Photo by Benjamin Lizardo

La protezione dei dati personali in Italia e nell’esperienza asiatica nella lotta al COVID-19 – PARTE I

Introduzione

L’intera comunità internazionale affronta, oggi, l’emergenza Covid-19. La diffusione del virus dall’epicentro di Whuan al resto dei paesi asiatici prima, e dei paesi europei, americani ed africani poi, pone di giorno in giorno nuove sfide da affrontare in un contesto di eccezionale gravità dell’emergenza: la tenuta dei sistemi sanitari nazionali, le misure economiche per arginare la recessione, la corsa contro il tempo per le realizzazione di un vaccino, i protocolli sanitari da attuare, la tutela del personale sanitario impegnato in prima linea, il compromesso tra la privacy del singolo e le esigenze di prevenzione ed arginamento del contagio attraverso l’utilizzo di strumenti tecnologici. Proprio quest’ultimo tema ha attirato l’attenzione della comunità giuridica internazionale e soprattutto europea, in un contesto in cui l’emanazione del General Data Protection Regulation (Reg.UE 2016/679) aveva sensibilizzato cittadini ed imprese sull’importanza dei dati personali in una società ad alto tasso di digitalizzazione, rendendo edotti e consapevoli i cittadini dei rischi della perdita del controllo dei dati personali e sensibili.

Sono numerosi i problemi in ambito di protezione dei dati personali e sensibili che l’attuale stato di emergenza sanitaria pone nel nostro ordinamento, alcuni tra i quali possono essere di seguito sintetizzati.
Tali questioni devono essere analizzate con una particolare chiave di lettura che tenga conto del contesto attuale in cui, ad oggi, dato il prolungamento delle misure eccezionali, lo stato di emergenza deve essere considerato come una condizione ordinaria, senza però correre il rischio di comprimere le libertà del singolo in modo arbitrario e non proporzionato.

Legittimazione del Datore di Lavoro alla raccolta dei dati sullo stato di salute dei lavoratori

Già in data 2 Marzo l’Autorità Garante per la Protezione dei dati personali era intervenuta per sancire alcuni criteri garantisti per la protezione dei dati personali dei lavoratori all’interno delle aziende. L’Autorità Garante, infatti, ribadiva, dietro sollecito delle associazioni di categoria dei datori di lavoro, che il datore di lavoro non è un soggetto titolato per raccogliere dati sensibili riferibili allo stato di salute dei lavoratori né per provvedere a segnalare eventuali stati di salute sospetti alle autorità competenti. Inoltre, il Garante chiariva, nella suddetta relazione esplicativa che l’obbligo di segnalare l’eventuale situazione di pericolo per la salute e la sicurezza sul luogo di lavoro restava in capo al dipendente come già stabilito ex Art. 20 D.Lgs. 81/2008 (Testo Unico sulla tutela della salute e della sicurezza nei luoghi di lavoro).

Il problema delle autocertificazioni

Fin dal momento in cui è stata dichiarata l’emergenza, in data 31 Gennaio e in tutti gli atti successivi emanati dal Governo è stato introdotto l’utilizzo dell’autocertificazione, strumento tipico del diritto amministrativo che consente al cittadino la sostituzione di un atto amministrativo con una propria dichiarazione. L’istituto, ben più risalente, ha destato particolari perplessità sia per il costante aggiornamento del modello fornito ai cittadini e del suo contenuto, sia per le considerazioni che l’autocertificazione solleva nell’ambito della raccolta e del trattamento dei dati personali. Infatti, in prima istanza, i soggetti deputati a ricevere le comunicazioni fornite a mezzo autocertificazione erano certamente il Dipartimento della Protezione Civile ed il personale sanitario. Ma dal momento in cui sono stati introdotti i controlli urbani ed extraurbani a cura delle forze dell’ordine, della polizia locale ed infine delle forze armate, i soggetti in grado di accedere ai dati contenuti nelle autocertificazioni si sono notevolmente ampliati. Lo stesso A. Soro, Presidente dell’Autorità Garante per la protezione dei dati personali ha dichiarato che la nozione di “autorità” contenuta nella delibera del Consiglio dei Ministri del 31 Gennaio 2020 sia connotata da una particolare ampiezza e che, dato lo stato emergenziale, sia possibile interpretarla in senso estensivo.

Infatti, l’Art. 6 del GDPR (Liceità del trattamento) stabilisce al comma 1 lett. E che il trattamento è lecito se necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento e dunque “l’autorità” di cui sopra. In questa sede è bene ricordare che allo stesso articolo, alla lettera D, lo stesso GDPR specifica che un trattamento deve considerarsi lecito anche quando lo stesso è necessario per la salvaguardia degli interessi vitali dell’interessato di altra persona fisica.

Restano, tuttavia, i dubbi sulle recenti formulazioni dei moduli delle autocertificazioni che impongono ai cittadini di dichiarare se gli stessi siano o meno stati contagiati. Poiché, allo stato attuale, non è stato predisposto alcun controllo generalizzato della popolazione, ma il tampone è riservato solo ad alcuni soggetti specificatamente individuati dalle autorità sanitarie, ci si chiede come sia possibile richiedere una tale informazione. Si deve concludere, che nonostante l’oscurità della formulazione, si chieda evidenza dell’assenza di riscontri alla positività del virus.

Il trattamento dei dati utili per fronteggiare il Covid-19 da parte delle autorità pubbliche e dei soggetti incaricati di pubblico servizio

L’Art.14 del DPCM n.14 del 9 Marzo 2020 consente che soggetti pubblici e soggetti incaricati di pubblico servizio, se necessario, comunichino tra loro i dati ex.Art.9 GDPR (dati inerenti lo stato di salute) ed ex.Art.10 GDPR (dati relativi ai reati e ad altre misure di sicurezza). Invece, la comunicazione dei dati diversi da quelli sopraindicati deve avvenire soltanto “nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto”. In ogni caso, il Legislatore ha chiarito che qualsiasi trattamento dei dati deve avvenire nel rispetto dei principi di cui all’Art.5 del General Data Protection Regulation adottando misure appropriate, sempre tenendo in considerazione lo stato emergenziale in atto. Il titolare ed il responsabile del trattamento, inoltre, in forza dell’Art.14 comma 4 possono ricevere l’autorizzazione al trattamento in forma semplificata tenendo conto dei principi enunciati ex Art.2-quaterdecies del D.Lgs. 196/2003.

Inoltre, l’Art.14 del DPCM prevede la possibilità da parte del Titolare di non fornire informativa agli interessati se i trattamenti effettuati sono riconducibili alla necessità di affrontare l’emergenza legata al Covid-19. L’informativa che deve essere fornita dal titolare del trattamento all’interessato, infatti, è uno dei tipici adempimenti in tema di tutela e protezione dei dati personali e risulta avere un ruolo straordinariamente centrale nella creazione del rapporto tra il titolare del trattamento ed i soggetti interessati. L’informativa contiene (ex art. 13 par.1 e art.14 par. 1 GDPR) tutte le informazioni necessarie perché l’interessato sia a conoscenza: della base giuridica del trattamento, delle modalità dello stesso, del periodo di conservazione dei dati, e affinché individui precisamente titolare e responsabili del trattamento e conosca i propri diritti e le modalità di esercizio degli stessi.

E-Learning e Smart Working

Il cambiamento del paradigma della quotidianità portato dall’emergenza in atto ha, certamente, spinto le istituzioni scolastiche ed universitarie a dover investire su un sistema di formazione a distanza sincrona ed asincrona, su cui, probabilmente si sarebbe già dovuti essere pronti. Le direttive ministeriali hanno imposto alle istituzioni scolastiche di ogni ordine e grado di dotarsi di piattaforme per garantire la formazione degli allievi e la continuità scolastica. Soprattutto in considerazione del fatto che le scuole c.d. dell’obbligo, raccolgono e trattano dati personali di soggetti minori, è fondamentale la necessità di adottare ogni accorgimento necessario al fine di proteggere i dati degli studenti che vengono archiviati sulle piattaforme e- learning, senza dimenticare che la maggior parte delle piattaforme consente la registrazione delle lezioni e relativa acquisizione delle immagini trasmesse via webcam.

Probabilmente, la consapevolezza delle istituzioni deve partire dalla scelta del fornitore che deve garantire una compliance tale da agire in totale sicurezza, soprattutto in fase di archiviazione, continuando poi per un costante monitoraggio dei flussi dei dati ond’evitare dispersione e perdita del controllo dei dati stessi. Anche il tessuto imprenditoriale italiano, ove l’attività lo consentisse, si è dotato di strumenti di lavoro agile e dematerializzato dal posto di lavoro, il c.d. “smart working”.

Anche la nuova (per alcuni) metodologia di lavoro incontra notevoli criticità in ambito privacy. I rischi connessi allo smart working sono innanzitutto relativi alla sicurezza informatica e delle reti. I lavoratori si connettono con reti internet proprie e, spesso, con device non aziendali ma personali che non sono dotati di antvirus ed antimalware adeguati alla protezione dei dati aziendali. Le aziende, dunque, devono monitorare e verificare che le procedure legate all’attività lavorativa dei dipendenti si svolgano in totale sicurezza ed, ove possibile, dotare il personale di hardware aziendali appositamente predisposti per lo smart working. Inoltre, ond’evitare inutili dispersioni di dati è bene stabilire procedure chiare e precise di lavoro che tengano conto il più possibile del rispetto dei dati aziendali e dei clienti dell’azienda stessa. Alla luce di quanto detto è chiaro che lo smart working interagisca in stretta connessione con il principio dell’accountability e con preciso riferimento a quanto indicato ex.Art.32 GDPR “…tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio…”. Dovrà, quindi essere cura degli smart workers conoscere le policy aziendali ed applicarle con attenzione e responsabilità e dei datori di lavoro una adeguata formazione per evitare l’applicazione del regime sanzionatorio del Garante per la protezione dei dati personali che, si ricordi, non è sospeso.

[Continua nella SECONDA PARTE]

Autore: Manfredi Domina

Ultimi articoli