protezione dei dati personali

Protezione dei dati personali e COVID-19. Quali indicazioni?

Oggi analizziamo i vari conflitti tra libertà personali e interessi collettivi anche in materia di protezione dei dati personali.

L’emergenza COVID-19 ha infatti generato in questi mesi, basti pensare alle problematiche correlate all’App Immuni, non pochi dubbi in merito a criticità di questo tipo.

La situazione attuale e la normativa

La unione europea come sappiamo nel 2016 ha emanato un nuovo regolamento entrato in vigore lo scorso maggio 2018 per garantire il diritto alla protezione dei dati personali. L’Italia, come stato membro dell’unione europea, ha recepito tale regolamento nel 2018 con un decreto nazionale.

Tenendo conto di queste normative può essere davvero un grosso problema conservare le informazioni riguardanti i propri dati personali che sono trattati in modo improprio. Tali dati infatti possono essere fonte di grandi criticità.

Sono infatti previste pesanti sanzioni in caso di violazione dei dati per il titolare del trattamento e per i responsabili del trattamento. Chiariti inoltre i diritti e le libertà degli interessati. Dal diritto alla portabilità dei dati al diritto all’oblio.

Il conflitto tra la gestione dell’emergenza e la protezione dei dati personali

Un conflitto che nasce anche dal fatto che oggi la raccolta e l’utilizzo dei dati. In particolare quelli relativi alla salute. Hanno acquisito un ruolo fondamentale per contrastare la diffusione del contagio.

E se la disciplina di protezione dei dati contempla già limitazioni necessarie a garantire la salute pubblica. Attraverso criteri di proporzionalità. Precauzione e temporaneità. E’ proprio all’interno della cornice di questi principi che si leggono le previsioni e, soprattutto, le deroghe al sistema ordinario di tutela dei dati.

Il punto problematico riguarda la valutazione del livello consentito di limitazione dei diritti, quello strettamente necessario ai fini della tutela da Covid-19 per la salute. E in altre parole la tensione creatasi tra privacy e salute pubblica fino a che punto potrà spingersi?

Ad affrontare con queste parole il tema della protezione dei dati in tempi di nuovo coronavirus è un nuovo rapporto dell’Istituto Superiore di Sanità (ISS). Il rapporto ISS COVID-19 n. 42/2020. Dal titolo “Protezione dei dati personali nell’emergenza COVID-19. Versione del 28 maggio 2020”.

Un rapporto che ricorda come la materia della protezione dei dati sia stata definita un “diritto inquieto”. Ciò poiché in dialettica con una tecnica in continua evoluzione. Nonché con i molteplici interessi, di natura sia personale che collettiva. Ma che trova forza nella sua funzione sociale.

E nel contrasto al virus essa si rivela necessaria rappresentando il punto di equilibrio tra libertà e tecnica. Tra persona e società. Il presupposto della tenuta della democrazia anche in circostanze eccezionali (Intervento di A. Soro, Presidente del Garante per la protezione dei dati personali).

Il nuovo rapporto ISS sulla protezione dei dati personali

Il rapporto, curato dal Gruppo di lavoro ISS Bioetica COVID-19, coordinato da Carlo Petrini. Sottolinea come etica e diritto siano strettamente intrecciati. E la salute e la protezione dei dati personali sono due ambiti in cui tale intreccio è molto fitto.

La pandemia sfida l’etica e il diritto a livello sia dell’individuo, sia della società. Essa è uno dei casi più emblematici dei conflitti che tipicamente il diritto e l’etica devono affrontare nella sanità pubblica: la conciliazione tra diritti personali e interessi collettivi. Specialmente nelle situazioni di emergenza, la tutela della salute della popolazione può imporre restrizioni nelle libertà personali. Tra queste vi sono, per esempio, la quarantena e la necessità di conoscere dati sanitari.

Proprio partendo da questa constatazione. Il Gruppo di Lavoro ISS Bioetica Covid-19 offre con il Rapporto n. 42 un contributo giuridico dedicato al tema della protezione dei dati personali fruibile da un pubblico vasto e variegato:

  • il cittadino potrà trovarvi informazioni utili su ciò che la situazione pandemica comporta sull’assetto normativo che regola la tutela dei dati personali;
  • il ricercatore, il personale sanitario, il gestore della sanità pubblica potranno trovare una sintesi pratica e operativa utile anche per preparare progetti, prendere decisioni, allestire programmi.

Si sottolinea che l’utilità del testo non si esaurisce nel momento dell’emergenza pandemica. La quale ha imposto l’adozione di norme severe che sarebbero non accettabili in condizioni ordinarie.

Bensì si estenderà nel tempo: per un lungo periodo. Infatti, occorrerà mantenere attive procedure intrusive nei dati personali, quali, ad esempio, il controllo dei contatti personali.

I profili applicativi sulla protezione dei dati personali nella pandemia

Ci soffermiamo brevemente su alcuni profili applicativi relativi alla protezione dei dati nella pandemia COVID-19.

Riguardo alle indicazioni per strutture e operatori sanitari si ricorda, innanzitutto, che la disciplina in vigore vieta la diffusione dei dati relativi alla salute. Il divieto non ha subito deroghe nell’emergenza.

Le aziende sanitarie e gli operatori sanitari. Così come le prefetture e i comuni. Non possono diffondere attraverso per esempio siti web i nominativi dei casi accertati di positività.

Ovvero dei soggetti sottoposti alle misure di isolamento. Ciò anche qualora la finalità sia quella di contenere la diffusione dell’epidemia.

Il Garante della privacy ha poi chiarito che le strutture sanitarie possono indicare le modalità che ritengono più opportune per fornire informazioni.

Queste riguardano lo stato di salute, ai familiari dei pazienti positivi che non sono in grado di comunicare in autonomia. Può, ad esempio, la struttura sanitaria dedicare un numero verde per tali informazioni.

È tuttavia necessario prevedere adeguate misure per indicare le persone legittimate a ricevere tali informazioni sullo stato di salute del familiare ricoverato.

Inoltre il Garante per la protezione dei dati personali ha specificato che tutti i professionisti sanitari possono raccogliere le informazioni che ritengono necessarie per le attività di cura dei loro pazienti. Comprese quelle legate ai sintomi da COVID-19.

L’accertamento e la raccolta di tali informazioni. Così come le informazioni sugli spostamenti più recenti. Sono invece di competenza degli operatori sanitari e del sistema attivato dalla protezione civile. Questi sono gli organi deputati a garantire il rispetto delle nuove regole di sanità pubblica.

L’operatore di sanità pubblica è chiamato, per il contenimento del contagio, a ricostruire la filiera dei contati stretti del soggetto risultato positivo.

Le indicazioni per i dati sanitari nel contesto lavorativo

Si ricorda che nei luoghi di lavoro. Al fine di contenere il contagio. I datori di lavoro, le cui attività non sono sospese. Sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza contenute nel Protocollo condiviso del 24 aprile 2020.

E il Protocollo prevede che nel caso in cui una persona presente in azienda sviluppi febbre. Ovvero sintomi di infezione respiratoria quali la tosse.

Lo deve dichiarare subito all’ufficio del personale. Si dovrà procedere inoltre al suo isolamento in base alle disposizioni dell’autorità sanitaria. Nonché a quello degli altri presenti nei locali. L’azienda inoltre procede subito ad avvertire le autorità sanitarie competenti.

Inoltre il datore di lavoro ha l’obbligo di comunicare i nominativi del personale contagiato alle autorità sanitarie competenti. Nonché di collaborare per trovare i contatti stretti, per l’attivazione delle misure di profilassi.

Saranno, infatti, le autorità sanitarie a occuparsi di informare questi ultimi, non potendo il datore comunicare il nominativo del dipendente affetto da COVID-19 agli altri lavoratori.

Il datore di lavoro dovrà comunque adottare. In caso di presenza di persona affetta all’interno dei locali. Le misure relative alla pulizia e alla sanificazione, secondo le indicazioni del Ministero della Salute (punto 4 – Protocollo condiviso).

Il datore di lavoro deve rilevare la temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali. Ma anche nei confronti degli utenti. Nonché dei visitatori, dei clienti nonché dei fornitori. Ove per questi ultimi non ci sia una modalità di accesso separata.

La protezione dei dati personali nel Rapporto ISS

Il Rapporto indica che la rilevazione della temperatura corporea del lavoratore, associata all’identità della persona interessata, chiaramente costituisce un trattamento di dati personali, in base all’art. 4, par. 1, del Regolamento.

L’Autorità ha chiarito che non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata. Bensì, nel rispetto del principio di minimizzazione.

E’ consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge. Nel caso in cui sia necessario documentare la ragione che ha escluso l’accesso al luogo di lavoro.

Nel caso in cui la temperatura corporea venga rilevata a clienti o visitatori occasionali. Anche se la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali. Non è, di regola, necessario registrare il dato concernente il motivo del diniego di accesso.

Si segnala poi che nel rispetto del D.Lgs. 81/2008 il dipendente ha l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.

Inoltre la direttiva n.1/2020 del Ministro per la pubblica amministrazione ha fornito vari chiarimenti. In virtù di tale obbligo. Il dipendente pubblico e chiunque opera, a vario titolo, nella P.A. Deve segnalare all’ente di provenire o di avere avuto contatti con chi proviene da un’area a rischio.

Il datore di lavoro può richiedere tali informazioni, ove necessario, anche mediante canali dedicati. L’accesso alla sede di lavoro è comunque precluso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi o provenga da zone a rischio.

Cosa si può fare

In ogni caso, al fine di garantire la protezione dei dati personali, potranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio.

Non potranno essere richieste invece informazioni aggiuntive in merito alla persona risultata positiva o alle località visitate o a ulteriori dettagli attinenti alla sfera privata.

E in base al Protocollo condiviso per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro. E’ possibile richiedere una dichiarazione che attesti tali circostanze anche a visitatori e clienti.

Si ricorda che anche nell’emergenza al medico competente permane il divieto di informare il datore di lavoro circa le specifiche patologie dei lavoratori.

Nell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente rappresentano misure di prevenzione di carattere generale. Sono effettuati nel rispetto dei principi di protezione dei dati personali. Nonché nel rispetto delle misure igieniche contenute nelle indicazioni del Ministero della Salute (cfr. anche Protocollo condiviso del 24 aprile 2020).

Il medico competente collabora, inoltre, con il datore di lavoro per le misure legate al COVID-19. Il medico segnala al datore di lavoro situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti (cfr. paragrafo 12 del Protocollo del 24 aprile citato).

Pertanto, quei casi specifici in cui la condizione di fragilità connessa anche allo stato di salute del dipendente impongono l’impiego dello stesso in ambiti meno esposti al rischio di infezione. Non è però necessario fornire informazioni al datore di lavoro sulla specifica patologia del lavoratore.

Altre indicazioni sulla protezione dei dati personali

Il datore di lavoro può trattare i dati personali dei dipendenti se ciò: sia previsto dalla normativa. Ovvero se disposto dagli organi competenti.

Ancora, se vi è una specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria. Il datore di lavoro non dovrà comunicare i dati relativi al personale contagiato al Rappresentante dei lavoratori per la sicurezza.

Si ricorda, infine, che sin dall’inizio dell’emergenza in Italia il Garante ha espresso la necessità di seguire le indicazioni date dalle autorità competenti in materia.

Ha chiesto infatti ai datori di lavoro di astenersi dal raccogliere. A priori e in modo sistematico e generale. Anche attraverso specifiche richieste al singolo lavoratore. Ovvero con indagini non consentite.

Informazioni sulla presenza di eventuali sintomi influenzali del lavoratore. Nonché dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.

Dal momento che la finalità di prevenzione dalla diffusione del Coronavirus è svolta da soggetti che esercitano queste funzioni in modo qualificato (Garante protezione dati personali, Comunicato del 2.3.2020).

Si segnala poi che l’art. 99 del cosiddetto decreto Rilancio. Ha istituito presso il Ministero del lavoro e delle politiche sociali l’Osservatorio nazionale per il mercato del lavoro.

Questo, tra le finalità, ha anche lo studio e la stesura dei dati relativi alla occupazione con particolare riferimento all’analisi per competenze. Nonché caratteristiche settoriali, territoriali, sociali, demografiche e di genere.

Rimandiamo alla lettura integrale del Rapporto che si sofferma anche sull’utilizzo delle App con particolare riferimento all’App Immuni.