In data 2 marzo 2020, il Garante per la Privacy si è nuovamente pronunciato in merito al tema legato al Coronavirus, offrendo ulteriori e più specifici chiarimenti in merito alle misure che soggetti pubblici e privati devono adottare relativamente al trattamento dei dati personali in conformità alle disposizioni di cui al GDPR.
Il virus Covid-19, meglio noto come Coronavirus, ha impattato e continua a impattare negativamente sulle nostre vite sotto diversi profili e, per quanto qui rileva, anche in relazione al trattamento dei dati personali. Già in data 31 gennaio 2020 il Consiglio dei Ministri si era riunito per accertare e dichiarare lo stato di emergenza sul territorio nazionale. Nell’ambito di detto stato di emergenza, il Capo Dipartimento della Protezione Civile aveva ritenuto opportuno rivolgersi al Garante della Privacy al fine di ottenere un parere favorevole in merito alla bozza di ordinanza relativa al trattamento dei dati personali sanitari, relativi alla salute, ai sensi di cui all’art. 9 oltreché i dati di cui all’art. 10 del GDPR.
Con riferimento a detta richiesta il Garante si era pronunciato favorevolmente, in particolare sostenendo che:
|
a) i soggetti di cui all’articolo 1 della stessa nonché quelli operanti nel Servizio nazionale di Protezione civile (artt. 4 e 13 del D. Lgs. 2 gennaio 2018, n. 1), possono “effettuare trattamenti, ivi compresa la comunicazione tra loro, di dati personali anche relativi agli artt. 9 e 10 del GDPR, che risultino necessari per l’espletamento della funzione di protezione civile al ricorrere dei casi di cui agli artt. 23, comma 1, e 24, comma 1, del D. Lgs. 2 gennaio 2018, n. 1”, con una scadenza fissata al 30 giugno 2020; |
|
b) i dati personali raccolti possono essere comunicati a soggetti pubblici e privati diversi da quelli di cui alla lettera a), nonché è ammissibile la diffusione dei dati personali diversi da quelli di cui agli artt. 9-10, laddove la comunicazione e diffusione siano necessarie ai fini dello svolgimento delle attività previste dall’ordinanza stessa; |
|
c) il trattamento dei dati personali deve avvenire in conformità ai principi sanciti ai sensi di cui all’art. 5 GDPR restando inteso che, attesa l’emergenza, occorre “contemperare la funzione di soccorso con quella afferente la salvaguardia della riservatezza degli interessati”. |
In data 2 marzo 2020, il Garante per la Privacy si è nuovamente pronunciato in merito al tema legato al Coronavirus, offrendo ulteriori e più specifici chiarimenti in merito alle misure che soggetti pubblici e privati devono adottare relativamente al trattamento dei dati personali in conformità alle disposizioni di cui al GDPR.
Il Garante, infatti, ha dichiarato di aver ricevuto numerosi quesiti posti da soggetti pubblici e privati in merito alla possibilità di raccogliere “all’atto della registrazione di visitatori e utenti di informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura preventiva. Analogamente, datori di lavoro pubblici e privati hanno chiesto al Garante la possibilità di acquisire una “autodichiarazione” da parte dei dipendenti in ordine all’assenza di sintomi influenzali, e vicende relative alla sfera privata”.
In merito a dette richieste, il Garante ha ribadito quanto già in precedenza affermato. In particolare, l’Autorità ha invitato i soggetti titolari al trattamento dei dati, siano essi pubblici o privati, a attenersi scrupolosamente alle indicazioni fornite dal Ministero della Salute e dalle istituzioni competenti per la prevenzione della diffusione del Virus, diffidandoli dall’assumere qualsiasi iniziativa autonoma relativa alla raccolta di dati personali, anche sanitari relativi alla salute, di utenti o lavoratori, che non sia normativamente prevista o disposta dagli organi competenti.
Infatti, ciò che rileva è certamente l’obbligatoria conformità della raccolta dei dati ai sensi di cui all’art. 5, che stabilisce e determina i principi generali cui necessariamente occorre conformarsi nell’ambito del trattamento dei dati personali. Nello specifico, infatti, il Garante ha rilevato che “l’accertamento e la raccolta di informazioni relative ai sintomi ... e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate”. Da ciò ne deriva che, solo gli organi qualificati, competenti e a ciò preposti, possono procedere al trattamento di tali categorie particolari di dati, al fine di rendere, pertanto, illegittimo ogni trattamento eventualmente effettuato da soggetti pubblici e/o privati.
È, quindi, vietato ai datori di lavoro, pubblici e privati raccogliere in modo sistematico e generalizzato, anche attraverso specifiche richieste ai singoli o mediante loro autodichiarazioni (non spontanee, invece ammesse). I datori di lavoro devono, pertanto, astenersi dall’adottare condotte ispettive e di indagine preventiva. Una siffatta attività, infatti, oltre a non essere conforme ai principi di cui all’art. 5 (liceità, minimizzazione dei dati, necessarietà, etc.), non è conforme alle misure eccezionali che rientrano nella sfera di competenza delle autorità pubbliche preposte.
In casi particolari di necessità e urgenza, inoltre, le stesse autorità pubbliche, anche di concerto con l’Autorità Garante, possono adottare misure più restrittive ovvero introdurre disposizioni più specifiche affinché il GDPR possa correttamente trovare applicazione. Nel caso in esame, infatti, per ben due volte l’intervento del Garante è stato necessario per offrire delucidazioni e maggiore chiarezza interpretativa del Regolamento UE 679/2016.
Ciò che ci si auspica, oltre ai chiarimenti già offerti dal Garante relativamente alla raccolta e trattamento dei dati da parte dei datori di lavoro, è una maggiore sensibilità afferente alla necessaria salvaguardia della riservatezza dei soggetti interessati, come suesposto, in conformità dell’art. 5 da parte degli organi/enti di pubblica informazione (quotidiani, media, telegiornali).
Non pare revocabile in dubbio, infatti, che si è assistito a condotte prive delle necessarie cautele in merito al bilanciamento tra diritto di cronaca e la tutela del diritto fondamentale alla riservatezza di eventuali soggetti colpiti malauguratamente dal Virus.
A parere di chi scrive, infatti, l’indicazione dei nominativi (nome e cognome) nonché di ogni altro dato (sesso, età, attività lavorativa, interessi di qualsivoglia natura) non rilevano ai fini di pubblica informazione e di cronaca, di cui all’art. 21 Cost. quale libertà di manifestazione del pensiero.
Si ritiene, infatti, che quale requisito e presupposto minimo, sarebbe stato opportuno procedere alla pseudonimizzazione dei dati personali degli interessati, in conformità con quanto disposto ai sensi di cui all’art. 5 GDPR al fine di garantire il diritto alla riservatezza, quale estrinsecazione di un altro principio fondamentale della nostra Carta Costituzionale, rinvenibile estensivamente ai sensi di cui all’art. 15.
Nel caso di specie si ritiene non vi sia stato un corretto bilanciamento tra il diritto alla riservatezza e il diritto di cronaca. Quantomeno, sarebbe stato opportuno adottare le cautele minime riconosciute dall’art. 5 GDPR, in virtù del quale (oltre alla citata pseuodonimizzazione) viene in risalto il principio di essenzialità del dato, che certamente rappresenta un limite al diritto di cronaca.
Certamente vi saranno futuri interventi da parte del Garante in merito.
