Garanti europei a confronto, come tutelare i dati sensibili durante l'emergenza Coronavirus

Garanti europei a confronto, come tutelare i dati sensibili durante l'emergenza Coronavirus

Affrontare il tema della tutela i dati di salute durante un’emergenza sanitaria come quella che stiamo vivendo non solo è sensato, ma risulta “essenziale” – ha dichiarato Antonello Soro, Presidente dell'Autorità Garante per la protezione dei dati personali, nel suo intervento pubblicato il 17 marzo – “per consentire di orientare l'azione di prevenzione nel modo più equilibrato e compatibile con i principi democratici”. È importante quindi che anche le aziende farmaceutiche e i produttori di medical device, in prima linea nella ricerca di soluzioni per contrastare la diffusione del Coronavirus (Covid-19), contribuiscano, soprattutto in una fase di grande incertezza, a promuovere e sviluppare ulteriormente la sensibilità culturale nei confronti di un corretto trattamento di dati sensibili in ambito sanitario.

L’intervento dell’EDPB

Anche in situazioni straordinarie, il Regolamento europeo GDPR resta il punto di riferimento normativo principale per tutti gli Stati membri dell’UE, ma l’attivazione delle deroghe previste al suo interno relative a casi di emergenza non è automatica e necessita di un ulteriore intervento normativo a livello nazionale, soprattutto in caso di trattamento di dati sensibili attraverso strumenti digitali.

Ad intervenire in merito a questo punto, facendo chiarezza su un dibattito già in corso nostro Paese, è il Comitato europeo per la protezione dei dati (EDPB) che ha pubblicato una dichiarazione sulle modalità di elaborazione dei dati personali nel contesto della diffusione del Covid-19.

Si veda anche il documento Statement on the processing of personal data in the context of the COVID-19 outbreak, in cui il Comitato precisa che i datori di lavoro possono raccogliere dati personali nel contesto dell'epidemia, nel rispetto delle leggi nazionali.

Il Garante italiano ha fatto da apripista

L’EDPB interviene anche relativamente al trattamento di dati sensibili da parte dei datori di lavoro che “possono elaborare dati personali senza il consenso del soggetto interessato”, in virtù di ragioni di pubblico interesse e salute pubblica, facendo riferimento alle casistiche di deroga alla stessa normativa previste dal GDPR agli articoli 6 e 9. Ma in Italia, dove l’epidemia si è diffusa prima che in altri Paesi europei, il Garante era già intervenuto sul tema della raccolta dati da parte di soggetti pubblici e privati con una comunicazione pubblicata lo scorso 2 marzo, contenente un ammonimento molto chiaro: “no al fai da te”. Una risposta giunta in seguito all’invio di numerosi quesiti da parte di soggetti pubblici e privati in merito alla possibilità di raccogliere informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio.

Le indicazioni del Garante sono state in tal senso inequivocabili: “I datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”. Una posizione ribadita, con rispondenze testuali quasi letterali, anche dalla Commissione nazionale per la protezione dei dati francese (CNIL) che è intervenuta qualche giorno dopo il Garante italiano (il 6 marzo).

Le indicazioni per le aziende

In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati; permangono altresì i compiti del datore di lavoro relativi alla necessità di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti.

Alcuni spunti dal resto d’Europa

Il proliferare di indicazioni rivolte a soggetti pubblici e privati riguarda anche agli altri Stati dell’UE e ci consente un’interessante confronto europeo che fa dialogare tra loro i diversi “Garanti” nazionali. Attingendo alle risorse online messe a disposizione da un gruppo di ricerca interdisciplinare della Vrije Universiteit Brussel, un’università di lingua olandese che ha sede a Bruxelles, ho potuto confrontare le dichiarazioni delle Autorità per la privacy di singoli Stati membri. Di seguito, riporto alcuni spunti che ho trovato interessanti:

Irlanda

Partiamo da un Paese particolarmente rilevante in questa analisi, l’Irlanda, che ha giurisdizione su molte società della Silicon Valley e quindi su multinazionali che processano enormi quantità di dati. Il Commissario per la protezione dei dati irlandese ha dichiarato che “le autorità sanitarie” potrebbero essere in grado di divulgare dati personali "per proteggere da gravi minacce alla salute pubblica". Fonte: Data Protection and COVID-19 (6 marzo 2020).

Regno Unito

L'Ufficio del Commissario per le informazioni britannico, facendo riferimento al Data protection Act del 2018 con cui il Regno Unito ha integrato il Regolamento europeo GDPR, dichiara che la legge:

non può fermare il governo, il sistema sanitario nazionale o altri professionisti sanitari dall’inviare messaggi di salute pubblica alle persone, sul cellulare, attraverso sms o via email se non si tratta di marketing. Né può fermare l’uso delle ultime tecnologie per agevolare la sicurezza o diagnosi veloci. Le istituzioni pubbliche potrebbero inoltre richiedere una raccolta aggiuntiva di dati personali per proteggere contro serie minacce alla salute pubblica”.

Svizzera

Il Commissario per la protezione dei dati chiarisce un aspetto da non sottovalutare nell’emergenza: il carattere transitorio e di straordinarietà di tutti i provvedimenti relativi al trattamento di dati sensibili: “Alla fine, nel momento in cui la pandemia cesserà di esistere, questi dati dovranno essere del tutto eliminati”, si legge sul sito web federale.

Spagna

Le limitazioni al trattamento sono esplicitate anche dall’Agenzia spagnola di protezione dei dati che anche in caso di emergenza ribadisce la validità di alcuni principi base: “trasparenza, limitazione della finalità, accuratezza, minimizzazione”.

Lussemburgo

La Commissione lussemburghese per la protezione dei dati personali dà indicazioni ai soggetti pubblici e privati coinvolti nel trattamento di dati di salute relativi al coronavirus di rispettare il diritto alla privacy: “l'identità delle persone interessate non deve essere divulgata a terzi o ai loro colleghi senza una chiara giustificazione”. Ma si riserva di pronunciarsi diversamente in caso dell’aggravarsi della situazione nel Paese. Ed è proprio questa riserva che ci dà la misura dell’incertezza del momento in cui viviamo e della necessità di riadattare costantemente le norme in base alle priorità di salute, ma stando attenti sempre ad agire, come scrive il Garante italiano, “nella logica del diritto e non dell'arbitrio o del "governo dell'emozione".

Franco Narducci
Head of Legal Affairs and DPO presso Italiassistenza spa