L’emergenza sanitaria che il nostro Paese sta vivendo nelle ultime settimane ha creato, nella vita quotidiana di noi tutti, situazioni nuove che pongono problemi vecchi (almeno, nell’ambito della privacy e della protezione dei dati), ossia: a quale tutela accordare priorità, tra quella della salute e della sicurezza pubblica, da una parte, e della protezione dei dati e della nostra vita più intima, dall’altra.
La tutela dei dati personali è un diritto fondamentale
contemplato dall’art. 16 del T.F.U.E.; dagli artt. 7 e 8 della Carta dei Diritti Fondamentali dell’ U.E.; dall’art. 14 della Dichiarazione universale dei diritti dell’uomo del 1948; dal combinato disposto degli artt. 13, 14, 15 e 21 Cost. It. e dalla normativa di settore.
Tuttavia, non essendo l’unico diritto fonadamentale, va contemperato con altri diritti fondamentali, perchè nell’ipotesi di conflitto tra due fattispecie di pari livello di tutela, una delle due dovrà essere necessariamente limitata a favore dell’altra.
Ora, nel caso di un’emergenza sanitaria, il primo pensiero va ai dati relativi alla salute, perchè sono questi su cui si focalizza l’attenzione del personale sanitario, delle Istituzioni, dei media e financo dell’opinione pubblica. Le informazioni riguardanti lo stato di salute vanno annoverate fra i cosiddetti dati particolari (definiti “sensibili” prima del GDPR), soggetti, per la loro delicatezza e per i rischi significativi che comportano per i diritti e le libertà fondamentali, ad un trattamento giuridico particolare. L’art. 9 GDPR dice, infatti, che tali dati non devono essere trattati (vale a dire: raccolti, registrati, comunicati, diffusi, etc.) a meno che l’interessato non dia il suo consenso o non si verifichino le seguenti necessità, elencate al comma 2 dell’articolo stesso:
- per tutelare un interesse vitale, sia dell’interessato che di un’altra persona, qualora l’interessato non sia in grado di prestare il suo consenso, per motivi fisici o giuridici (per es. il minorenne);
- se il trattamento è necessario per motivi di sanità pubblica;
- se il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro;
- per motivi di interesse pubblico rilevante.
Il comma 4 del medesimo articolo attribuisce, inoltre, agli Stati membri la facoltà di introdurre ulteriori condizioni, limiti compresi, per i dati genetici, biometrici o relativi alla salute.
E’ proprio richiamandosi a questo paragrafo e all’art. 2 sexies del D. Lgs. 196/2003 (cosiddetto Codice della Privacy) che l’art. 14 del D.L. n. 14/2020 detta disposizioni sul trattamento dati nel contesto emergenziale che, iniziato il 31/01/2020 con la dichiarazione di stato d’emergenza (G.U. del 01/02/2020), terminerà il 31/07/2020.
L’art. 14 enuncia che nel periodo summenzionato il personale pubblico e privato che opera nell’ambito del SSN, nonché la Protezione Civile, il personale del Ministero della Salute e dell’ISS, possono effettuare trattamenti di dati personali, e comunicarli inter se, anche in relazione agli artt. 9 e 10 GDPR, se risultino necessari all’espletamento delle funzioni attribuite loro nell’ambito dell’emergenza sanitaria. I trattamenti devono essere eseguiti in base ai principii di cui all’art. 5 GDPR. , tra cui ci limitiamo a ricordare quelli di necessità, proporzionalità e finalità. Questo significa che si possono trattare solo i dati necessari a perseguire una finalità predeterminata e consentita dalla legge e pertinenti a tale finalità.
Tra il diritto alla salute pubblica e quello alla privacy e alla protezione dei dati, dunque, la normativa emergenziale ha scelto la salute, ma tutelando anche i dati personali e particolari, mediante l’esplicito richiamo al principio di necessità e, genericamente, a quelli di cui all’art. 5 GDPR.
Vediamo, adesso, qualche fattispecie specifica.
Diffusione dati particolari su social e organi di stampa.
U
A quanto detto sopra, aggiungiamo che anche il comportamento di noi cittadini comuni deve essere ossequente delle norme di rispetto della privacy e di protezione dei dati relativi alla salute di altre persone; pertanto, è vietato diffondere informazioni sullo stato di salute (qualora ne avessimo) di un amico, di un parente, di un collega, di chiunque, a meno che non abbiamo il suo consenso o ci troviamo in una situazione di grave emergenza che richieda tale informazione. Soprattutto, occorre fare molta attenzione ed usare la massima discrezione nell’utilizzo del web e dei social.
Trattamento dati particolari sui luoghi di lavoro.
Sempre con riferimento alla patologia in corso in questi giorni, vediamo, sinteticamente, come comportarsi sui luoghi di lavoro, nel rispetto della normativa vigente, in relazione ai dati riguardanti la salute.
Nel caso si abbiano dei sintomi o si provenga da zone a rischio, bisogna comunicarlo al medico di famiglia o ad un’autorità sanitaria.
Il protocollo tra aziende e sindacati, firmato nel marzo di quest’anno, conferisce ampi poteri al datore di lavoro, in materia di raccolta informazioni e controllo salute, ma alla luce del provvedimento del Garante del 2/3/2020, la privacy va sempre tutelata ed i dati protetti (la loro utilizzazione è ammissibile solo per scopi scientifici).
Per qualsiasi circostanza relativa alla salute, il datore di lavoro deve rivolgersi alle autorità sanitarie competenti e non prendere iniziative individuali di controllo sanitario o raccolta dati. Come specifica il provvedimento del Garante summenzionato, egli non solo non può raccogliere informazioni sullo stato di salute dei lavoratori a priori, in modo sistematico e senza criteri predefiniti, ma il trattamento dei dati, seppur consentito, anche in uno stato di emergenza va sempre effettuato in ottemperanza ai principii di necessità, proporzionalità e finalità.
La misurazione della febbre, per esempio, deve avvenire per mano di un professionista della salute, in una stanza isolata, in cui il lavoratore sia solo, per ovvie ragioni di riservatezza; perchè, non dimentichiamolo, il fine di tale accorgimento e di qualsiasi altra misura è quello di prevenire la malattia ed il contagio, non di “dare la caccia all’untore”, quindi è giusto (nel senso etimologico di “secundum jus“) che il dipendente sia protetto da occhi ed orecchie indiscrete, che possano captare particolari relativi alla sua vita più personale. Conformemente all’art. 13 GDPR, gli dovrà essere fornita un’adeguata informativa sul trattamento dei suoi dati, i quali potranno essere registrati e conservati solo per il periodo necessario (a meno che, opportunamente anonimizzati, non servano a fini scientifici o statistici) e che, comunque, non vada oltre l’emergenza. La protezione dei dati passa, infatti, anche per la loro minimizzazione; il rischio zero non esiste, ma la normativa obbliga a fare tutto il possibile per salvaguardare le informazioni inerenti alla persona ed alla sua vita e trattare il minor numero di dati possibili, per il minor tempo possibile, riduce il rischio che essi possano essere diffusi.
Al datore di lavoro è proibito anche comunicare al personale dell’azienda i nomi, i dati e le condizioni di salute di chi sta male: egli deve solo informare le persone entrate in contatto con la persona contagiata, affinchè adottino le misure e le precauzioni prescritte dalla normativa vigente.
Il lavoratore, dal canto suo, è obbligato a segnalare solo le situazioni di pericolo per la salute e la sicurezza sui luoghi di lavoro (D. Lgs. 81/2002). In presenza di tale segnalazione, il datore di lavoro comunicherà agli organi preposti la variazione del rischio biologico.
Le misure adottate devono essere documentate e motivate, per ovvi principi di trasparenza.
Controllo e monitoraggio attraverso i telefonini.
Per far fronte all’epidemia di Covid 19, si è pensato anche di utilizzare la tecnologia, per monitorare la situazione, tracciando i contatti dei contagiati nelle settimane precedenti la manifestazione di sintomi, quando la malattia era in incubazione. Il primo Paese ad avviare i controlli attraverso i telefonini è stata l’Australia: il sistema di tracciamento avviene attraverso le celle telefoniche cui l’apparecchio si aggancia, rivelandone gli spostamenti.
In Lombardia, regione duramente colpita dal virus, sono stati acquisiti i dati anonimi ed aggregati di un paio di compagnie telefoniche, al fine di calcolare solo il numero e le dimensioni degli spostamenti, senza poter risalire ai proprietari dei telefoni.
Il D.L. n. 18/2020 (cosiddetto “Cura Italia) ha previsto la possibilità di usare innovazioni tecnologiche al fine di contenere il contagio. Il decreto ha previsto un gruppo di esperti per l’acquisizione dei dati di fonti aperte (come la Protezione civile) e di fonti delle università.
Con ordinanza n. 10 del 16/04/2020, il Commissario straordinario per l’attuazione ed il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica Covid 19 ha disposto la stipula del contratto di concessione di un software per il tracciamento del contagio con la società Bending Spoons S.p.A. “per le garanzie che offre per il rispetto della privacy“, tra le altre motivazioni rinvenibili sull’atto. Al di là delle critiche che si sono sollevate sull’uso di uno strumento giuridico amministrativo, come l’ordinanza commissariale, e la necessità di una pronuncia parlamentare per tale tipo di fattispecie, va detto che, fermo restando quanto evidenziato sopra, se il monitoraggio dovesse riguardare i contatti di casi positivi, allora si renderebbe necessaria anche la valutazione d’impatto sulla privacy (DPIA), poichè tale tipo di trattamento rientra nella fattispecie dell’art. 35, comma 3, lett. b) GDPR, che assoggetta alla DPIA il trattamento su larga scala di dati personali di cui all’art. 9, par. 1, GDPR.
In ogni caso, qualora il tracciamento dei contagi comportasse l’acquisizione di dati identificativi, si dovrebbero prevedere le garanzie di conformità ai principi di proporzionalità, necessità e ragionevolezza, che la normativa in materia richiede; per esempio, prevedere un tempo limitato di trattamento sarebbe un giusto accorgimento: tracciare h 24 tutti i cittadini italiani sarebbe impensabile, oltre che non utile, dal momento che non esiste un divieto assoluto di spostamento. Se si dovessero coinvolgere piattaforme di social e motori di ricerca, bisognerebbe farlo con le dovute cautele, per evitare che essi incrementino la mole di dati, approfittando dell’occasione. Il criterio della gradualità (corollario del principio di pertinenza e proporzionalità) permetterebbe di adottare delle misure, a partire da quelle meno invasive, in modo da calibrarle sulla reale efficacia, senza andare oltre. Inoltre, la Commissione UE e il Presidente dell’Autorità Garante per la privacy concordano nell’indicare come preferibile un’applicazione basata sull’adesione volontaria del cittadino e su sistemi di prossimità (come il Bluetooth), perchè più selettivi e, quindi, meno impattanti sulla riservatezza.
Affinchè entrambe le finalità (tutela della salute e tutela della privacy e protezione dei dati) siano bilanciate nel miglior modo possibile il rispetto delle regole è fondamentale, da parte di tutti, Autorità e cittadini: nella nostra quotidianità, domestica e lavorativa, cerchiamo soprattutto di non diffondere dati in nostro possesso, che non riguardino la nostra vita.
