiche al singolo lavoratore o indagini non autorizzate, informazioni sulla presenza di eventuali segni di influenza nel lavoratore e nei soggetti a lui più vicini, o comunque riguardanti aree esterne all'ambiente di lavoro l'indagine e la raccolta di informazioni sui sintomi tipici del Coronavirus e sui recenti movimenti di ciascun individuo sono infatti di competenza degli operatori sanitari e della Protezione Civile tale previsione appare però superata dal Protocollo Confindustria/Sindacati siglato il 14 Marzo 2020 sulla Regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” si veda infra • l'obbligo del dipendente di informare il datore di lavoro di eventuali pericoli per la salute e la sicurezza sul luogo di lavoro è lasciato impregiudicato. A questo proposito, i datori di lavoro possono invitare i propri dipendenti ad effettuare, ove necessario, tali comunicazioni facilitando le modalità di inoltro, anche attraverso canali dedicati • gli obblighi del datore di lavoro di informare le autorità competenti di qualsiasi modifica del rischio biologico” per la salute sul luogo di lavoro derivante dal Coronavirus sono lasciati impregiudicati insieme agli altri compiti relativi alla sorveglianza sanitaria dei lavoratori attraverso il medico competente, come la possibilità di sottoporre i lavoratori più esposti ad una visita medica straordinaria. È altresì opportuno ricordare le misure specifiche a tutela del diritto alla protezione dei dati personali introdotte nel contesto del rapporto di lavoro dal Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro siglato in data 14 Marzo 2020 dalle Associazioni rappresentative dei datori di lavoro e dei lavoratori. In primo luogo e contrariamente a quanto previsto nel comunicato 2.3.2020 dell’Autorità Garante per la protezione dei dati personali il personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l’accesso ai luoghi di lavoro. Le persone in tale condizione saranno momentaneamente isolate e fornite di mascherine, non dovranno recarsi al Pronto Soccorso e/o nelle infermerie di sede, ma dovranno contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni. Il controllo della temperatura e l’acquisizione dei relativi dati personali del lavoratore sono tuttavia soggetti alle seguenti condizioni di conformità, sia pure in un contesto emergenziale, alla normativa sulla protezione dei dati personali A. la rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente. A tal fine il Protocollo suggerisce” ma non obbliga di 1 rilevare a temperatura e non registrare il dato acquisto. È possibile identificare l’interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali 2 di fornire – anche oralmente - l’informativa sul trattamento dei dati personali che potrà eventualmente omettere le informazioni di cui l’interessato sia già in possesso . Quanto ai contenuti dell’informativa, con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19 e con riferimento alla base giuridica può essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, numero 7, lett. d del DPCM 11 marzo 2020 che impone a titolari di attività produttive o professionali di implementare protocolli di sicurezza anti-contagio e, laddove non fosse possibile rispettare la distanza interpersonale di un metro come principale misura di contenimento, di adottare strumenti di protezione individuale con riferimento alla durata dell’eventuale conservazione dei dati si può far riferimento al termine dello stato d’emergenza 3 di definire le misure di sicurezza e organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorrerà individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie si vedano gli articoli 2-quaterdecies del vigente Codice della privacy, d.lgs. 30 Giugno 2003 no. 196 e 29 e 32del Regolamento UE 679/2016 . A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali contatti stretti di un lavoratore risultato positivo al COVID-19 4 in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi. B. il datore di lavoro deve informare preventivamente il personale, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. Qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, si ricorda di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati. A tal fine, si applicano le indicazioni di cui alla precedente lettera A, nnumero 1 - 4 e, nello specifico, il Protocollo suggerisce” di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19. Ad esempio, se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva. Oppure, se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal richiedere informazioni aggiuntive in merito alle specificità dei luoghi. C. il medico competente segnala all’azienda situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti e l’azienda provvede alla loro tutela nel rispetto della privacy il medico competente applicherà le indicazioni delle Autorità Sanitarie. Occorre poi riferire della disciplina emergenziale introdotta dall’articolo 14 del Decreto Legge del 9 marzo 2020 numero 14 che reca misure urgenti per il rafforzamento del Sistema Sanitario Nazionale in relazione all’emergenza COVID-19. Tale norma prevede che fino al termine dell’attuale emergenza sanitaria e al fine di 1 garantire la protezione contro la diffusione transfrontaliera del COVID-19 2 garantire l’assistenza sanitaria e la diagnosi per le persone colpite 3 garantire la gestione generale del Sistema Sanitario Nazionale ai sensi dell’articolo 9, comma 2, lettere g , h e i e dell’articolo 10 del Regolamento UE 679/2016 e all’articolo 2-sexies del Codice della Privacy, i soggetti pubblici autorizzati ad operare nell’ambito del Sistema Nazionale di Protezione Civile, il Ministro della Salute, l’Istituto Superiore della Sanità, gli enti pubblici e privati operanti nell’ambito del Sistema Sanitario Nazionale e i soggetti preposti al controllo delle misure di emergenza già emanate possono trattare i dati personali, anche mediante interscambio e comunicazione reciproca di dati sia sanitari che relativi a reati per eventuali violazioni delle misure di emergenza . La comunicazione e la diffusione dei dati personali comuni esclusi i dati sanitari e i dati relativi ai reati a soggetti pubblici e privati diversi dai soggetti pubblici autorizzati ad operare nell’ambito del Sistema Nazionale di Protezione Civile, il Ministro della Salute, l’Istituto Superiore della Sanità, gli enti pubblici e privati che operano nell’ambito del Sistema Sanitario Nazionale è autorizzata, ove indispensabile, nell’ambito della gestione dell’emergenza sanitaria in corso. Tutti i trattamenti di cui sopra saranno comunque effettuati nel pieno rispetto dei principi di cui all’art. 5 del Regolamento UE 679/2016, adottando specifiche garanzie per i soggetti interessati. Gli Enti pubblici autorizzati ad operare all’interno del Sistema Nazionale di Protezione Civile, il Ministro della Salute, l’Istituto Superiore della Sanità, gli enti pubblici e privati che operano nell’ambito del Sistema Sanitario Nazionale, sono autorizzati a • omettere l’informativa di cui all’articolo 13 del Regolamento UE 679/2016, comunicando oralmente all’interessato tale limitazione o • rilasciare un’informativa semplificata ai sensi dell’articolo 13 del Regolamento UE 679/2016, comunicando oralmente all’interessato tale limitazione • dare istruzioni ai soggetti autorizzati ai sensi dell’art. 29 del Regolamento UE 679/2016 e 2-quaterdecies del Codice in materia di protezione dei dati personali mediante modalità semplificate, anche orali. Tutti i soggetti di cui sopra procederanno al trattamento dei dati personali secondo la disciplina ordinaria una volta superata l’attuale emergenza sanitaria in corso.
Esempio di quanto appena sopra affermato è il comunicato stampa 16 Marzo 2020 del presidente del Comitato Europeo per la Protezione dei dati personali CEPD , cioè di quell’organismo previsto dall’articolo 68 del RGPD che riunisce i rappresentati nazionali delle Autorità per la protezione dei dati personali degli Stati membri, il Garante Europeo per la protezione dei dati Personali EDPS e i rappresentanti della Commissione UE. Dunque il vertice europeo massimo delle istituzioni data protection. Il CEPD ricorda che le norme poste a protezione dei dati personali non impediscono od ostacolano le misure emergenziali che gli Stati stanno attuando per combattere il diffondersi dell’epidemia di COVID-19. Tuttavia, anche in tempi eccezionali come questi – ricorda il CEPD – i titolari del trattamento devono assicurare la protezione dei dati personali degli interessati. Ciò può tuttavia avvenire in un contesto – come quello ad ampio spettro del RGPD – che reca in sé le regole per gestire i dati anche nella presente emergenza, fornendo la base di legittimità del trattamento che – ad esempio – autorizza i datori di lavoro e le autorità pubbliche competenti a trattare dati personali nel contesto dell’epidemia senza la necessità di dover ottenere il consenso dei soggetti interessati. Ciò ad esempio si applica – ricorda sempre il CEPD nel suo comunicato – quando i datori di lavoro devono procedere al trattamento dei dati dei lavoratori necessario per ragioni di pubblico interesse nel settore della sanità pubblica o devono proteggere un interesse vitale o devono conformarsi a prescrizioni contenute nelle leggi. Ricorda poi il CEPD che il trattamento dei dati su reti di comunicazione elettronica come ad esempio i dati di geolocalizzazione o georeferenziazione di dispositivi resta disciplinato dalle norme nazionali di recepimento della Direttiva 2002/58/CE sulla tutela dei dati personali nel contesto di reti e servizi di comunicazione elettronica. Il principio comune a queste normative nazionali, come ovviamente discendente dalla Direttiva, è che i relativi trattamenti possono svolgersi sulla base del consenso dell’interessato o se i dati sono resi anonimi. Come obiettivo primario, le pubbliche autorità nazionali dovrebbero privilegiare il trattamento anonimo dei dati relativi alla ubicazione in modalità aggregate non identificative , se ad esempio devono generare una cartografia” di dispositivi mobili concentrati in una certa area geografica, onde agire sugli assembramenti. Ove non sia possibile trattare i dati in modo anonimo, il CEPD ricorda quanto previsto dall’articolo 15 della Direttiva, che consente agli Stati Membri l’introduzione di norme emergenziali per ragioni di sicurezza pubblica. Tale legislazione di emergenza è possibile a condizione che costituisca un a misura necessaria, appropriata e proporzionata in una società democratica. E allora passiamo ora in rassegna – proprio nella prospettiva del principio di proporzionalità - le misure emergenziali emanate dal Governo italiano che stanno impattando sul quadro normativo in materia di protezione dei dati personali.
Una lettura non approfondita del Protocollo potrebbe infine portare alla conclusione che la comunicazione dei dati che il datore di lavoro si trovi nella necessità di dover fare sia vietata dagli accordi. In realtà, a ben leggere, gli accordi di cui al Protocollo 1. richiamano la legittimità di tutte le misure aziendali volte alla implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d del DPCM 11 marzo 2020 e dunque avvertire i lavoratori che sono stati a contatto con il dipendente positivo potrebbe essere una comunicazione nella cornice dei protocolli – non solo sanitari - anti-contagio cui ogni datore di lavoro è in questo periodo tenuto 2. specificano che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 che sarebbe finalità comune alla comunicazione che il datore di lavoro intenderebbe effettuate e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative ma le specifiche previsioni normative” possono ben essere rappresentate dalla lettura interpretativa dell’articolo 14, comma 2 del decreto legge 14/2020 che vieta solo la diffusione” dei dati sanitari, ma non anche la comunicazione a terzi soggetti privati quali sarebbero i dipendenti da avvertire .