Coronavirus e Normativa Privacy


7 Maggio 2020
Condividi

Tra gli innumerevoli interrogativi che pervadono il nostro Paese attraversato da un crescendo di emergenza sanitaria, non meno urgente è quello relativo al trattamento nonché alla comunicazione dei dati personali governati dal Regolamento UE 2016/679, meglio conosciuto come G.D.P.R.  Il decreto legge varato il 9 marzo 2020 allo scopo di irrobustire l’efficacia della copertura sanitaria su tutto il territorio nazionale, all’art. 14 consente di contravvenire al sistema ordinario instaurato dall’art. 5 del GDPR, per favorire l’espletamento dell’indispensabile funzione di protezione civile.

I soggetti autorizzati alla raccolta e alla trasmissione dei dati in regime derogatorio, ovvero coloro che sono istituzionalmente deputati alla prevenzione e alla salvaguardia della salute dei cittadini in modo qualificato come la Protezione civileil Ministero della Salute, l’Istituto superiore di sanitàospedali e tutte le personalità pubbliche o private schierate in campo per frenare lo sviluppo dell’epidemia ed assistere i malati, possono acquisire e diffondere informazioni presidiate dall’art. 9 e 10 del Regolamento sulla privacy, vale a dire inquadrate in categorie particolari di dati personali il cui utilizzo è generalmente vietato. Ci si riferisce a quelle indicazioni che ‘’rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona’’ ospitati nel forziere dei valori costituzionali e conosciuti sotto la nomenclatura superata dei cd. dati sensibili (Dlgs. 196/2003), oggi nel coacervo dei cd. dati supersensibili. Rispetto a questi ultimi, involgenti la sfera privata dell’individuo e la sua intimità, la Suprema Corte SS.UU. con Sent. 30921 del 27.12.2017 ha stabilito che ‘’i dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l’interessato. Ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all’osservanza delle predette cautele nel trattamento dei dati in questione.’’

Più in dettaglio, nell’ambito dei dati sensibilissimi il considerando 35 del GDPR si premura di identificare le cognizioni sanitarie come quelle ‘’riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione[…]; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.

Non ridonda puntualizzare che già nel ventaglio di deroghe annoverate dall’art. 9 dello stesso Regolamento è ammessa la profilazione ‘’per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”. Ottenibili altresì i dati giudiziari inerenti alla commissione di reati ed ai carichi penali discendenti, precisando che la diffusione di dati distinti ed ulteriori è strettamente confinata ai ‘’casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto” cui si inscrive senza dubbio lo stato di calamità generato dal virus SARS-CoV-2.

L’eccezionalità dei provvedimenti vigenti giustificata dalla fisiologica predominanza dell’interesse alla tutela della salute collettiva, intima uno snellimento anche relativamente alle modalità autorizzative al consenso, estrinsecabile in forma orale, sempre revocabile e dietro somministrazione di informativa semplificata pur non rinunciando all’intellegibilità del messaggio attraverso un linguaggio semplice e chiaro, conciso e trasparente e facilmente accessibile.

Lo stato di pandemia, non debilita dunque i principi impartiti dal GDPR europeo. Permangono infatti inalterate alcune garanzie fondative scandite dall’ 5 del Regolamento, ad esempio:

  • LA RESPONSABILIZZAZIONE che onera il D.p.O. (DATA PROTECTION OFFICIER) di attuare tutte le misure idonee ad assicurare all’interessato la conservazione dei propri diritti e libertà fondamentali, nell’ottica di preservate l’integrità, la disponibilità e la riservatezza delle informazioni oggetto di interscambio (ACCOUNTABILITY); comprese le risoluzioni che investono la gestione dei rischi tipici che impattano sulla sicurezza del trattamento quali perdita di controllo dei dati, danni derivanti alla reputazione, furto di identità, disavanzo finanziario ecc.;
  • MINIMIZZAZIONE DEL TRATTAMENTO che scoraggia la fruizione che esorbita dalle finalità rispetto alle quali è assentito il flusso dei dati, espungendo pertanto tutti quei dati personali assunti in difetto di norme di legge o di regolamenti che ne prescrivano minuziosamente l’impiego o la divulgazione e sempre che la realizzazione di quello scopo particolare, subordinato a criteri di pertinenza ed adeguatezza, non sia conseguibile con opportune modalità che escludono o mitigano la conoscenza delle notizie e dei fatti come l’anonimizzazione o l’ identificazione modulata da stato di assoluta necessità;
  • DELIMITAZIONE TEMPORALE: la custodia dei dati è destinata a decadere alla fine del periodo di emergenza e comunque non prorogabile al di là dei 60 giorni successivi alla raccolta, così come previsto dall’Ordinanza del Ministro della Salute del 21 febbraio 2020; in coerenza con la determinazione normativa del co.1 lett. e, che dispone “i dati sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato ‘’.

Le contrazioni del diritto alla privacy così legittimate delle prioritarie istanze di sanità universale, potrebbero dunque spingersi fino al tracciamento, in maniera indiscriminata e regolare, dei movimenti fisici di ciascun utente, al fine di ricostruire il reticolo di contatti per risalire all’origine dell’eventuale contagio. Le ubicazioni sarebbero rilevate da apposite applicazioni installate sui dispositivi digitali mobili(geolocalizzazione) in ossequio ad un ordine legislativo che, ancorché cogente, riveste carattere di straordinarietà e dovrà essere rigorosamente limitato alla durata dell’emergenza.  Ed invero, la riscontrata incisività degli accertamenti specialmente nei contesti lavorativi, dove la soglia di intrusività innescata da rimedi ‘’fai da te’’ come nel caso delle autodichiarazioni o delle arbitrarie ispezioni sulla persona del lavoratore, ha indotto il Garante per la protezione dei dati a stabilire che ‘I datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa’’.

Nondimeno, è doveroso tenere conto che qualsiasi privazione alle libertà inviolabili della persona non può esimersi dallo scrutinio di conformità alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali da parte della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo, dovendo altresì attribuire al singolo, in caso di iniquità, la possibilità di invocare strumenti di difesa giurisdizionale da promuovere anche innanzi alle preture periferiche di ciascuno Stato.

Dr.ssa Donatella Zitiello

© Riproduzione Riservata

ISCRIVITI ALLA NEWSLETTER
CONTATTACI PER UNA CONSULENZA