The Italian Data Protection Authority against ENI: multimillion-dollar fine

Following the emergency measures adopted by the Italian Government as a consequence of the recent spread of the COVID-19 virus (known to most as “coronavirus“) in Italy and the consequent state of agitation among the public, the Italian Data Protection Authority issued a specific statement inviting public and private entities to comply with the procedures put in place by the competent authorities for the prevention and containment of the epidemic, avoiding the implementation of uncoordinated and unhelpful initiatives that could potentially violate the right to confidentiality of the data subjects concerned.

IL FATTO:

Con il comunicato stampa del 2 marzo 2020 il Garante ha espresso le proprie considerazioni in merito alle iniziative poste in essere in autonomia da società ed enti pubblici e privati al fine di gestire l’emergenza connessa al diffondersi del Coronavirus.

Il comunicato si è reso necessario a seguito della ricezione da parte dell’Autorità di numerosi quesiti aventi ad oggetto la possibilità di raccogliere da dipendenti, clienti e semplici visitatori, con le modalità più diverse, “informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti”, come misura di prevenzione dal contagio.

Il Garante ha in primo luogo invitato i soggetti coinvolti a riporre fiducia nelle istituzioni, attenendosi in maniera scrupolosa le regole di sanità pubblica implementate dall’esecutivo (ad es. l’obbligo di segnalazione da parte del datore di lavoro delle situazioni di pericolo per la salute e la sicurezza sui luoghi di lavoro) e confermando il ruolo centrale nella gestione dell’emergenza del Ministero della Salute.

Dall’altro lato, l’Autorità ha ammonito il pubblico dal sostituirsi alle autorità competenti adottando – in totale autonomia ed in assenza di coordinamento con le istituzioni – iniziative tese alla raccolta di dati relativi alla salute di dubbia liceità ai sensi della vigente normativa in materia di protezione dei dati personali. In particolare, il comunicato esorta senza mezzi termini i datori di lavoro ad “astenersi dal raccogliere, a priori e in modo sistematico e generalizzato […] informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”.

PERCHÉ È IMPORTANTE:

Il Garante con il comunicato in oggetto ha inteso perseguire due diversi scopi. Il primo, di carattere istituzionale, consiste nel consolidare il ruolo dell’esecutivo e degli operatori sanitari in un momento di crisi, intimando al pubblico il rispetto della normativa d’urgenza e supportando gli interessati nell’identificare in maniera chiara gli interlocutori di riferimento in connessione al coronavirus. Il secondo, proprio del compito di vigilanza e prevenzione assegnato all’Autorità, è quello di evitare che nel (comprensibile) intento di reagire al fenomeno, i titolari del trattamento si sentano autorizzati a porre in essere trattamenti di dati personali che mettano a repentaglio il diritto alla privacy degli individui.

Se da un lato non può essere messa in discussione l’utilità di adottare provvedimenti interni a carattere eccezionale, quali ad esempio l’avvio di campagne informative relative al virus, l’adozione di buone prassi e linee guida in materia di prevenzione ed igiene, il blocco delle trasferte verso le aree a rischio, la pubblicazione degli obblighi imposti dalle autorità e il ricorso al telelavoro (il c.d. “smart working”), dall’altro prassi quali la richiesta sistematica e generalizzata a dipendenti e clienti di autocertificazioni in ordine all’assenza di sintomi influenzali e/o agli spostamenti effettuati possono porsi in contrasto con i principi di proporzionalità e riservatezza del trattamento e devono pertanto essere oggetto di una attenta valutazione da parte dei titolari, anche ricorrendo al supporto di professionisti esperti in materia.

Tralasciando l’eventuale necessità di procedere a idonea informativa degli interessati coinvolti, ricordiamo in particolare l’esigenza di individuare con attenzione la base giuridica di tali trattamenti, nonché – in caso di trattamento di dati relativi alla salute – un’eccezione per il trattamento di categorie particolari di dati personali che, nel caso di specie, difficilmente potrà essere diversa dal consenso dell’interessato. Particolarmente a rischio sarà poi il trattamento di dati dei propri dipendenti, da sempre considerati una categoria di interessati particolarmente vulnerabile e per questo motivo oggetto di un grado di protezione più elevato da parte della vigente normativa.

IL FATTO:

Con il comunicato stampa del 2 marzo 2020 il Garante ha espresso le proprie considerazioni in merito alle iniziative poste in essere in autonomia da società ed enti pubblici e privati al fine di gestire l’emergenza connessa al diffondersi del Coronavirus.

Il comunicato si è reso necessario a seguito della ricezione da parte dell’Autorità di numerosi quesiti aventi ad oggetto la possibilità di raccogliere da dipendenti, clienti e semplici visitatori, con le modalità più diverse, “informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti”, come misura di prevenzione dal contagio.

Il Garante ha in primo luogo invitato i soggetti coinvolti a riporre fiducia nelle istituzioni, attenendosi in maniera scrupolosa le regole di sanità pubblica implementate dall’esecutivo (ad es. l’obbligo di segnalazione da parte del datore di lavoro delle situazioni di pericolo per la salute e la sicurezza sui luoghi di lavoro) e confermando il ruolo centrale nella gestione dell’emergenza del Ministero della Salute.

Dall’altro lato, l’Autorità ha ammonito il pubblico dal sostituirsi alle autorità competenti adottando – in totale autonomia ed in assenza di coordinamento con le istituzioni – iniziative tese alla raccolta di dati relativi alla salute di dubbia liceità ai sensi della vigente normativa in materia di protezione dei dati personali. In particolare, il comunicato esorta senza mezzi termini i datori di lavoro ad “astenersi dal raccogliere, a priori e in modo sistematico e generalizzato […] informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”.

PERCHÉ È IMPORTANTE:

Il Garante con il comunicato in oggetto ha inteso perseguire due diversi scopi. Il primo, di carattere istituzionale, consiste nel consolidare il ruolo dell’esecutivo e degli operatori sanitari in un momento di crisi, intimando al pubblico il rispetto della normativa d’urgenza e supportando gli interessati nell’identificare in maniera chiara gli interlocutori di riferimento in connessione al coronavirus. Il secondo, proprio del compito di vigilanza e prevenzione assegnato all’Autorità, è quello di evitare che nel (comprensibile) intento di reagire al fenomeno, i titolari del trattamento si sentano autorizzati a porre in essere trattamenti di dati personali che mettano a repentaglio il diritto alla privacy degli individui.

Se da un lato non può essere messa in discussione l’utilità di adottare provvedimenti interni a carattere eccezionale, quali ad esempio l’avvio di campagne informative relative al virus, l’adozione di buone prassi e linee guida in materia di prevenzione ed igiene, il blocco delle trasferte verso le aree a rischio, la pubblicazione degli obblighi imposti dalle autorità e il ricorso al telelavoro (il c.d. “smart working”), dall’altro prassi quali la richiesta sistematica e generalizzata a dipendenti e clienti di autocertificazioni in ordine all’assenza di sintomi influenzali e/o agli spostamenti effettuati possono porsi in contrasto con i principi di proporzionalità e riservatezza del trattamento e devono pertanto essere oggetto di una attenta valutazione da parte dei titolari, anche ricorrendo al supporto di professionisti esperti in materia.

Tralasciando l’eventuale necessità di procedere a idonea informativa degli interessati coinvolti, ricordiamo in particolare l’esigenza di individuare con attenzione la base giuridica di tali trattamenti, nonché – in caso di trattamento di dati relativi alla salute – un’eccezione per il trattamento di categorie particolari di dati personali che, nel caso di specie, difficilmente potrà essere diversa dal consenso dell’interessato. Particolarmente a rischio sarà poi il trattamento di dati dei propri dipendenti, da sempre considerati una categoria di interessati particolarmente vulnerabile e per questo motivo oggetto di un grado di protezione più elevato da parte della vigente normativa.

No Comments
Leave a Reply