Coronavirus e protezione dei dati personali, una disamina dei chiarimenti delle autorità di controllo europee

Plico di riviste

Con il diffondersi in Europa del virus SARS-CoV-2 (“Coronavirus”), non sono mancati gli interventi delle autorità di controllo europee volti a fornire indicazioni e chiarimenti sui limiti della raccolta, della condivisione e dell’uso dei dati personali relativi alla salute dei cittadini in relazione alle misure adottate dai governi nazionali per gestire l’emergenza sanitaria.

Il Regolamento UE 2016/679 (“GDPR”) contiene plurimi riferimenti al trattamento dei dati personali degli interessati quando – come sta avvenendo per il contenimento della diffusione del Coronavirus – sono in gioco interessi vitali delle persone o sono coinvolti rilevanti motivi di interesse pubblico. Il Considerando 46 del GDPR si riferisce esplicitamente alla liceità di alcuni trattamenti “necessari per tenere sotto controllo l’evoluzione di epidemie”.

Si osserva come, nel contesto di un’epidemia, la liceità del trattamento dei c.d. dati particolari, tra i quali rientrano quelli relativi alla salute, è prevista altresì dal Considerando 52 del GDPR. Tale previsione prevede la possibilità di derogare al generale divieto di trattamento dei dati personali particolari, qualora il trattamento sia previsto dal diritto dell’Unione o degli Stati membri “per finalità di sicurezza sanitaria, controllo e allerta, prevenzione o controllo di malattie trasmissibili e altre minacce gravi alla salute”.

Inoltre, ulteriori previsioni relative alla liceità del trattamento dei dati personali in una situazione emergenziale, si rinvengono negli artt. 6 e 9 del GDPR. In particolare, l’art. 9, para. 2, lett. i) del GDPR prevede la liceità del trattamento di dati personali particolari quando sia “necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero […]” e previsto dal diritto dell’Unione o dalla normativa nazionale.

In questo contesto normativo, le autorità di controllo europee hanno chiarito come contemperare l’esigenza di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati.

Tratto comune alle indicazioni fornite dalle autorità garanti europee si rinviene, in primo luogo, nel rilievo che la normativa applicabile in materia di protezione dei dati personali non costituisce un ostacolo alla tutela della salute pubblica. Inoltre, nell’invito rivolto ai titolari del trattamento, pubblici e privati, al rispetto dei principi di cui all’art 5 del GDPR attenendosi alle specifiche indicazioni fornite dalle autorità competenti.

Infine particolare attenzione, anche in considerazione della moltitudine di quesiti ricevuti dalle autorità di controllo, è stata data al trattamento dei dati personali particolari nell’ambito del rapporto lavorativo in ottemperanza alle prescrizioni del GDPR e della normativa nazionale in materia di igiene, salute e sicurezza.

In particolare, il Garante per la Protezione dei Dati Personali (il “Garante”), con nota del 2 marzo 2020, ha chiarito che i datori di lavoro “devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato […] informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”. Al fine di prevenire la diffusione del Coronavirus, la raccolta delle informazioni relative ai sintomi manifestati dai cittadini e agli spostamenti di quest’ultimi spetta alle competenti autorità sanitarie.

Il Garante ricorda tuttavia che il lavoratore è obbligato a segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. A tal fine il Garante ha suggerito ai datori di lavoro di predisporre canali dedicati per la comunicazione da parte dei dipendenti.

Con l’art. 14 del decreto legge n. 14/2020, in vigore dal 10 marzo 2020, sono state dettate previsioni ad hoc per il trattamento dei dati personali nel corrente contesto emergenziale al fine di facilitare la raccolta e la comunicazione dei dati personali dei cittadini, tra le autorità competenti nonché di assicurare la diagnosi e l’assistenza sanitaria dei contagiati, fatto salvo il rispetto dei principi generali di cui all’art. 5 del GDPR.

L’Irish Data Protection Commissioner (“IDPC”), in data 6 marzo 2020, ha osservato come la legge sulla protezione dei dati personali non ponga ostacoli per la fornitura di servizi di assistenza sanitaria e per la gestione di questioni di pubblica sicurezza ricordando che le misure adottate per la gestione del Coronavirus, che comportano il trattamento di dati personali, devono essere necessarie e proporzionate oltre che basate sulle indicazioni fornite dalle pubbliche autorità competenti.

L’autorità di controllo irlandese pone particolare attenzione ai principi di (i) trasparenza delle misure adottate nel contesto emergenziale, (ii) riservatezza nella gestione di eventuali contagi nel contesto aziendale, (iii) minimizzazione dei dati personali trattati in attuazione delle misure implementate per impedire la diffusione del Coronavirus, (iv) responsabilizzazione del titolare che deve documentare qualsiasi processo decisionale relativo alle misure attuate per la gestione del Coronavirus.

L’IDPC, con specifico riferimento ai rapporti di lavoro, ritiene giustificata la richiesta del datore di lavoro a dipendenti e visitatori di essere informato qualora quest’ultimi abbiano visitato un’area colpita dall’epidemia ovvero presentino i sintomi del Coronavirus. È importante tenere presente che la registrazione di qualsiasi informazione sanitaria deve essere giustificata e deve essere limitata a quanto necessario per consentire al datore di lavoro di ottemperare agli obblighi vigenti in materia di salute e sicurezza sul lavoro.

La Commission Nationale de l’Informatique et des Libertés (“CNIL”), in data 6 marzo 2020, si è espressa sulle operazioni di trattamento che il datore di lavoro può o non può effettuare con riferimento ai dati personali relativi alla salute dei lavoratori nel rispetto delle misure adottate dalle autorità competenti per la gestione del Coronavirus.

Il CNIL, in linea con le indicazioni fornite dalle altre autorità di controllo europee, ha specificato che “i datori di lavoro devono astenersi dal raccogliere in modo sistematico e generalizzato, o attraverso richieste individuali, informazioni relative alla ricerca di possibili sintomi manifestati da un dipendente e dai suoi parenti”.

Il CNIL ha inoltre suggerito una serie di attività che i datori di lavoro possono effettuare nel trattare i dati personali relativi alla salute dei propri dipendenti tra cui quella di (i) formare il personale per rivolgersi individualmente al datore o alle autorità competenti in caso di possibile esposizione al virus, (ii) predisporre i canali di comunicazione dedicati per le predette informazioni e (iii) promuovere il lavoro a distanza.

In caso di segnalazione del lavoratore di sospetta esposizione con il virus, il datore di lavoro può registrare e comunicare all’autorità sanitaria competente l’identità della persona che si teme sia stata esposta al contagio, la data dell’evento e le misure organizzative adottate dal datore.

Resta fermo l’obbligo dei dipendenti, ai sensi della normativa nazionale applicabile, di preservare con tutti i mezzi possibili la salute e la sicurezza degli altri e di sé stessi, il che significa che essi “devono informare il loro datore di lavoro in caso di sospetto contagio”.

L’Information Commissioner’s Office (“ICO”), in data 12 marzo 2020, ha condiviso tramite il proprio sito web istituzionale alcune indicazioni sul trattamento dei dati personali in relazione alla gestione del Coronavirus.

I chiarimenti resi dall’ICO si sono focalizzati sulla gestione dei rapporti lavorativi. Infatti l’ICO, ha posto l’attenzione sulla necessaria adozione di misure di sicurezza adeguate per la modalità di lavoro a distanza e sulle necessità di tutelare la riservatezza del personale nella gestione di eventuali contagi nella realtà aziendale. Particolare attenzione è stata posta al principio di minimizzazione, ex art. 5 del GDPR, con riferimento alla raccolta dei dati personali relativi alla salute del personale e di eventuali visitatori ed è stato ritenuto lecito chiedere a quest’ultimi se abbiano visitato un’area colpita dall’epidemia ovvero se presentino sintomi del Coronavirus.

L’ICO ha infine osservato che la normativa applicabile in materia non impedisce alle organizzazioni sanitarie di contattare i cittadini per trasmettere informazioni relative alla tutela della salute pubblica, né agli enti pubblici di condividere dati personali relativi alla salute dei cittadini e nemmeno al datore di lavoro di comunicare alle autorità sanitarie i dati personali relativi alla salute dei lavoratori.

L’Agencia Española de Protección de Datos (“AEPD”), in data 12 marzo 2020, ha pubblicato quella che risulta essere – ad oggi – la guida più completa in relazione al trattamento dei dati personali relativi alla salute nella gestione di un’emergenza sanitaria.

L’AEPD analizza gli artt. 6 e 9 del GDPR quali condizioni di liceità del trattamento dei dati personali in una situazione di emergenza ritenendo, nello specifico, che tali disposizioni autorizzino il trattamento necessario per la salvaguardia degli interessi vitali sia dell’interessato che di altra persona fisica (tutte quelle persone suscettibili di essere contagiate nella propagazione di un’epidemia).

L’AEPD prosegue osservando come per il trattamento dei dati personali relativi alla salute debba sussistere una delle condizioni di cui all’art. 9, paragrafo 2 del GDPR sulla base di quanto disposto dal diritto dell’Unione o degli Stati membri.

Qualora si concretizzi uno dei casi previsti dall’art. 9, paragrafo 2 del GDPR, il GDPR riconosce ampia libertà al titolare che effettui il trattamento dei dati al fine di salvaguardare gli interessi vitali degli interessati, dei terzi nonché l’interesse alla salute pubblica.

Tale trattamento, in una situazione di emergenza sanitaria, dovrà avvenire nei limiti e nel rispetto delle indicazioni rese dalle autorità nazionali competenti, che l’AEPD individua nelle autorità sanitarie pubbliche. A tal fine, il titolare del trattamento deve adottare tutte le decisioni necessarie per salvaguardare gli interessi vitali in gioco, gli interessi essenziali nel campo della sanità pubblica e per rispettare gli obblighi di legge.

In conclusione, dalla disamina dei chiarimenti resi dalle autorità dei diversi Stati membri, emerge il generale riconoscimento della liceità del trattamento dei dati personali relativi alla salute con modalità più ampie e flessibili rispetto a quanto generalmente riconosciuto e concesso ai titolari del trattamento dei dati; purché tale trattamento, avvenga nel rispetto dei principi di cui all’art. 5 del GDPR.

E ciò in quanto, anche in un contesto emergenziale, le norme sulla protezione dei dati personali sono finalizzate a salvaguardare un diritto fondamentale e pertanto devono trovare applicazione nella loro interezza.

D’altro canto la lettera stessa del GDPR individua quali siano le garanzie e le regole per effettuare lecitamente il trattamento dei dati personali in situazioni eccezionali, come quella attuale. Pertanto le disposizioni del GDPR non devono e non possono essere utilizzate per ostacolare o limitare l’efficacia delle misure adottate dalle autorità sanitarie competenti.

Resta infine inteso, come confermato dai chiarimenti esaminati, che il trattamento di dati personali in questa particolare situazione dovrà comunque essere limitato esclusivamente al contenimento dell’epidemia senza che con l’occasione i dati personali vengano raccolti e trattati per ulteriori finalità.

Scritto da