Pubbl. Dom, 29 Mar 2020
Covid-19: piano emergenziale e tutela dei dati sensibili.
Modifica paginaBreve commento a cura degli autori Antonio Allocca e Carlo Conte sulle misure adottate per la raccolta dei dati sensibili e del loro trattamento in situazione emergenziale.
In tema di emergenza sanitaria e trattamento dei dati sensibili, va anzitutto analizzato il ruolo e la portata che esse rivestono nelle situazioni emergenziali. L’OMS ha qualificato l’epidemia da Covid-19 quale pandemia, la quale altro non è che la più temuta emergenza potenziale internazionale in tema di salute pubblica.
Sul trattamento dei dati sensibili, le indicazioni offerte dal commento al Regolamento UE 2016/679[1] elaborato da Douwe Korff e Marie Georges per il programma “T4DATA” finanziato dall’UE, è fatto espresso richiamo alle situazioni emergenziali quali le epidemie e si impone il ricorso non alla direttiva europea in tema di data protection, bensì al Regolamento (UE) 2016/679[2] del Parlamento europeo e del Consiglio del 27 aprile 2016. Infatti, è proprio il riferimento al Considerando 46 a liberare il punto da ogni nube o dubbio interpretativo[3]. Inoltre, il medesimo Considerando 46 amplia ulteriormente l’ambito applicativo del trattamento dei dati sensibili anche nel caso in cui sia necessario tenere “sotto controllo l'evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana”.
È indubbio che il quadro normativo non sia in grado di fugare tutti i dubbi, soprattutto se il focus si sposta sul trattamento dei dati sensibili applicati agli spostamenti dei consociati. Il modello coreano, ad esempio, ancora lascia dubbi e perplessità ingenti tra chi, come noi, ha visto l’entrata in vigore delle norme e dei regolamenti in tema di data protection come uno spiraglio di luce alla fine di un lunghissimo tunnel fatto di abuso di posizione dei gestori degli stessi.
Fino a che punto si può comprimere un diritto così giovane e in continua espansione, se c’è da affrontare una pandemia e, quindi, un rischio senza confini nazionali?
Proprio la qualifica di pericolo transfrontaliero pone i primi grandi interrogativi, soprattutto se in gioco c’è la popolazione mondiale e la salute pubblica potenzialmente di oltre sette miliardi di persone. Del resto, esistono già misure efficaci ed effettive di protezione dei dati sensibili in ambito giuslavoristico come, ad esempio, la valutazione che il datore di lavoro deve effettuare tra la indispensabilità del trattamento dei dati e il ricorso ad altre misure di contenimento del virus, come la turnazione dei propri dipendenti, o il ricorso a squadre che si alternano nei locali di lavoro. A mancare è una disposizione normativa in tema di tracciamento degli spostamenti, come si vedrà in seguito.
Il monito ai datori di lavoro affinché si astengano dal raccoglie a priori i dati in sfere extra-lavorative e su salute quando non necessario ai fini della tutela della sicurezza sui luoghi di lavoro si comprime nei casi di rilevazione della temperatura e nel caso in cui si richiedano informazioni sugli spostamenti da e per le zone maggiormente colpite dalla pandemia. Il comma 1 dell’art. 1 del D.lgs 1/2018 [4]e DPCM 14/03/2020[5], infatti, prevede l’accertamento dei sintomi tipici e la raccolta di informazioni circa gli spostamenti e li affida agli operatori sanitari o alla protezione civile. L’obbligo del lavoratore è segnalare eventuali situazioni di pericolo. La posizione del Garante è aderente a tali disposizioni, almeno fino al 02.03.2020[6]. V’è di più, infatti, è fatto espresso divieto di proattività del datore e del lavoratore, essendo sufficiente che il primo fornisca informazioni e direttive e che il secondo si adegui e le rispetti.
Circa i dati oggetto di raccolta come il transito o la permanenza aree a rischio nei 14 giorni precedenti (ora non più necessario, essendo stata allargata all’intero territorio nazionale il medesimo protocollo di contenimento pandemico), ovvero i dati relativi a sintomi influenzali (non la mera rilevazione della temperatura corporea all’ingresso e all’uscita dai locali, bensì la richiesta e raccolta di dati circa altri sintomi tipici del Covid-19). Come si considerano questi dati sensibili?
L’Autorità Garante Norvegese[7], ad esempio, ritiene che l’avvenuto contagio e la sua rilevazione costituiscano dato sanitario (positività al tampone); che l’info circa provenienza o transito da zona rossa non sia dato sanitario e non si applichi al dato relativo alla salute, quindi è liberamente trattabile e non sensibile.
L’informazione relativa alla quarantena, purché non indichi anche il luogo di permanenza, non è dato sanitario; al contrario, i dati relativi alla temperatura corporea, i sintomi e i ricoveri (per positività o negatività al tampone), così come gli esiti dei tamponi sono tutti dati relativi a salute e trattati secondo RGPD.
Le posizioni della Autorità Garanti europee sono, però diverse. In altri Stati, invece, non si considera trattamento dei dati personali il rilevamento della temperatura corporea e lo considera escluso dall’applicazione dei regolamenti in tema di protezione dei dati. Si potrebbe eccepire che esso è efficace nel caso di esito negativo della rilevazione ma, in caso di esito positivo, non potrebbe giungersi alle medesime considerazioni. Infatti, qualora la temperatura superasse il limite di 37.5° C essa sarebbe oggetto di attenzione e inserimento nei terminali medico-sanitari d’impresa, pertanto costituirebbe oggetto di trattamento dei dati sensibili.
Circa la possibilità di tracciare, mediante GPS, la posizione e gli spostamenti dei consociati (o di una parte di essi), il vero interrogativo da porsi è quanto e in che modo comprimere i loro diritti, al fine di fronteggiare la pandemia; inoltre, bisognerebbe chiedersi a quali categorie di consociati andrebbe applicata la misura di tracciamento e in quali termini. Insomma, applicarla a tutti i consociati pare eccessivo, applicarla ai positivi asintomatici sarebbe riduttivo e bisognerebbe estendere tali misure ai contatti di ogni singolo consociato positivo. Ricordiamo a noi stessi l’esperienza coreana del 2015 e il programma di sorveglianza attivato contro la MERS.
Un medico, dopo aver contratto il virus in Cina, aveva partecipato a un convegno con millecinquecento altri colleghi. Lui fu tracciato al pari degli altri millecinquecento e si finì per porre sotto osservazione tra le sedici e le diciassette mila persone. I soggetti in quarantena non erano stati sottoposti ad alcun test, fu la mera circostanza di possibile contagio a giustificare la quarantena e l tracciamento di quei soggetti.
È, pertanto, doveroso, necessario e quantomai impellente l’intervento legislativo sul punto, anche con misure emergenziali e transitorie, affinché possa fronteggiarsi in maniera quantomai efficace e aggressiva il contagio. Il modello adottato dalla Corea del Sud è tutt’altro che privo di rischi e non andrebbe applicato senza i necessari rilievi sanitari e andrebbe sottoposto a mitigazione delle misure.
Tuttavia, in un sistema piramidale tutti i fattori si moltiplicano esponenzialmente (come avviene per la riproduzione cellulare) e, arginare e tracciare solo i soggetti positivi (sintomatici e non), non basterebbe. Inoltre, il tracciamento dei dati relativi agli spostamenti senza il consenso è una misura non presente in nessuna delle disposizioni in tema di data protection, seppur sarebbe sufficiente il consenso degli aventi diritto per il trattamento dei dati oggetto dell’attenzione (ma non sarebbe comunque superato il problema di come tale gestione andrebbe effettuata).
Insomma, il consenso è sufficiente per la raccolta dei dati ma ciò non assicura la corretta elaborazione. Ancor più difficile sarebbe ammettere, allo stato degli atti e delle rilevanze normative, una gestione dei dati di cui non si è autorizzato il trattamento e, per i quali, un intervento (seppur emergenziale) è senz’altro auspicabile in tempi brevissimi.
Oggi ci dovremmo chiedere se, in uno stato di emergenza come quello che stiamo vivendo, è giusto abdicare le libertà individuali in favore della salvaguardia della salute pubblica?
Ancora, qualora si decidesse di prendere in considerazione il modello coreano sarebbe fondamentale, innanzitutto, che si realizzasse una norma chiara in continuità con la direttiva europea “e-privacy”, la quale deroga il consenso dell’interessato, solamente se la rilevazione dei dati avvenga in forma anonima. Ma è opportuno, prendere in considerazione un tema, sul quale si è aperto un dibattito politico nella Regione Lombardia, ovvero la possibilità mediante l’uso della tecnologia di riuscire a monitorare gli spostamenti dei cittadini milanesi non solo, al fine di diminuire i contagi da covid-19, dal momento che si potrebbero definire i percorsi dai soggetti e qualora avessero incontrato soggetti positivi nel loro percorso, vengono posti in quarantena, o addirittura sanzionati qualora non avessero rispettato la quarantena obbligatoria, alla quale erano costretti.
Orbene, è anche importante sottolineare che tale decisione, però, avviene in un periodo di emergenza, in cui vi è sostanzialmente una deroga al funzionamento democratico, difatti a decidere sul da farsi sono le figure apicali, ovvero Presidente del Consiglio dei Ministri e Presidenti di Regione. Alla luce di ciò, bisogna anche evidenziare come il nostro sistema rappresentativo era già in difficoltà ancor prima dell’emergenza coronavirus, in quanto i corpi intermedi sono decisamente deboli - non svolgendo la funzione di raccordo tra istituzioni e popolo, come avveniva con i partiti di massa -, tanto da poter influenzare ed orientare il dibattito.
Si segnala, inoltre il più recente intervento dell’Autorità Garante italiana a proposito delle scelte da effettuare in tema di trattamento dati e rilevazione della posizione dei consociati[8] A fortiori i cittadini dovrebbero essere resi protagonisti e partecipi di una decisione così delicata e fondamentale sulle libertà individuali di ognuno di noi.
È davvero necessario un intervento.
Note e riferimenti bibliografici
[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 “Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del Regolamento generale sulla protezione dei dati dell’Unione Europea” Manuale RPD Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del Regolamento generale sulla protezione dei dati dell’Unione Europea (Regolamento (UE) 2016/679) Elaborato per il programma “T4DATA” finanziato dall’UE (Accordo di sovvenzione n°: 769100—T4DATA—REC-DATA-2016/REC-DATA-2016-01); https://www.garanteprivacy.it
[2] Regolamento Generale Sulla Protezione Dei Dati Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016; https://www.garanteprivacy.it/
[3] In particolare, nella parte in cui esso prevede che “Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell'interessato o di un'altra persona fisica”.
[4] https://www.gazzettaufficiale.it
[6] “Coronavirus: Garante Privacy, no a iniziative "fai da te" nella raccolta dei dati” https://www.garanteprivacy.it/
[7] https://www.datatilsynet.no/
[8] "Sì alla tecnologia per monitorare l’espansione del contagio ma con norme trasparenti" - Intervista a Giuseppe Busia in https://www.garanteprivacy.it/