Noi lo avevamo già anticipato[1], ed ora è arrivato anche il chiarimento istituzionale da parte dell’Autorità Garante per la protezione dei dati personali[2] derivante dalle segnalazioni sulle molteplici iniziative “fai da te” nella raccolta delle informazioni da parte di aziende ed organizzazione attraverso l’acquisizione di autodichiarazioni per la prevenzione del contagio da Coronavirus.
La premessa del chiarimento riguarda la portata soggettiva della normativa d’urgenza sul Coronavirus, che fonda la liceità della raccolta per operatori della sanità (fra cui, principalmente i medici di base), aziende sanitarie locali e personale della protezione civile. Viene così chiarito che la finalità di prevenzione del contagio non può che essere riconducibile istituzionalmente ai soli soggetti esercenti funzioni qualificate di prevenzione, cura ed assistenza sanitaria o comunque investiti tramite provvedimento avente forza di legge di tutte quelle attribuzioni necessarie a garantire il rispetto delle regole di sanità pubblica.
È bene ricordare, inoltre, che le misure di prevenzione da adottare anche con riguardo alla raccolta di dati personali devono trovare la propria base giuridica in una disposizione normativa o in misure emesse direttamente da parte del Ministero della salute e dalle istituzioni competenti (ovverosia: a cui la legge ha attribuito tale competenza). Coerentemente con tale premessa, le disposizioni d’urgenza possono introdurre nuovi parametri e procedure, ma è sempre necessario ricondurre l’attività di raccolta, elaborazione e conservazione dei dati a una base giuridica specificamente individuata non potendo avere alcun valore una generica menzione di “misure di prevenzione da contagio”.
Il caveat rivolto dal Garante ai datori di lavoro riguarda l’astensione dalla raccolta sistematica e generalizzata di informazioni di lavoratori, personale che accede agli ambienti di lavoro e ulteriori soggetti (quali conviventi o prossimi congiunti) in quanto lo svolgimento di tali indagini esula dall’esercizio dei poteri datoriali. Nell’ambito di prevenzione del rischio biologico, infatti, pur considerata la presenza del Coronavirus sono consentite visite straordinarie per i lavoratori esposti oltre che procedure dedicate di segnalazione affinché si provveda al coinvolgimento degli operatori sanitari e delle autorità competenti ma non attività di indagine che esulino da un fondamento giuridico valido.
L’invito del Garante è dunque quello di attenersi alle indicazioni istituzionali, e dunque a ricercare la base giuridica per tali attività di trattamento all’interno delle disposizioni normative o provenienti dal Ministero della salute o gli organi cui è stata attribuita la competenza per la prevenzione o il contrasto della diffusione del Coronavirus.
Considerato il chiarimento, dunque, lo svolgimento di una
valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR
appare pertanto lo strumento principale di cui ciascun titolare del trattamento
può avvalersi per valutare correttamente (e preventivamente) la liceità della
raccolta e dell’impiego delle informazioni ai fini della prevenzione del
rischio biologico da contagio, nonché per garantire ed essere in grado di
dimostrare la conformità delle attività così svolte alla normativa in materia
di protezione dei dati personali.
[1] https://www.infosec.news/2020/03/01/speciale-coronavirus/ansia-da-coronavirus-temo-piu-i-database-improvvisati/
[2] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117
