29

Feb 2020

In questi giorni di allarme (e di allarmismo) legato alla vistosa diffusione del virus Covid-19 nel nostro Paese, anche la privacy sembra vacillare.

Una bambina risultata positiva al virus ha subito una sorta di gogna mediatica, con il suo nome e la sua foto diffuse attraverso le chat whatsapp e facebook delle famiglie dei compagni di scuola.

A qualche azienda, impegnata in cantieri all’interno delle zone maggiormente colpite dal contagio, viene chiesto di comunicare la provenienza geografica dei propri dipendenti e se essi siano mai transitati nei comuni posti in isolamento.

Alcuni datori di lavoro, inoltre, si sono interrogati circa l’opportunità di adottare dei controlli “fai da te” per monitorare i dipendenti o i visitatori in azienda, attraverso l’utilizzo dell’ormai noto termo scanner o esigendo autocertificazioni con cui il personale attesti di non aver visitato recentemente aree a rischio.

Certamente, l’esigenza di salvaguardare la salute e la sicurezza pubblica consente anche delle limitazioni alla riservatezza dei dati dei cittadini: anche nelle situazioni di emergenza, tuttavia, valgono sempre i principi di cui all’art. 5 del GDPR, in particolare il principio di minimizzazione.

Ricordiamo, innanzitutto, che l’art. 9 del GDPR vieta il trattamento dei dati particolari (quelli che, prima del GDPR, erano meglio noti come dati sensibili) tra cui i dati relativi alla salute della persona.

Tale divieto, tuttavia, non opera in alcuni casi tra i quali:

– quando l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche (art. 9, paragrafo 2, lett. a);

– quando il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare o dell’interessato in materia di diritto del lavoro e della sicurezza sociale nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo in presenza di garanzie appropriate per i diritti fondamentali dell’interessato (art. 9, paragrafo 2, lett. b);

– quando il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita (art. 9, paragrafo 2, lett. g): a tale proposito, tra l’altro, l’art. 2 sexies del Codice Privacy (come modificato dal D.Lgs.101/2018 attuativo del GDPR) precisa che si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri, tra i quali, “compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica” (art. 2 sexies, comma 2, lett. u, D.Lgs. 196/03);

– quando il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale (articolo 9, paragrafo 2, lett. h);

– quando il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale(art. 9, paragrafo 2, lett. i).

Di fronte all’emergenza COVID-19, sono stati adottati numerosi provvedimenti urgenti, a livello nazionale e regionale.

Il decreto legge 23 febbraio 2020 n. 6, al fine di evitare la diffusione del virus in determinate aree del territorio nazionale, ha previsto che “le autorità competenti sono tenute ad adottare ogni misura di contenimento e gestione adeguata e proporzionata all’evolversi della situazione epidemiologica” e, tra queste misure, sono previste anche sospensioni o limitazioni delle attività lavorative per le imprese.

Tra le misure urgenti di contenimento sul territorio nazionale, l’art. 2 del DPR 23.03.2020 recante alcune norme attuative del citato decreto legge n. 6/2020 prevede che gli individui, che dal primo febbraio 2020 sono transitati ed hanno sostato nei comuni delle zone rosse, “sono obbligati a comunicare tale circostanza al Dipartimento di prevenzione dell’azienda sanitaria competente per territorio, ai fini dell’adozione, da parte dell’autorità sanitaria competente, di ogni misura necessaria, ivi compresa la permanenza domiciliare fiduciaria con sorveglianza attiva”.

Anche il Servizio Nazionale della Protezione Civile ha emanato alcune ordinanze per individuare i primi interventi urgenti da attuarsi durante lo stato d’emergenza dichiarato in Italia, prevedendo una sorta di interscambio di dati particolari.

Con riferimento al trattamento dei dati personali, infatti, si è previsto che, al fine di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, i soggetti operanti nel Servizio nazionale di protezione civile […] possono realizzare trattamenti, ivi compresa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del GDPR necessari per l’espletamento della funzione di protezione civile al ricorrere dei casi di cui agli articoli 23, co. 1 e 24, co. 1 D.Lgs 2 gennaio 2018, n. 1 (n.d.r. nel caso di situazioni dichiarate di emergenza di rilievo nazionale), fino al 30 luglio 2020.

La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli sopraindicati, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del GDPR è effettuata, nei casi in cui essa risulti indispensabile, ai fini dello svolgimento delle attività di cui all’ordinanza emergenziale. Il trattamento di tali dati dev’essere comunque effettuato nel rispetto dei principi di cui all’art. 5 del GDPR e adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.

L’ordinanza del Dipartimento della Protezione Civile ha ricevuto anche il parere favorevole del Garante Privacy che ha ritenuto tali disposizioni “idonee a rispettare le garanzie previste dalla normativa in materia di protezione dei dati personali nel contesto di una situazione di emergenza”.

Le norme emergenziali citate, dunque, sembrano giustificare il superamento del divieto di trattamento dei dati relativi alla salute delle persone, imponendo degli obblighi di comunicazione dei dati qualora ciò sia indispensabile: ove richiesto dalle autorità sanitarie e/o dai responsabili della protezione civile, dunque, anche le aziende sarebbero tenute a comunicare i dati personali dei propri dipendenti (incluse informazioni che, come la provenienza geografica o la frequentazione di zone a rischio, potrebbero rivelare dati relativi alla salute dei dipendenti stessi).

Maggiore cautela è, invece, necessaria con riferimento alle misure che il datore di lavoro può adottare all’interno della propria azienda.

L’art. 5 dello Statuto dei Lavoratori, innanzitutto, vieta accertamenti da parte del datore di lavoro sulla idoneità e sulla infermità per malattia o infortunio, ammettendo che il controllo delle assenze per “infermità” possa essere effettuato “soltanto attraverso i servizi ispettivi degli istituti previdenziali competenti” (la violazione di tale divieto è sanzionato penalmente dall’art. 38 del citato Statuto).

Anche il D.Lgs. 81/2008 demanda al medico competente la sorveglianza sanitaria sui dipendenti.

L’art. 2087 c.c., peraltro, prescrive al datore di lavoro l’adozione di “misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”.

Eventuali forme di controllo preventivo, dunque, potranno essere effettuate solo nel rispetto delle norme citate e su indicazione del medico competente, anche attraverso un opportuno aggiornamento del Documento di Valutazione del Rischio.

È, invece, obbligo del datore di lavoro adottare e diffondere opportune misure di cautela e prevenzione, anche nella gestione dei rapporti tra il personale.

Quanto, infine, alle eventuali gogne mediatiche, è opportuno ricordare che l’ultimo comma dell’art. 2 septies del Codice Privacy prevede espressamente il divieto di diffondere i dati relativi alla salute delle persone: si tratta di dati che non possono, dunque, essere pubblicati. La caccia all’untore, dunque, anche ai tempi dei social, non è ammessa.