Facendo seguito ai provvedimenti d’urgenza adottati dal Governo a seguito della recente diffusione nel territorio italiano del virus COVID-19 (noto ai più come “coronavirus”) e del conseguente stato di agitazione diffusosi tra il pubblico, il Garante per la protezione è intervenuto con un apposito comunicato per invitare i soggetti pubblici e privati ad attenersi alle procedure poste in essere dalle Autorità competenti per la prevenzione ed il contenimento dell’epidemia, evitando di porre in essere iniziative scoordinate e prive di concreta utilità potenzialmente in grado di violare il diritto alla riservatezza degli interessati.
IL FATTO:
Con il comunicato stampa del 2 marzo 2020 il Garante ha espresso le proprie considerazioni in merito alle iniziative poste in essere in autonomia da società ed enti pubblici e privati al fine di gestire l’emergenza connessa al diffondersi del Coronavirus.
Il comunicato si è reso necessario a seguito della ricezione da parte dell’Autorità di numerosi quesiti aventi ad oggetto la possibilità di raccogliere da dipendenti, clienti e semplici visitatori, con le modalità più diverse, “informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti”, come misura di prevenzione dal contagio.
Il Garante ha in primo luogo invitato i soggetti coinvolti a riporre fiducia nelle istituzioni, attenendosi in maniera scrupolosa le regole di sanità pubblica implementate dall’esecutivo (ad es. l’obbligo di segnalazione da parte del datore di lavoro delle situazioni di pericolo per la salute e la sicurezza sui luoghi di lavoro) e confermando il ruolo centrale nella gestione dell’emergenza del Ministero della Salute.
Dall’altro lato, l’Autorità ha ammonito il pubblico dal sostituirsi alle autorità competenti adottando – in totale autonomia ed in assenza di coordinamento con le istituzioni – iniziative tese alla raccolta di dati relativi alla salute di dubbia liceità ai sensi della vigente normativa in materia di protezione dei dati personali. In particolare, il comunicato esorta senza mezzi termini i datori di lavoro ad “astenersi dal raccogliere, a priori e in modo sistematico e generalizzato […] informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”.
PERCHÉ È IMPORTANTE:
Il Garante con il comunicato in oggetto ha inteso perseguire due diversi scopi. Il primo, di carattere istituzionale, consiste nel consolidare il ruolo dell’esecutivo e degli operatori sanitari in un momento di crisi, intimando al pubblico il rispetto della normativa d’urgenza e supportando gli interessati nell’identificare in maniera chiara gli interlocutori di riferimento in connessione al coronavirus. Il secondo, proprio del compito di vigilanza e prevenzione assegnato all’Autorità, è quello di evitare che nel (comprensibile) intento di reagire al fenomeno, i titolari del trattamento si sentano autorizzati a porre in essere trattamenti di dati personali che mettano a repentaglio il diritto alla privacy degli individui.
Se da un lato non può essere messa in discussione l’utilità di adottare provvedimenti interni a carattere eccezionale, quali ad esempio l’avvio di campagne informative relative al virus, l’adozione di buone prassi e linee guida in materia di prevenzione ed igiene, il blocco delle trasferte verso le aree a rischio, la pubblicazione degli obblighi imposti dalle autorità e il ricorso al telelavoro (il c.d. “smart working”), dall’altro prassi quali la richiesta sistematica e generalizzata a dipendenti e clienti di autocertificazioni in ordine all’assenza di sintomi influenzali e/o agli spostamenti effettuati possono porsi in contrasto con i principi di proporzionalità e riservatezza del trattamento e devono pertanto essere oggetto di una attenta valutazione da parte dei titolari, anche ricorrendo al supporto di professionisti esperti in materia.
Tralasciando l’eventuale necessità di procedere a idonea informativa degli interessati coinvolti, ricordiamo in particolare l’esigenza di individuare con attenzione la base giuridica di tali trattamenti, nonché – in caso di trattamento di dati relativi alla salute – un’eccezione per il trattamento di categorie particolari di dati personali che, nel caso di specie, difficilmente potrà essere diversa dal consenso dell’interessato. Particolarmente a rischio sarà poi il trattamento di dati dei propri dipendenti, da sempre considerati una categoria di interessati particolarmente vulnerabile e per questo motivo oggetto di un grado di protezione più elevato da parte della vigente normativa.
IL FATTO:
Con il comunicato stampa del 2 marzo 2020 il Garante ha espresso le proprie considerazioni in merito alle iniziative poste in essere in autonomia da società ed enti pubblici e privati al fine di gestire l’emergenza connessa al diffondersi del Coronavirus.
Il comunicato si è reso necessario a seguito della ricezione da parte dell’Autorità di numerosi quesiti aventi ad oggetto la possibilità di raccogliere da dipendenti, clienti e semplici visitatori, con le modalità più diverse, “informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti”, come misura di prevenzione dal contagio.
Il Garante ha in primo luogo invitato i soggetti coinvolti a riporre fiducia nelle istituzioni, attenendosi in maniera scrupolosa le regole di sanità pubblica implementate dall’esecutivo (ad es. l’obbligo di segnalazione da parte del datore di lavoro delle situazioni di pericolo per la salute e la sicurezza sui luoghi di lavoro) e confermando il ruolo centrale nella gestione dell’emergenza del Ministero della Salute.
Dall’altro lato, l’Autorità ha ammonito il pubblico dal sostituirsi alle autorità competenti adottando – in totale autonomia ed in assenza di coordinamento con le istituzioni – iniziative tese alla raccolta di dati relativi alla salute di dubbia liceità ai sensi della vigente normativa in materia di protezione dei dati personali. In particolare, il comunicato esorta senza mezzi termini i datori di lavoro ad “astenersi dal raccogliere, a priori e in modo sistematico e generalizzato […] informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”.
PERCHÉ È IMPORTANTE:
Il Garante con il comunicato in oggetto ha inteso perseguire due diversi scopi. Il primo, di carattere istituzionale, consiste nel consolidare il ruolo dell’esecutivo e degli operatori sanitari in un momento di crisi, intimando al pubblico il rispetto della normativa d’urgenza e supportando gli interessati nell’identificare in maniera chiara gli interlocutori di riferimento in connessione al coronavirus. Il secondo, proprio del compito di vigilanza e prevenzione assegnato all’Autorità, è quello di evitare che nel (comprensibile) intento di reagire al fenomeno, i titolari del trattamento si sentano autorizzati a porre in essere trattamenti di dati personali che mettano a repentaglio il diritto alla privacy degli individui.
Se da un lato non può essere messa in discussione l’utilità di adottare provvedimenti interni a carattere eccezionale, quali ad esempio l’avvio di campagne informative relative al virus, l’adozione di buone prassi e linee guida in materia di prevenzione ed igiene, il blocco delle trasferte verso le aree a rischio, la pubblicazione degli obblighi imposti dalle autorità e il ricorso al telelavoro (il c.d. “smart working”), dall’altro prassi quali la richiesta sistematica e generalizzata a dipendenti e clienti di autocertificazioni in ordine all’assenza di sintomi influenzali e/o agli spostamenti effettuati possono porsi in contrasto con i principi di proporzionalità e riservatezza del trattamento e devono pertanto essere oggetto di una attenta valutazione da parte dei titolari, anche ricorrendo al supporto di professionisti esperti in materia.
Tralasciando l’eventuale necessità di procedere a idonea informativa degli interessati coinvolti, ricordiamo in particolare l’esigenza di individuare con attenzione la base giuridica di tali trattamenti, nonché – in caso di trattamento di dati relativi alla salute – un’eccezione per il trattamento di categorie particolari di dati personali che, nel caso di specie, difficilmente potrà essere diversa dal consenso dell’interessato. Particolarmente a rischio sarà poi il trattamento di dati dei propri dipendenti, da sempre considerati una categoria di interessati particolarmente vulnerabile e per questo motivo oggetto di un grado di protezione più elevato da parte della vigente normativa.
No Comments