In questi giorni il timore di un’espansione incontrollata del coronavirus Covid-19 sta agitando non solo i cittadini ma anche i soggetti pubblici e le aziende che oltre ai propri compiti di in tema di sorveglianza sanitaria dei luoghi di lavoro, intendono limitare al massimo le possibilità di contagio presso le proprie organizzazioni.
Il contesto che si è venuto a creare risulta nuovo nella nostra società e per certi versi mina una serie di certezze in una varietà di ambiti. Quello della data protection è tra questi: ci sono alcune implicazioni della normativa di privacy da tenere in considerazione, alcune non sono di facile interpretazione e hanno richiesto l’intervento del Garante per la Protezione dei Dati Personali.
Un primo intervento risale ad inizio dello scorso febbraio. A seguito della delibera del Consiglio dei Ministri del 31 gennaio 2020 con la quale fu dichiarato, per sei mesi, lo stato di emergenza sul territorio nazionale relativo al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili, il Capo del Dipartimento della Protezione Civile aveva chiesto con urgenza il parere del Garante in ordine a una bozza di ordinanza, contenente i primi interventi urgenti di protezione civile in relazione alla predetta emergenza, da emanarsi ai sensi dell´art. 25 del d.lgs. 2 gennaio 2018, n. 1, Codice della protezione civile.
Il 2 febbraio 2020 il Garante rispondeva alla richiesta emanando un “Parere sulla bozza di ordinanza recante disposizioni urgenti di protezione civile in relazione all’emergenza sul territorio nazionale relativo al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili”. Nel parere accoglieva in modo favorevole le misure emergenziali predisposte della Protezione Civile “allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali” riguardo i contagiati. Il Garante sanciva che i soggetti contemplati dalla bozza di ordinanza possono “effettuare trattamenti, ivi compresa la comunicazione tra loro, di dati personali anche relativi agli artt. 9 (dati particolari tra cui i dati sulla salute) e 10 (dati giudiziari) del GDPR, che risultino necessari per l’espletamento della funzione di protezione civile con una scadenza fissata al 30 giugno 2020. Nel parere è stato inoltre previsto che la comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli citati nella bozza di ordinanza, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento (UE) 2016/679, “è effettuata, nei casi in cui essa risulti indispensabile, ai fini dello svolgimento delle attività previste dall’ordinanza”. Inoltre, il Garante dava atto che il personale deputato a trattare i dati contemplati nell’ordinanza può esservi autorizzato anche oralmente ai sensi del Codice Privacy: “nel contesto dell’emergenza, avuto riguardo all’esigenza di contemperare la funzione di soccorso con quella afferente la salvaguardia della riservatezza degli interessati, i soggetti operanti nel Servizio nazionale di protezione civile di cui agli artt. 4 e 13 del d.lgs. 2 gennaio 2018, n. 1, possono conferire le autorizzazioni di cui all’art. 2-quaterdecies del Codice, con modalità semplificate, anche oralmente”. Infine il Garante ammoniva che alla scadenza del termine dello stato di emergenza – ossi al 30 giugno 2020 – dovranno essere adottate da parte di tutte le Amministrazioni coinvolte negli interventi di protezione civile di cui all’ordinanza, misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali in capo a tali soggetti.
Il 3 febbraio 2020 il Capo della Protezione Civile emanava dunque l’Ordinanza n.630 contenente l’art. 5 (Trattamento dati personali) avallato dal Garante.
Nell’ultima decina di febbraio lo scenario si complica. Acclarato che il virus era sbarcato in Italia e una volta note le prime zone focolaio, molte pubbliche amministrazioni e aziende sono andate in difficoltà non sapendo se e come raccogliere e gestire eventuali informazioni sensibili riguardanti le persone che lavorano per la propria organizzazione o che richiedono di accedervi come visitatori, clienti, utenti o fornitori. Alcune strutture si sono lanciate in rilevazioni di carattere sanitario che potrebbero esser ritenute eccessivamente zelanti fino a costituire un trattamento illecito di dati personali sanzionabile ai sensi del Regolamento UE 2016/679 – GDPR.
Oggi 2 marzo il Garante ha ritenuto di dover intervenire su questi aspetti emettendo un apposito comunicato stampa dal titolo esplicativo in cui ha evidenziato come pur nell’emergenza non ci sia spazio per l’improvvisazione: ci siano ruoli e istituzioni preposte ai controlli sulla salute e regole da osservare in tema di trattamenti di dati. Qui di seguito, riportiamo integralmente il comunicato.
Coronavirus: Garante Privacy, no a iniziative “fai da te” nella raccolta dei dati
Soggetti pubblici e privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti
L’Ufficio sta ricevendo numerosi quesiti da parte di soggetti pubblici e privati in merito alla possibilità di raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio. Analogamente, datori di lavoro pubblici e privati hanno chiesto al Garante la possibilità di acquisire una “autodichiarazione” da parte dei dipendenti in ordine all’assenza di sintomi influenzali, e vicende relative alla sfera privata.
Al riguardo, si segnala che la normativa d’urgenza adottata nelle ultime settimane prevede che chiunque negli ultimi 14 gg abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, debba comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario.
I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.
La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.
L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.
Resta fermo l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Al riguardo, il Ministro per la pubblica amministrazione ha recentemente fornito indicazioni operative circa l’obbligo per il dipendente pubblico e per chi opera a vario titolo presso la P.A. di segnalare all’amministrazione di provenire da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati; permangono altresì i compiti del datore di lavoro relativi alla necessità di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti.
Nel caso in cui, nel corso dell’attività lavorativa, il dipendente che svolge mansioni a contatto con il pubblico (es. URP, prestazioni allo sportello) venga in relazione con un caso sospetto di Coronavirus, lo stesso, anche tramite il datore di lavoro, provvederà a comunicare la circostanza ai servizi sanitari competenti e ad attenersi alle indicazioni di prevenzione fornite dagli operatori sanitari interpellati.
Le autorità competenti hanno, inoltre, già previsto le misure di prevenzione generale alle quali ciascun titolare dovrà attenersi per assicurare l’accesso dei visitatori a tutti i locali aperti al pubblico nel rispetto delle disposizioni d’urgenza adottate.
Pertanto, il Garante, accogliendo l’invito delle istituzioni competenti a un necessario coordinamento sul territorio nazionale delle misure in materia di Coronavirus, invita tutti i titolari del trattamento ad attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.
