Come noto, in conseguenza alla dichiarazione di emergenza internazionale di salute pubblica per il coronavirus pronunciata IL 30 gennaio 2020 dall’Organizzazione Mondiale della Sanità, con delibera del 31 gennaio 2020 il Consiglio dei Ministri Italiano ha a sua volta proclamato lo stato di emergenza, vigente per sei mesi dalla data del provvedimento, e quindi sino al 31 luglio 2020.
Da detto momento iniziale l’Italia ha assistito all’emanazione di una serie di provvedimenti normativi, prima per specifiche zone individuate come “zone rosse” in quanto focolai del contagio da COVID-19, e poi riguardanti l’intero territorio nazionale, volti a contenere e contrastare l’emergenza epidemiologica da COVID-19 tramite l’adozione di adeguate e proporzionate misure di contrasto e contenimento alla diffusione del predetto virus.
In concreto, detti numerosi provvedimenti si sostanziano in diversi gradi di limitazione delle libertà individuali e dei diritti costituzionalmente garantiti, tra i quali il diritto alla privacy.
Ricorrente nelle normative è l’indicazione di modelli da utilizzare per contenere e prevenire il contagio che coinvolge l’utilizzo dei così detti “dati personali sensibili”, fra cui indubbiamente sono inclusi i dati relativi alla salute, il cui trattamento a norma del GDPR (Regolamento UE 2016/679 vigente in Italia dal 25 Maggio 2018) è normalmente vietato, salvo l’espresse ipotesi individuate dall’art. 9 del medesimo regolamento, fra le quali alla lettera g) il caso di trattamento necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici.
È pacifico che il diritto alla protezione dei dati personali non sia assoluto e possa essere limitato, sebbene sempre in virtù di un equo bilanciamento, ai fini del perseguimento di un obiettivo di interesse pubblico generale preminente o per proteggere diritti e libertà altrui.
La normativa assunta per l’emergenza COVID-19, in particolare, riguarda il trattamento dei dati personali sotto almeno 5 profili, che si proverà di seguito ad analizzare, senza pretesa di esaustività.
1) TRATTAMENTO DATI PERSONALI IN AMBITO LAVORATIVO:
Sebbene le attività commerciali che possono ad oggi rimanere attive siano state significativamente ridotte alla luce del DPCM del 22/03/2020, così come modificato dal decreto 25/03/2020 del Ministero dello Sviluppo Economico, a quelle strettamente collegate ai servizi di prima necessità, le attività ancora consentite dovranno svolgersi previa assunzione da parte del titolare o del gestore di misure idonee ad evitare assembramenti di persone, con adozione delle misure necessarie a prevenire o ridurre il rischio di contagio.
In virtù di questa prospettiva, con parere già del 02/03/2020 il Garante della Privacy invitava i datori di lavoro ad astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. L’invito espresso dal Garante a tutti i titolari del trattamento è stato di attenersi scrupolosamente alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.
In attuazione della misura contenuta all’art. 1, comma 1, n. 9), del decreto del Presidente del Consiglio dei ministri 11/03/2020, che – in relazione alle attività professionali e alle attività produttive – raccomanda intese tra organizzazioni datoriali e sindacali, il 14/03/2020 è stato sottoscritto tra le Parti sociali un Protocollo di regolamentazione, delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro che, sebbene non vincolante, prevede che il datore di lavoro sia chiamato parte attiva nel contenimento della diffusione del COVID-19, in collaborazione con le Autorità e nel rispetto della normativa sulla privacy.
In particolare, il Protocollo prevede la possibilità che prima dell’accesso in azienda il personale possa essere sottoposto al controllo della temperatura corporea e, laddove tale temperatura risulti superiore ai 37,5°, non sia consentito l’accesso ai luoghi di lavoro.
Questo esame implica il trattamento di dati personali sensibili, ed è lo stesso protocollo ad evidenziare quali siano gli accorgimenti opportuni da adottare a garanzia della privacy nell’espletamento di detta attività:
a. rilevare a temperatura e non registrare il dato acquisto. È possibile identificare l’interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali;
b. fornire l’informativa sul trattamento dei dati personali, anche oralmente, indicando quale finalità del trattamento la prevenzione dal contagio da COVID-19, quale base giuridica l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e, con riferimento alla durata dell’eventuale conservazione dei dati, si può indicare il termine dello stato d’emergenza;
c. definire le misure di sicurezza e organizzative adeguate a proteggere i dati, individuando i soggetti preposti al trattamento e fornire loro le istruzioni necessarie;
d. in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore.
Ad ognuno di detti doveri del datore di lavoro, corrispondono altrettanti diritti del lavoratore di cui vengono “trattati” i dati personali.
In ogni caso, i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali contatti stretti di un lavoratore risultato positivo al COVID-19).
Sul datore di lavoro vige inoltre l’obbligo di informare preventivamente il personale, e chi intende fare ingresso in azienda, della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS.
Qualora si richieda il rilascio di una dichiarazione di questa natura, posto che anch’essa costituisce un trattamento dati, il protocollo segnala di seguire le indicazioni già illustrate per la raccolta dei dati all’ingresso in azienda, raccogliendo solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19 in conformità al cd. principio di minimizzazione ex art. 5, par. 1, lett. c), GDPR.
Sempre nell’ambito dell’attività lavorativa, posto che tutte le normative che si sono fino ad oggi susseguite hanno prescritto ai datori di lavoro di preferire -laddove possibile- la predisposizione di modalità di lavoro agile, sarà necessario premurarsi di adottare delle congrue modalità telematiche di sicurezza volte a garantire la tutela del trattamento dei dati personali anche da remoto, assicurandosi di seguire le raccomandazioni diffuse dalla Polizia Postale relativamente agli attacchi informatici e rafforzare le misure di sicurezza (antivirus sui PC dei dipendenti che lavorino da remoto/utilizzo di chiavi di accesso con autenticazione a due fattori).
2) TRATTAMENTO DATI PERSONALI IN AMBITO SCOLASTICO
Come nell’ambito dell’attività lavorativa, anche gli Istituti scolastici di ogni ordine e grado hanno dovuto riorganizzarsi per operare da remoto da quando è stata disposta la chiusura degli stessi, così originando l’esigenza di proseguire l’attività didattica con modalità innovative, ricorrendo alle innumerevoli risorse offerte dalle nuove tecnologie.
A tal proposito è intervenuto il Garante della Privacy con provvedimento del 26 marzo 2020 “Didattica a distanza: prime indicazioni”, emesso alla luce del DPCM 08/03/2020 che, nel disporre la sospensione dei servizi educativi per l’infanzia e delle attività didattiche nelle scuole di ogni ordine e grado, nonché la frequenza delle attività scolastiche e di formazione superiore, comprese le Università e le Istituzioni di Alta formazione artistica musicale e coreutica, di corsi professionali (art. 1, comma 1, lett. h), ha previsto che venissero attivate, per tutta la durata della sospensione, modalità di didattica a distanza (art. 2, comma 1, lett. m) e n), nonché in funzione delgli articoli 101, 120 e 121 del D.L. n.18/2020, che contengono misure urgenti per garantire la continuità formativa e la didattica.
Nel provvedimento in esame sono state fornite le direttive di seguito riassunte per ordine di rilevanza nell’interesse di chi debba attuarle o pretenderne l’attuazione:
a. Le scuole e le università sono autorizzate a trattare i dati, anche relativi a categorie particolari, di insegnanti, alunni (anche minorenni), genitori e studenti, funzionali all’attività didattica e formativa in ambito scolastico, professionale, superiore o universitario (art. 6, parr. 1, lett. e), 3, lett. b) e 9, par. 2, lett. g) del GDPR e artt. 2-ter e 2-sexies del Codice della Privacy). Non deve pertanto essere richiesto agli interessati (docenti, alunni, studenti, genitori) uno specifico consenso al trattamento dei propri dati personali funzionali allo svolgimento dell’attività didattica a distanza, in quanto riconducibile a funzioni istituzionalmente assegnate a scuole ed atenei.
b. Spetta in primo luogo alle scuole e alle università, quali titolari del trattamento, la scelta e la regolamentazione degli strumenti più utili per la realizzazione della didattica a distanza, conformandosi ai principi di privacy by design e by default indicati dal GDPR, e tenendo conto del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati.
c. Qualora la piattaforma prescelta comporti il trattamento di dati personali di studenti, alunni o dei rispettivi genitori per conto della scuola o dell’università (come nel caso del registro elettronico), il rapporto con il fornitore, quale responsabile del trattamento, dovrà essere regolato con contratto o altro atto giuridico (art. 28 del GDPR).
d. Le istituzioni scolastiche e universitarie dovranno assicurarsi (anche in base a specifiche previsioni del contratto stipulato con il fornitore dei servizi designato responsabile del trattamento), che i dati trattati per loro conto siano utilizzati solo per la didattica a distanza, senza l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore (divieto di fini di marketing o di profilazione).
e. L’Autorità vigilerà sull’operato dei fornitori delle principali piattaforme per la didattica a distanza, per assicurare che i dati di docenti, studenti e loro familiari siano trattati nel pieno rispetto della disciplina di protezione dati e delle indicazioni fornite dalle istituzioni scolastiche e universitarie.
f. Le istituzioni scolastiche e universitarie devono assicurare la trasparenza del trattamento informando gli interessati (alunni, studenti, genitori e docenti), con un linguaggio comprensibile anche ai minori, in ordine, in particolare, alle caratteristiche essenziali del trattamento, che deve peraltro limitarsi all’esecuzione dell’attività didattica a distanza, nel rispetto della riservatezza e della dignità degli interessati (d.P.R. 24 giugno 1998, n. 249, spec. art. 1; art. 13 del Regolamento).
g. Nel trattare i dati personali dei docenti funzionali allo svolgimento della didattica a distanza, le scuole e le università dovranno rispettare presupposti e condizioni per il legittimo impiego di strumenti tecnologici nel contesto lavorativo (artt. 5 e 88, par. 2, del Regolamento, art. 114 del Codice in materia di protezione dei dati personali e art. 4 della legge 20 maggio 1970, n. 300) limitandosi a utilizzare quelli strettamente necessari, comunque senza effettuare indagini sulla sfera privata (art. 113 del citato Codice) o interferire con la libertà di insegnamento.
In seguito al summenzionato provvedimento, sono altresì intervenuti:
– Un comunicato del Garante del 30/03/2020 che riassume le direttive del provvedimento,
– Una nota istituzionale del Presidente del Garante, Antonello Soro, con cui il provvedimento del 23/03/2020 è stato portato all’attenzione del Ministro dell’Istruzione, del Ministro dell’Università e della ricerca e del Ministro per le pari opportunità e la famiglia.
3) TRATTAMENTO DATI PERSONALI IN AMBITO SANITARIO
La normativa governativa dedicata all’emergenza da COVID-19 ha coinvolto il trattamento dei dati personali in ambito sanitario sostanzialmente nel D.L. n. 14 del 09/03/2020, recante disposizioni urgenti per il potenziamento del Servizio Sanitario Nazionale.
L’art. 14 del citato decreto è espressamente dedicato, infatti, alle disposizioni sul trattamento dei dati personali nel contesto emergenziale.
Detto articolo prevede che, fino al termine dello stato di emergenza, un serie di soggetti operanti nel Servizio Nazionale di Protezione Civile e del Servizio Sanitario Nazionale, nel rispetto dell’articolo 9, paragrafo 2, lettere g), h) e i), e dell’articolo 10 del GDPR, nonché dell’articolo 2-sexies, comma 2, lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196 (Codice Privacy), possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 (c.d. dati particolari) e 10 (dati relativi alle condanne penali) del regolamento UE 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19.
La possibilità di comunicare i dati personali viene poi genericamente estesa a qualsiasi soggetto, pubblico o privato, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto. Riferimento che rende difficilmente definibile l’ambito di effettiva applicabilità della norma, così in potenza estendendo il trattamento dei dati ad ipotesi di utilizzo di difficile riconducibilità all’emergenza sanitaria.
Infine, la previsione normativa che più si discosta dai principi di tutela dettati dal GDPR, che basa la sua garanzia sull’esigenza di ricevere il consenso informato del soggetto di cui si stanno trattando i dati personali, è proprio quella che facoltizza i soggetti elencati al comma 1 (e quindi non indistintamente tutti i soggetti pubblici/privati) ad omettere l’informativa dovuta all’interessato (ossia il titolare dei dati) ai sensi dell’art. 13 del GDPR.
4) TRATTAMENTO DATI PERSONALI PER LA PREVENZIONE: CONTACT TRACING PROSPETTIVE EUROPEE E INTERNAZIONALI
Di particolare attualità il tema che coinvolge l’impiego di nuove misure tecnologiche espressamente finalizzate alla prevenzione ed al controllo del contagio da COVID-19.
Come già sopra accennato, il trattamento di dati personali particolari, quali i dati afferenti alla salute, possono subire delle restrizioni in forza di quanto previsto dall’art. 9 del GDPR, che al comma 2 disciplina espressamente le seguenti tre ipotesi eccezionali:
lettera g) il trattamento necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
lettera h) il trattamento necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
lettera i) il trattamento necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale.
Pare pacifico che il contagio da COVID-19 rientri in tutte le tre finalità di trattamento sopra evidenziate.
Altre nazioni (come la Corea del Sud e Singapore) stanno sconfiggendo l’epidemia anche grazie a tecnologie di contact tracing del contagio su smartphone, seppur facendone un utilizzo particolarmente invasivo ed eccessivamente compressivo del diritto alla privacy.
In Italia, l’ENAC ha autorizzato sino al 04/04/2020, salvo proroga, le operazioni condotte con sistemi aeromobili a pilotaggio remoto nella disponibilità dei Comandi di Polizia Locale, impiegati per attività di monitoraggio degli spostamenti dei cittadini sul territorio comunale nell’ottica di garantire il contenimento dell’emergenza epidemiologica, in deroga ai requisiti di registrazione e di identificazione di cui all’art. 8 del Regolamento ENAC “Mezzi Aerei a Pilotaggio Remoto“ Edizione 3 del 11 novembre 2019.
Ma anche l’ipotesi dell’utilizzo del contact tracing è sempre più plausibile in considerazione dei numerosi pareri positivi rilasciati in tal senso.
A livello nazionale Antonello Soro, Presidente del Garante per la protezione dei dati personali, ha evidenziato che la disciplina di protezione dei dati coniuga esigenze di sanità pubblica e libertà individuale, con garanzie di correttezza e proporzionalità del trattamento.
Ma una misura quale il contact tracing, che incide su un numero elevatissimo di persone, ha bisogno di una previsione normativa conforme a questi principi. Soro ha ipotizzato che un decreto-legge possa coniugare tempestività della misura e partecipazione parlamentare, seppur evidenziando come caratteri essenziali dell’eventuale intervento normativo proporzionalità, lungimiranza e ragionevolezza, oltre che la loro temporaneità, principi che dovrebbero definire gli stessi limiti della norma.
Sempre il garante ha voluto evidenziare che la mappatura costante dei nostri movimenti e delle persone con le quali veniamo in contatto, non è una misura irrilevante per la nostra vita privata e per la nostra stessa percezione di libertà. Non lo è, a maggior ragione, un drone che sorveglia costantemente il cielo, benché dovrebbe limitarsi a segnalare ‘impersonali’ assembramenti e non riprendere scene di vita quotidiana.
A livello Europeo, la European Data Protection Board il 19/03/2020 ha adottato una dichiarazione evidenziando che le autorità pubbliche dovrebbero innanzitutto cercare di trattare i dati relativi all’ubicazione in modo anonimo (ossia, trattare dati in forma aggregata e tale da non consentire la successiva re-identificazione delle persone), il che potrebbe permettere di generare analisi sulla concentrazione di dispositivi mobili in un determinato luogo (“cartografia”). Ciò dal momento che le norme in materia di protezione dei dati personali non si applicano ai dati che sono stati adeguatamente anonimizzati.
Quando non sia possibile elaborare solo dati anonimi, la direttiva e-privacy (direttiva 2002/58/CE specificamente rivolta al settore delle comunicazioni elettroniche) consente agli Stati membri di introdurre misure legislative per salvaguardare la sicurezza pubblica (articolo 15). Qualora siano introdotte misure che consentono il trattamento dei dati di localizzazione in forma non anonimizzata, lo Stato membro ha l’obbligo di predisporre garanzie adeguate, ad esempio fornendo agli utenti di servizi di comunicazione elettronica il diritto a un ricorso giurisdizionale.
Si applica anche il principio di proporzionalità. Si dovrebbero sempre privilegiare le soluzioni meno intrusive, tenuto conto dell’obiettivo specifico da raggiungere. Misure invasive come il “tracciamento” (ossia il trattamento di dati storici di localizzazione in forma non anonimizzata) possono essere considerate proporzionate in circostanze eccezionali e in funzione delle modalità concrete del trattamento. Tuttavia, tali misure dovrebbero essere soggette a un controllo rafforzato e a garanzie più stringenti per assicurare il rispetto dei principi in materia di protezione dei dati (proporzionalità della misura in termini di durata e portata, ridotta conservazione dei dati, rispetto del principio di limitazione della finalità e raccolta del consenso informato del titolare del trattamento).
5) TRATTAMENTO DATI PERSONALI NEL DECRETO C.D. “CURA ITALIA”
Fuori dai specifici ambiti sopra esaminati, sempre in materia di diritto alla privacy, si evidenzia che anche il D.L. 18/2020 (c.d. “cura italia”) riporta alcune previsioni afferenti il diritto alla privacy:
a. ai sensi dell’art. 103, i termini previsti per la definizione dei procedimenti pendenti presso il Garante per la protezione dei dati personali alla data del 23 febbraio 2020 o iniziati successivamente, sono sospesi dalla medesima data fino al 15 aprile 2020, fatte salve le eventuali modifiche che potranno intervenire in sede di conversione del citato decreto e quelle che potranno essere introdotte da ulteriori atti o provvedimenti recanti misure di contenimento e gestione dell’attuale emergenza epidemiologica.
b. Ai sensi degli artt. 117 e 118 è disposta un’estensione dell’attuale regime di prorogatio che coinvolge i componenti del Garante per la Protezione dei Dati personali – ex articolo 1, comma 1, del decreto-legge 7 agosto 2019, n. 75, convertito, con modificazioni, dalla legge 4 ottobre 2019, n. 107 – e dell’Autorità per le Garanzie nelle Comunicazioni (AGCom) – ex articolo 7, comma 1, del decreto-legge 21 settembre 2019, n. 104, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 132. Per dette le Autorità il previgente termine del 31 marzo 2020 per la cessazione delle funzioni degli attuali componenti viene sostituito da un termine legato alla conclusione dell’attuale di stato di emergenza: la proroga vige fino a 60 giorni successivi alla data di cessazione dello stato di emergenza da COVID-19 sul territorio nazionale (sei mesi dal 31 gennaio 2020) e si intende limitata all’adozione di atti di ordinaria amministrazione, e di quelli indifferibili e urgenti, necessari altresì alla corretta attuazione delle previsioni contenute nel Decreto.
Si conclude evidenziando come, in un momento emergenziale come quello che stiamo vivendo, sia di meridiana evidenza l’attualità dell’argomento della tutela alla privacy, se si consideri che proprio il sistema telematico predisposto dall’INPS per la presentazione e la raccolta delle istanze dei cittadini per le sovvenzioni economiche predisposte dal D.L. n. 18/2020 (“cura Italia”) ha subito un enorme Data Breach, ossia una violazione delle tutele del trattamento dei dati personali disposte dal già citato GDPR, che si è verificata con la divulgazione di milioni di dati personali al di fuori della finalità per cui il trattamento era previsto (ossia la procedura di richiesta delle sovvenzioni statali) e nei confronti di soggetti terzi del tutto non legittimati a venire a conoscenza di detti dati.
A tal proposito è già stata aperta un’istruttoria del Garante della Privacy che ha affermato che ”Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”, ed è giusto che mai come ora i cittadini conoscano gli strumenti per la tutela dei loro diritti, per assicurarsi che gli stessi non subiscano restrizioni illegittime o violazioni.
Avv. Carlotta Pasanisi