SPECIALE CORONAVIRUS

Con il decreto Coronavirus a rischio anche la privacy?

Le misure del DPCM dell'8 Marzo coinvolgono anche il diritto alla protezione dei dati?

All’interno del DPCM 8 marzo 2020[1] sono presenti anche delle misure che possono produrre conseguenze sull’applicazione della normativa in materia di protezione dei dati personali? Certamente, per lo più in relazione agli obblighi informativi gravanti sugli interessati è inevitabile un’attività di trattamento di dati di categorie particolari (nello specifico: dati relativi alla salute) e di dati relativi agli spostamenti da cui è comunque possibile desumere uno stato di salute (potenzialmente infetto da COVID-19) per il perseguimento di motivi di interesse pubblico nel contenimento dell’epidemia, nonché, ovviamente, per tutte le attività a fini di diagnosi, assistenza o terapia sanitaria.

Per il perseguimento delle finalità di cui all’art. 9.2 lett. h) GDPR (medicina preventiva, medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza, terapia sanitaria o sociale, gestione dei sistemi e servizi sanitari o sociali), le attività di trattamento devono essere svolte direttamente da un professionista soggetto al segreto professionale o comunque sotto la sua responsabilità, conformemente alle prescrizioni normative applicabili.

Le attività condotte invece sul fondamento di liceità individuato dall’art. 9.2 lett. i) GDPR, secondo il quale il trattamento trova una base giuridica se necessario per motivi di interesse pubblico nel settore della sanità pubblica, devono trovare la propria fonte legittimante all’interno di atti provenienti da soggetti istituzionali che possono regolamentare la raccolta, la trasmissione e la conservazione di tali categorie di dati personali. Così avviene nel DPCM 8 marzo 2020, all’interno del quale sono definite una serie di attività di trattamento (per lo più riconducibili al novero della raccolta e trasmissione delle informazioni) che coinvolgono o gli interessati all’interno della c.d. “zona rossa” (nelle misure di cui all’art. 1) o altrimenti tutti gli interessati presenti sul territorio nazionale (nelle misure di cui agli artt. 2 e 3).

È esemplificativo a tale riguardo l’art. 3 comma 1 lett. m) che prevede un obbligo di comunicazione per ciascun interessato il quale, a partire dal quattordicesimo giorno antecedente la data del decreto, “abbia fatto ingresso in Italia dopo aver soggiornato in zone a rischio epidemiologico, come identificate dall’Organizzazione mondiale della sanità”. Tale comunicazione va indirizzata esclusivamente nei confronti del Dipartimento di prevenzione dell’azienda sanitaria territorialmente competente e al medico di medicina generale o al pediatra, e la prescrizione rinvia all’autonomia regolamentare di ciascuna regione per la definizione delle modalità di trasmissione dei dati e l’individuazione dei destinatari delle comunicazioni.

Sempre lo stesso art. 3, al secondo comma, individua le attività di trattamento dei dati da svolgere relativamente alla permanenza domiciliare, e dunque va a canonizzarne la necessità per il perseguimento delle finalità di interesse pubblico nel settore sanitario. Tali attività consistono nella raccolta telefonica delle informazioni per la valutazione del rischio di esposizione al Coronavirus, nonché le modalità di svolgimento della sorveglianza sanitaria con il coinvolgimento del medico di medicina generale o del pediatra e di certificazione ai fini INPS per l’assenza dal lavoro, in relazione alla quale sono individuati i contenuti (l’informazione della messa in quarantena per motivi di sanità pubblica, nonché la data di inizio e fine) e i destinatari (l’INPS, il datore di lavoro, il medico di medicina generale o il pediatra di libera scelta).

Per quanto sia indubbia la sussistenza di un interesse di sanità pubblica, è evidente che il perseguimento di tale finalità non può giustificare una compressione illimitata o irragionevole delle norme e dei principi posti a presidio della corretta regolamentazione delle attività di trattamento dei dati personali degli interessati. È dunque fondamentale che, pur in una normativa d’urgenza, siano individuati tanto i soggetti legittimati a svolgere le operazioni di trattamento, che le modalità attraverso cui condurre le attività di trattamento, nonché i presidi di garanzia a tutela degli interessati (soprattutto, per limitare quanto più possibile l’impatto derivante da un’eventuale diffusione incontrollata dei dati personali).


[1] https://www.gazzettaufficiale.it/eli/id/2020/03/08/20A01522/sg

Tags
Back to top button
Close
Close