La Privacy ai tempi del COVID
Massimo Montanile
Molti si pongono giustamente domande sul bilanciamento tra privacy e salute. In estrema sintesi i diritti di tutela dei dati personali recedono rispetto a quelli della salute pubblica e del singolo cittadino. Ciò è contemplato nell’impostazione del diritto europeo. Tuttavia, una volta stabilita la liceità di un trattamento alla luce di questa considerazione, resta in piedi l’obbligo del rispetto del GDPR che ovviamente non viene abolito…. questo è un punto importante. Con ciò che ne consegue in termini di liceità dei trattamenti, informativa, misure di sicurezza da adottare.
Il legislatore nel 2016 aveva concesso due anni alle organizzazioni perché si adeguassero. Sappiamo che molti hanno sprecato questo tempo. Oggi purtroppo non tutti sono in grado di mettere in piedi le misure di sicurezza necessarie per proteggere i delicati dati raccolti con questi trattamenti particolarmente invasivi ma necessari (georeferenziazione, rilevazione della temperatura corporea dei lavoratori all’accesso ecc…).
In concreto in Italia lo scorso 14 marzo è stato siglato il Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro.
Il Protocollo è stato sottoscritto su invito del Presidente del Consiglio dei ministri, del Ministro dell’economia, del Ministro del lavoro e delle politiche sociali, del Ministro dello sviluppo economico e del Ministro della salute, che hanno promosso l’incontro tra le parti sociali, in attuazione della misura, contenuta all’articolo 1, comma primo, numero 9), del decreto del Presidente del Consiglio dei ministri 11 marzo 2020, che – in relazione alle attività professionali e alle attività produttive – raccomanda intese tra organizzazioni datoriali e sindacali.
Dal canto suo il Governo favorisce, per quanto di sua competenza, la piena attuazione del Protocollo.
In particolare, la rilevazione in tempo reale della temperatura corporea è ammessa da parte del datore di lavoro ma, poiché costituisce un trattamento di una categoria particolare di dati personali, deve avvenire ai sensi della disciplina privacy vigente (Regolamento UE 2016/679 – GDPR).
La base giuridica che rende lecito questo trattamento altrimenti vietato tuttavia non risiede nel legittimo interesse del titolare, ma va ricercata nelle misure di sicurezza anti-contagio COVID-19, ai sensi del DPCM 11 marzo 2020.
Non è contemplata invece la possibilità di utilizzare i dati di georeferenziazione (misura richiesta dal Governo israeliano) che, se dovessero essere ammessi in Europa, potranno essere adoperati esclusivamente a livello centrale. E comunque nel rispetto del GDPR. Non sarebbero utili e sostenibili iniziative in tal senso da parte del singolo titolare.
Come ricorda il Garante Privacy italiano A. Soro, “I diritti possono, in contesti emergenziali, subire limitazioni anche incisive, ma queste devono essere proporzionali alle esigenze specifiche e temporalmente limitate”.
Per approfondire si rimanda a:
- Soro, http://www.ansa.it/sito/notizie/topnews/2020/03/17/soro-si-alle-misure-anticoronavirus-ma-si-rispettino-i-diritti_837282ce-a26d-465e-9128-c8e606453cf0.html
- Luca Bolognini, https://www.cybersecurity360.it/news/coronavirus-bolognini-aziende-in-crisi-sospendiamo-le-sanzioni-gdpr/
- Maria Cupolo, #Maria Cupolo #DPCM 11 marzo 2020 #privacy #coronavirus #COVID19 #securindex formazione
- Rosario Imperiali, https://dptel.imperialida.com/2020/03/decalogo-covid-19/
- Corrado Giustozzi, https://formiche.net/2020/03/dati-sanitari-covid-19-giustozzi/