“In uno stato di eccezione è lecito rinunciare a qualche libertà. Ma il nostro modello non potrà mai essere la Cina“.
Sono queste le parole di una recentissima intervista al Garante della Privacy Antonello Soro, nella quale precisa che, in un contesto di emergenza sanitaria così grave come quello che sta investendo l’intero stivale, qualche privazione rientra nella normalità a patto che non vengano invocati modelli di riferimento orientali, molto distanti da quelli europei.
In uno scenario drammatico che ricorda il dopoguerra, in cui le libertà previste dalla Carta costituzionale stanno subendo eccezionali compressioni, anche il diritto alla riservatezza non si sottrae a queste limitazioni.
In un’ottica solidaristica e preventiva, le misure adottate dal Governo tengono conto di tutti gli interessi coinvolti e sono frutto di una attenta valutazione basata sul bilanciamento del diritto alla privacy con un altro fondamentale diritto individuale e interesse collettivo: quello alla salute.
In questo senso deve essere letta la disposizione dell’art. 14 del D.L. 14/2020, rubricato “Disposizioni sul trattamento dei dati personali nel contesto emergenziale”, dalla quale emerge la possibilità di interscambio dei dati nell’ambito degli organismi sanitari ed antri enti istituzionali e di omissione dell’informativa.
La situazione odierna prevede che le autorità pubbliche siano autorizzate a raccogliere dati anche sensibili rinvenuti nei modulo di autocertificazione che ogni cittadino italiano è obbligato a portare con sé quando esce di casa.
Tuttavia sono state avanzate diverse proposte per contrastare il fenomeno epidemiologico in atto e molte si sono rivelate inadeguate e sproporzionate. Il tracciamento massivo dei cittadini per esempio, sulla falsariga di quanto già sperimentato in Cina, ha destato forti preoccupazioni per la nostra democrazia.
L’impiego della tecnologia può rivelarsi una soluzione efficace per migliorare la qualità della vita delle persone ma deve necessariamente essere ispirato a principi generali di trasparenza, proporzionalità e coerenza.
Il Presidente Soro ha bocciato il sistema della sorveglianza di massa cinese e coreana definendolo “figlio di una sorta di imperialismo digitale” e dichiara: “…Pensare di trasferire meccanicamente quelle esperienze nel nostro paese è il frutto di un momento emotivo che, arrivo a dire, può essere giustificato. Ma chi ha la responsabilità di governare si deve ispirare alla nostra Costituzione e non al governo dell’emozione. Anche in tempo di guerra il diritto deve guidare la scelta di atti necessari“.
In Italia, il punto di riferimento per ogni scelta e decisione è appunto la Costituzione, pertanto è possibile subire ed accettare limitazioni dei diritti, purché conformi ai principi generali del nostro ordinamento.
L’emergenza è una condizione giuridica che può legittimare restrizioni delle libertà, a condizione che siano proporzionate e confinate al periodo di emergenza.
Ci si domanda fino a che punto possa arrivare la compressione dei diritti individuali in nome di un bene superiore.
L’Autorità Garante sottolinea che: “Bisognerebbe anzitutto orientarsi secondo un criterio di gradualità e dunque valutare se le misure meno invasive possano essere sufficienti a fini di prevenzione. Se sono necessarie e proporzionate. Ad esempio, apparirebbe sproporzionata la geolocalizzazione di tutti i cittadini italiani, 24 ore su 24, non soltanto per la massività della misura, non fosse altro perché non esiste un divieto generale e assoluto di spostamento: la gigantesca mole di dati così acquisiti, ancorché gestibile, non avrebbe una effettiva utilità. L’emergenza deve poter contemplare ogni deroga possibile purché non irreversibile; non dev’essere, in altri termini, un punto di non ritorno ma un momento in cui modulare prudentemente il rapporto tra norma ed eccezione“.
Per quanto in Italia ad oggi si ritenga esclusa questa possibilità, il Comitato europeo per la protezione dei dati (EDPB) ha specificato che l’impiego dei dati di localizzazione da telefoni cellulari dei singoli da parte dei governi di alcuni Stati membri è possibile purché i dati siano trattati in maniera anonima (ovvero, in forma aggregata e tale da non consentire la successiva re-identificazione delle persone). Questo consentirebbe di generare analisi sulla concentrazione di dispositivi mobili in un determinato luogo (“cartografia“).
Quando non è possibile elaborare solo dati anonimi, gli Stati membri possono introdurre misure legislative per salvaguardare la sicurezza pubblica (art. 15 direttiva e-privacy), a patto che predispongano garanzie adeguate per i singoli e che venga assicurato il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità).
Inoltre tali misure devono essere conformi alla Carta dei diritti fondamentali e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali e devono essere soggette al controllo giurisdizionale della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo.
La liceità del trattamento
Il GDPR non ostacola l’adozione di misure per fronteggiare una pandemia, come quella del coronavirus, tuttavia anche in questi momenti eccezionali, come sottolineato dal Comitato europeo, titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati.
Il trattamento dei dati personali (anche appartenenti alle categorie particolari) nel contesto dell’emergenza del COVID-19 da parte dei Governi e degli organismi pubblici e privati in tutta Europa, è da considerarsi lecito poiché sussistono le condizioni individuate all’art. 6, co. 1 lett. c), d) ed e) e all’art. 9, co. 2, lett. b), c) (il Considerando 46 fa esplicito riferimento alle epidemie), g) e i) GDPR.
Pertanto, nell’attuale situazione italiana di pandemia, le autorità sanitarie pubbliche (nell’ambito delle loro competenze) e i datori di lavoro (per adempiere un obbligo legale ai quali sono soggetti, per es. in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria) possono trattare dati personali, conformemente al nostro diritto nazionale e alle condizioni ivi stabilite.
In ogni caso il trattamento dei dati personali deve essere effettuato per finalità specifiche ed esplicite, e gli interessati devono essere adeguatamente informati sulle attività di trattamento svolte e sulle loro caratteristiche principali, compreso il periodo di conservazione dei dati raccolti e le finalità del trattamento.
E’ necessario altresì adottare tutte le misure di sicurezza e riservatezza necessarie affinché i dati personali non vengano divulgati a soggetti non autorizzati.
Il trattamento dei dati sanitari negli ambienti di lavoro
Occorre menzionare il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” sottoscritto il 14 marzo 2020 dalle organizzazioni sindacali e datoriali su invito del Presidente del Consiglio, e dei Ministri dell’Economia, del Lavoro, dello Sviluppo economico e della Salute. Documento sul quale peraltro in questi giorni l’EDPB ha fornito alcune precisazioni.
In particolare, il datore di lavoro è autorizzato ad effettuare controlli medici sui dipendenti prima che facciano ingresso in azienda. La rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente.
A tal fine si suggerisce di:
- Rilevare la temperatura e non registrare il dato acquisto. È possibile identificare l’interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali;
- Fornire l’informativa sul trattamento dei dati personali. Si ricorda che l’informativa può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente. Quanto ai contenuti dell’informativa, con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19 e con riferimento alla base giuridica può essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e con riferimento alla durata dell’eventuale conservazione dei dati si può far riferimento al termine dello stato d’emergenza;
- Definire le misure di sicurezza e organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative;
- In caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi.
Il datore può chiedere ai visitatori o ai dipendenti di fornire informazioni sanitarie specifiche nel contesto del Covid-19 ma qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, si ricorda di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati.
A tal fine, si suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19.
Con riferimento ai tempi dell’eventuale conservazione dei dati (conformemente all’art. 13, par. 2, lett. a), GDPR si potrà fare riferimento al termine dello stato d’emergenza.
In ultimo, il datore di lavoro non può informare il personale (o soggetti esterni) del fatto che un dipendente è affetto dal COVID-19, se non nei limiti del necessario con finalità di prevenzione e contenimento di una grave minaccia per la salute e la sicurezza pubblica ed in ogni caso nella misura in cui il dipendente interessato sia informato in anticipo tutelando la sua riservatezza e dignità.
Il diritto alla protezione dei dati di carattere personale non è un prerogativa assoluta e nella stagione che stiamo vivendo va contemperata con altri diritti fondamentali, in funzione della odierna priorità: debellare il coronavirus.
Quando si è tutti nella stessa barca il senso di comunità si rinforza ed occorre remare tutti nella stessa direzione.
#iorestoacasa
VP
