La situazione di emergenza epidemiologica determinata dal diffondersi del Nuovo Coronavirus (SARS-CoV-2) e della relativa malattia COVID-19 (Corona Virus Disease 2019) hanno determinato le Autorità ad intervenire sul relativo impatto privacy con disposizioni anche in deroga all'attuale disciplina sulla protezione dei dati personali.
In particolare il D.L. 9 marzo 2020 n. 14 ha previsto all'art. 14 una specifica disposizione sulla protezione dei dati personali nel contesto emergenziale, che sostanzialmente ricalca quanto era già stato disciplinato dall'art. 5 dell’Ordinanza n. 000630 della Presidenza del Consiglio dei Ministri del 3 febbraio 2020, emessa previo parere del Garante del giorno 2 febbraio 2020.
A tale proposito il Garante aveva osservato che le disposizioni contenute nell’ordinanza risultavano idonee a rispettare le garanzie previste dalla normativa in materia di protezione dei dati personali nel contesto di una situazione di emergenza, tuttavia evidenziava la necessità che, alla scadenza del termine dello stato di emergenza, fossero adottate da parte di tutte le Amministrazioni coinvolte misure idonee a ricondurre i trattamenti all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali in capo a tali soggetti.
Vediamo nel dettaglio cosa prevede questa disposizione eccezionale ed in deroga.
Il Decreto Legge 9 marzo 2020 n. 14, pubblicato in G.U. n. 62 del 9 marzo 2020 ed in vigore dal 10 marzo 2020
Il Decreto Legge in oggetto prevede una disposizione specifica per il trattamento dei dati personali nell'attuale contesto di emergenza:
Art. 14.
Disposizioni sul trattamento dei dati personali nel contesto emergenziale
1. Fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell’articolo 9, paragrafo 2, lettere g) , h) e i) , e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonché dell’articolo 2 -sexies , comma 2, lettere t) e u) , del decreto legislativo 30 giugno 2003, n. 196, i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19.
2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto.
3. I trattamenti di dati personali di cui ai commi 1 e 2 sono effettuati nel rispetto dei principi di cui all’articolo 5 del citato regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.
4. Avuto riguardo alla necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 possono conferire le autorizzazioni di cui all’articolo 2 -quaterdecies del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, anche oralmente.
5. Nel contesto emergenziale in atto, ai sensi dell’articolo 23, paragrafo 1, lettera e) , del menzionato regolamento (UE) 2016/679, fermo restando quanto disposto dall’articolo 82 del decreto legislativo 30 giugno 2003, n. 196, i soggetti di cui al comma 1 possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione.
6. Al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020, i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.
Analizziamo le singole parti della disposizione.
D.L. 14/2020: Condizioni di liceità ulteriori previste per le categorie particolari di dati (art. 9 GDPR) e per i dati penali (art. 10 GDPR)
In primo luogo, viene ribadito il ricorrere delle condizioni di liceità del trattamento dei dati ai sensi dell’articolo 9, paragrafo 2, lettere g), h) e i) e dell’articolo 10 del GDPR (Reg. UE 2016/679), nonché dell’art. 2-sexies, comma 2, lettere t) e u) del Codice Privacy Adeguato (D.Lgs. 196/2003 riformato dal D.Lgs. 101/2018).
Trattasi dei seguenti casi:
Art. 9, par. 2 GDPR
g) motivi di interesse pubblico rilevante
h) finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali, fatte salve le condizioni e le garanzie di cui al paragrafo 3 dell’art. 9 GDPR (ossia l’effettuazione del trattamento da o sotto la responsabilità di un professionista soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza)
i) motivi di interesse pubblico nel settore della sanità pubblica.
Art. 2-sexies Codice Privacy Adeguato
t) attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d'organo e di tessuti nonché alle trasfusioni di sangue umano;
u) compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica.
D.L. 14/2020: Soggetti autorizzati al trattamento
I soggetti che possono effettuare operazioni di trattamento sono:
i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018 n. 1, ossia:
lo Stato, le Regioni e le Province autonome di Trento e di Bolzano e gli enti locali (Comuni) (art. 4 D.Lgs. 1/2018);
il Corpo nazionale dei vigili del fuoco, le Forze armate, le Forze di polizia, gli enti e istituti di ricerca di rilievo nazionale con finalità di protezione civile, anche organizzati come centri di competenza, l'Istituto nazionale di geofisica e vulcanologia e il Consiglio nazionale delle ricerche, le strutture del Servizio sanitario nazionale, il volontariato organizzato di protezione civile iscritto nell'elenco nazionale del volontariato di protezione civile, l'Associazione della Croce rossa italiana e il Corpo nazionale del soccorso alpino e speleologico, il Sistema nazionale per la protezione dell'ambiente, le strutture preposte alla gestione dei servizi meteorologici a livello nazionale, le articolazioni centrali e periferiche del Ministero per i beni e le attività culturali e per il turismo appositamente organizzate per la gestione delle attività di messa in sicurezza e salvaguardia del patrimonio culturale in caso di emergenze derivanti da calamità naturali; ogni altro ente previsto dall'art. 13 del D.Lgs. 1/2018;
i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630;
gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità;
le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale;
i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13;
il tutto anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali.
Il trattamento in oggetto può essere autorizzato, dai suddetti soggetti, alle persone fisiche operanti sotto la loro autorità (art. 2-quaterdecies Codice Privacy Adeguato), con modalità semplificate, anche oralmente.
D.L. 14/2020: Tipologie di dati e di trattamenti ammessi
I suddetti soggetti possono eseguire trattamenti (ivi compresa la comunicazione tra di loro) che risultino necessari all’espletamento delle funzioni attribuite loro nell’ambito dell’emergenza COVID-19.
Tali trattamenti possono riguardare anche i dati di cui agli articoli 9 (dati sulla salute etc.) e 10 (dati penali) del GDPR.
È ammessa la comunicazione dei dati personali anche a soggetti pubblici e privati diversi da quelli di cui sopra, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del GDPR, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto.
D.L. 14/2020: Rispetto dei principi fondamentali
Ovviamente viene ribadita la necessità che siano rispettati i principi fondamentali della protezione dei dati di cui all’art. 5 del GDPR, ossia:
liceità
correttezza e trasparenza
limitazione delle finalità
minimizzazione
esattezza
limitazione della conservazione
integrità e riservatezza
responsabilizzazione
D.L. 14/2020: Informazioni agli interessati
Venendo all’informativa, viene introdotta una limitazione nazionale agli obblighi comunitari secondo le facoltà concesse agli Stati membri dall’art. 23 lett. e) GDPR.
In particolare, i soggetti di cui al comma 1 dell’art. 14 D.L. in oggetto possono omettere l’informativa di cui all’articolo 13 del GDPR o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione.
Viene comunque fatto salvo l’art. 82 del Codice Privacy Adeguato, che dispone i casi in cui le informazioni possono essere rese anche successivamente alla prestazione, ossia:
nel caso di emergenza sanitaria o di igiene pubblica,
nel caso di impossibilità/incapacità o di rischio grave, imminente ed irreparabile per la salute dell'interessato,
nel caso di possibile pregiudizio alla prestazione medica in termini di tempestività o efficacia.
Accanto a questa disciplina eccezionale e derogatoria va ricordata anche una specifica previsione del Ministero della Salute, disposta con ordinanza del 21 febbraio 2020.
L’Ordinanza del Ministero della Salute del 21 febbraio 2020
Il Ministero della Salute ha disposto, all'art. 2 di detta ordinanza, che:
1. I dati personali raccolti nell’ambito delle attività di sorveglianza di cui all’art. 1 vengono trattati dall’Autorità sanitaria competente per motivi di interesse pubblico nel settore della sanità pubblica, ai sensi dell’art. 9, paragrafo 2, del regolamento (UE) 2016/679, nel rispetto delle disposizioni vigenti in materia di protezione dei dati personali, ivi incluse quelle relative al segreto professionale, e in relazione al contesto emergenziale in atto.
La documentazione acquisita viene distrutta trascorsi sessanta giorni dalla raccolta, ove non si sia verificato alcun caso sospetto.
È stato dunque dettato un termine per la conservazione di tali dati raccolti nelle attività di sorveglianza, disponendosi la loro distruzione decorsi 60 giorni ove non si sia verificato alcun caso sospetto.
La raccomandazione del Garante "no al fai da te" del 2 marzo 2020
Ai primi di marzo il Garante si era anche pronunciato con la propria raccomandazione 9282117-1.7 del 2 marzo 2020, ove aveva evidenziato che la normativa d’urgenza adottata all'epoca (il D.L. 14/2020 sarebbe stato successivo di sette giorni, ma vigeva già l'Ordinanza n. 000630 della Presidenza del Consiglio dei Ministri del 3 febbraio 2020) prevedeva che chiunque negli ultimi 14 giorni avesse soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle disposizioni normative dell'epoca, dovesse comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che avrebbe provveduto agli accertamenti previsti come, ad esempio, l’isolamento fiduciario.
I datori di lavoro avrebbero invece dovuto astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.
La finalità di prevenzione dalla diffusione del Coronavirus doveva infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.
Il Garante aveva inoltre raccomandato che l’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettassero agli operatori sanitari ed al sistema attivato dalla protezione civile, organi deputati a garantire il rispetto delle regole di sanità pubblica adottate.
Il Garante aveva inoltre confermato l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.
Nel caso in cui, nel corso dell’attività lavorativa, il dipendente che svolge mansioni a contatto con il pubblico (es. URP, prestazioni allo sportello) fosse venuto in relazione con un caso sospetto di Coronavirus, lo stesso, anche tramite il datore di lavoro, avrebbe dovuto provvedere a comunicare la circostanza ai servizi sanitari competenti e ad attenersi alle indicazioni di prevenzione fornite dagli operatori sanitari interpellati.
Le suddette misure raccomandate dal Garante devono ovviamente leggersi oggi alla luce degli aggiornamenti normativi disposti non solo dal predetto D.L. 14/2020, ma anche dai DPCM 8 marzo, 9 marzo e 11 marzo 2020, che hanno dato l'ulteriore stretta di contenimento e di gestione della diffusione del virus.
Lo statement dell'EDPB del 16 marzo 2020
Il 16 marzo 2020 lo European Data Protection Board (EDPB), ossia il Comitato Europeo per la Protezione dei Dati Personali, ha pubblicato una propria dichiarazione (statement) in merito all'attuale situazione emergenziale.
In particolare, il Chair (Presidente) Andrea Jelinek ha dichiarato:
“Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.” ("La disciplina sulla protezione dei dati <quale quella del GDPR> non ostacola le misure adottate nella lotta contro la pandemia del coronavirus. Tuttavia, voglio evidenziare che, anche in questi tempi eccezionali, il titolare deve assicurare la protezione dei dati personali degli interessati. Pertanto, alcune considerazioni devono essere tenute in conto per garantire il trattamento lecito dei dati personali").
Secondo l'EDPB, il GDPR è una legislazione comunitaria che fornisce in ogni caso le regole da applicare al trattamento dei dati anche nel contesto emergenziale relativo al COVID-19, provvedendo ad indicare le basi giuridiche che le autorità possono invocare per trattare i dati anche durante la pandemia, senza necessità di ottenere il consenso degli interessati, come da esempio avviene per le condizioni determinate dall'interesse pubblico.
Quanto al trattamento dei dati tramite media elettronici o i dati mobile, l'EDPB ricorda che sono applicabili ulteriori regole, in quanto la Direttiva ePrivacy ha fornito il principio secondo cui la geolocalizzazione può essere utilizzata dall'operatore unicamente quando sono anonimi o previo consenso. Ne deriva che le pubbliche autorità dovrebbe puntare al trattamento anonimo per generare report sulla concentrazione dei dispositivi mobili in una certa località (cartografia).
E quando ciò non sia possibile, l'art. 15 della Direttiva ePrivacy permette agli stati membri di introdurre misure normative conformi alla sicurezza nazionale, ma tale legislazione di emergenza è ammessa solo a condizione che sia necessaria, appropriata e proporzionata, previe le idonee salvaguardie anche giudiziarie.