Diritto alla riservatezza o sicurezza?

Coronavirus e diritto alla riservatezza: cosa fare in azienda?

Questi sono giorni frenetici per tutti coloro che si occupano di privacy e sicurezza nelle aziende. Come si fa a capire quando si può venire meno al diritto di riservatezza dei dati?

Diritto alla riservatezza in caso di emergenza - Tecnologie & Sistemi

Sui luoghi di lavoro, a seguito del coronavirus Covid-19, sono in atto le misure di emergenza previste nelle forme più disparate. La situazione tuttavia pone problemi anche sul fronte della data protection, in merito soprattutto all’introduzione di questionari generici, e talvolta discutibili, che perlopiù non contengono alcuna informativa privacy. Vediamo come fare per gestire correttamente questo ambito, in linea con il GDPR.

In tempi di emergenza può venir meno il diritto alla riservatezza

Il Garante per la Privacy italiano ha dato il via libera alla Protezione Civile sull’interscambio di dati sensibili per contrastare il Coronavirus (Covid-19). Ma come cambia il nostro diritto alla riservatezza di fronte alla necessità di tutelare la nostra salute?

L’emergenza in Italia si è manifestata in poche ore e ha richiesto adeguate misure di prevenzione per la tutela e sicurezza sui luoghi di lavoro:

  • è stato necessario garantire la continuità operativa ma allo stesso tempo la sicurezza dei lavoratori;
  • ci sono lavoratori residenti fuori e dentro la c.d. “zona rossa” che devono recarsi nella propria azienda;
  • aziende con sede in una delle regioni oggetto di specifiche misure restrittive e che in alcuni casi non possono bloccare le attività perché garantiscono servizi pubblici essenziali.

La necessità di fondo è sempre quella di evitare il diffondersi del virus identificando i soggetti a rischio per porre in essere le adeguate contromisure. Per questa ragione in molte realtà si è diffuso l’uso di questionari che vengono fatti sottoscrivere ai fornitori e talvolta anche a propri lavoratori che devono accedere ai siti produttivi.

Diritto alla privacy o tutela della salute pubblica, cosa prevale?

Sono in ballo due grandi valori ma in questo caso può prevalere la protezione della salute di cui ci parla la Carta dei diritti fondamentali dell’Unione Europea, all’articolo 35. La stessa Carta difende il rispetto della vita privata e della vita familiare (art. 7) e la protezione dei dati di carattere personale (art.8).

Tuttavia, non essendo un diritto assoluto, il diritto alla riservatezza e alla privacy deve bilanciarsi con altre libertà e altri interessi pubblici. Per questo motivo, il Garante dà potere alla Protezione Civile di gestire l’emergenza anche attraverso lo scambio di dati con altri soggetti.

Non si può non constatare che molte delle informazioni raccolte rientrano nell’ambito dei dati sanitari (categoria particolare). Il trattamento di tali dati sul luogo di lavoro è disciplinato dal Garante Privacy mediante le “Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro”, che richiamano in sostanza le previsioni del Regolamento UE 679/2016.

Il trattamento di tali dati è in linea di principio vietato dalla normativa (Art 9 GDPR) e concesso in casi estremamente limitati. Uno solo dei casi previsti rientrerebbe nel caso di specie.

“il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici …”

art 9 del GDPR (par 2 lett. i)

Anche l’ordinanza del Ministero della Salute del 21 febbraio 2020 relativa alla quarantena cita il presupposto dell’art. 9, paragrafo 2, del regolamento (UE) 2016/679 e al contempo rimarca che “I dati personali raccolti nell’ambito delle attività di sorveglianza vengono trattati … nel rispetto delle disposizioni vigenti in materia di protezione dei dati personali, ivi incluse quelle relative al segreto professionale, e in relazione al contesto emergenziale in atto”.

Inoltre, proprio il Ministero fornisce un requisito dal quale le aziende dovrebbero almeno trarre ispirazione per la redazione della Informativa Privacy: “La documentazione acquisita viene distrutta trascorsi sessanta giorni dalla raccolta, ove non si sia verificato alcun caso sospetto”.

Chi decide come trattare i dati dei pazienti coinvolti nell’emergenza?

In caso di emergenza è la Protezione Civile a decidere come gestire i dati dei pazienti coinvolti e il loro diritto alla riservatezza o meno.

Ma chi sono gli interlocutori con cui la Protezione Civile può in questo momento scambiare dati sensibili sulla salute dei cittadini?

  • Forze dell’ordine;
  • Comuni.

Del sistema di Protezione Civile fanno parte d’ufficio Stato, Regioni ed Enti locali che possono allearsi con tanti altri soggetti indicati nell’art. 13 del decreto legislativo n.1 del 2018 e non solo. Ci possono essere anche singoli privati che scambiano informazioni sullo stato di salute di terzi. Si tratta di una circolazione di dati principalmente in chiave di comunicazione tra soggetti determinati.

Quindi il trattamento dei dati è certamente ammesso da parte delle organizzazioni preposte o da parte delle autorità sanitarie, non certo da parte delle aziende. Ove ciò sia ammissibile, i dati relativi alla salute devono comunque essere trattati da un numero estremamente limitato di soggetti, adeguatamente formato ed istruito in tal senso.

Il trattamento deve essere limitato alle sole informazioni essenziali. In teoria l’unico soggetto idoneo al trattamento sarebbe il medico competente. Ai sensi della normativa sulla Sicurezza sui luoghi di lavoro (d.lgs. 81/2008), è il datore di lavoro che ha infatti la responsabilità di tutelare i lavoratori dall’esposizione a “rischio biologico” con la collaborazione, ove presente, del medico competente.

Quanto conta il consenso dato direttamente dal paziente interessato?

C’è un’altra base giuridica. All’articolo 9 paragrafo 2 lettera i del Regolamento europeo GDPR è previsto il caso della gestione di dati sensibili nelle situazioni di emergenza: prevale comunque la salute delle persone.

E i dati biometrici, come vengono trattati in situazioni di emergenza?

Situazioni come questa sono certamente critiche ma ci auguriamo che siano, almeno per le aziende, l’occasione per mappare la struttura organizzativa, migliorare revisionando le proprie policy e testare la reattività rispetto ad eventi imprevedibili, al giorno d’oggi sempre meno eccezionali.

Comments are closed.