Il delicato bilanciamento tra diritto alla privacy e diritto alla salute nell’attuale contesto emergenziale

L’articolo, attraverso una disamina della normativa in materia di protezione dei dati personali e dei provvedimenti di urgenza emanati per contenere l’emergenza in atto, si propone di riflettere sul bilanciamento dei diritti in gioco e sulla consapevolezza che la prevalenza di un diritto rispetto all’altro non comporta una totale e irragionevole compressione del diritto ritenuto cedevole.

La recente e repentina diffusione in Italia del Coronavirus ha portato il Governo ad emanare molteplici provvedimenti emergenziali, da cui sono scaturiti nuovi obblighi e limitazioni, nell’ambito di una situazione temporanea e derogatoria rispetto alla disciplina ordinaria.

Tali scelte di natura emergenziale sono state condotte secondo logiche di bilanciamento tra i vari diritti in gioco e riflessioni sulla prevalenza o cedevolezza di determinate normative rispetto ad altre.

Le libertà e i diritti in gioco (libertà di circolazione, di associazione, d’impresa, diritti dei lavoratori, diritto alla protezione dei dati personali), infatti, sono cedevoli rispetto alla tutela della salute, dichiarata all’art. 32 della Costituzione come fondamentale diritto dell’individuo e interesse della collettività. Nel presente articolo ci focalizzeremo in particolare sul bilanciamento tra privacy e diritto alla salute.

È ben noto che il diritto alla salute deve essere garantito anche nell’ambiente di lavoro. Non a caso, l’esigenza di contemperare la protezione dei dati personali con la tutela della salute ha generato divergenze e difficoltà interpretative e applicative soprattutto negli ambienti di lavoro, con particolare riguardo alla gestione dei rapporti con dipendenti, fornitori, utenti o visitatori da parte di aziende o enti. Tale situazione di incertezza ha richiesto, in data 2 marzo 2020, un intervento chiarificatore del Garante per la protezione dei dati personali: i datori di lavoro devono “astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa”, in quanto tali finalità devo essere perseguite e realizzate dai soli soggetti a ciò istituzionalmente e qualificatamente incaricati nell’ambito del settore sanitario e della protezione civile. Il successivo Protocollo condiviso di regolamentazione del 14 marzo 2020 sembra aver allargato l’ambito d’azione, tuttavia, come vedremo di seguito, sarà opportuno leggerlo ed applicarlo in maniera combinata e integrata con le indicazioni del Garante del 2 marzo e con i principi generali in materia di protezione dei dati personali, specie la minimizzazione (riferita sia alla quantità e tipologia dei dati raccolti che alla loro conservazione) e il principio di necessità e adeguatezza alle finalità perseguite.

Lo stato di confusione, anche al di fuori dei confini nazionali, ha richiesto altresì l’intervento del Comitato europeo (EDPB) che ha emesso in data 16 marzo una propria dichiarazione al riguardo ed una successiva guida. L’EDPB ha ribadito che le norme sulla protezione dei dati personali non ostacolano le misure implementate nella lotta alla diffusione della pandemia e che la base giuridica che permette ad aziende e autorità di raccogliere dati personali necessari e pertinenti non è il consenso dell’interessato, bensì i motivi di interesse pubblico nel settore della sanità pubblica, la tutela di un interesse vitale (artt. 6 e 9 del GDPR) o l’osservanza di un obbligo di legge.

Il datore di lavoro è tenuto all’osservanza delle previsioni di cui al DL 81/08 e all’art. 2087 c.c., adottando nell’esercizio dell’impresa le misure necessarie a tutelare l’integrità fisica e la personalità morale dei lavoratori. Pertanto un’interpretazione estensiva dell’art. 2087 consentirebbe al datore di lavoro di adottare misure volte a presidiare l’attuale rischio per il diritto alla salute, prevalente sul diritto alla protezione dei dati personali: muovendo da questo assunto, anche la rilevazione della temperatura, effettuata con particolari precauzione e modalità di riserbo che analizzeremo a breve, potrebbe essere una misura adeguata ai sensi dell’art. 2087.

Operare un bilanciamento richiede, tuttavia, l’adozione di comportamenti e adempimenti che assicurino, per quanto possibile, anche l’aderenza alle previsioni normative risultate cedevoli. Per questo i titolari del trattamento saranno chiamati ad adeguare la propria documentazione privacy, le misure di sicurezza adottate, nonché gli ulteriori adempimenti richiesti dalla normativa. Sarà necessario valutare la resa di informative ad hoc o integrare quelle già esistenti; attenzionare in particolar modo la retention dei dati raccolti nel contesto emergenziale; qualora il trattamento dati in siffatto contesto comporti l’esecuzione di nuove operazioni occorrerà aggiornare il registro dei trattamenti ed eventualmente effettuare valutazioni di impatto; andranno implementate misure di sicurezza adeguate ai trattamenti effettuati; potrà essere necessario implementare le infrastrutture IT (soprattutto nei casi in cui il ricorso allo smart working ne abbia causato un affaticamento) e rivedere i contratti con i fornitori  (responsabili esterni), ricordando in tutti i casi precedentemente elencati di coinvolgere, ove necessario, il DPO.

Tornando alla rilevazione della temperatura corporea in tempo reale sarà necessario che il dato acquisito non venga aggregato ad altri o utilizzato per effettuare operazioni di mappatura, ma sia per l’esclusiva finalità di valutazione dell’ammissione o non ammissione nell’ambiente di lavoro, tenendo conto che il dato andrà registrato solo in caso di temperatura superiore ai 37,5°C, diversamente dovrà essere immediatamente distrutto. I dati dovranno essere trattati per le sole finalità necessarie alla prevenzione e al contenimento dell’emergenza in corso, comunicati ai soli enti/autorità istituzionalmente preposti alla gestione dell’emergenza sanitaria in atto e conservati fino alla cessazione dello stato di emergenza (in tema di data retention si segnala che l’ordinanza del Ministero della Salute del 21 febbraio 2020 raccomanda di distruggere la documentazione e le informazioni acquisite nella gestione dell’emergenza trascorsi sessanta giorni dalla raccolta, ove non pertinenti a casi sospetti).  La rilevazione della temperatura può essere effettuata anche da personale interno dell’azienda, purché specificamente autorizzato e soggetto ad istruzioni impartite ai sensi dell’art. 29 del GDPR. All’interessato dovrà essere resa l’informativa privacy, indicando come base giuridica la necessità di ottemperare al DPCM 11/3/2020 e ai protocolli anti-contagio, nonché tutte le ulteriori specifiche informazioni circa finalità e modalità del trattamento. Tale informativa può essere resa nella modalità di integrazione/supplemento della complessiva informativa privacy relativa al trattamento dei dati nell’ambito dei rapporti di lavoro e collaborazione.

Per quanto concerne l’accesso ai luoghi di lavoro il Protocollo prevede le modalità di accesso in azienda sia per i lavoratori sia per fornitori. I luoghi di lavoro rappresentano spazi privati con riferimento ai quali il datore di lavoro può a disporre le misure ritenute più idonee a garantire la sicurezza e la salute dei dipendenti e dei soggetti tutti che vi transitano. L’attuale situazione di emergenza necessita di una pronta e adeguata gestione delle persone che accedono ai locali aziendali, il tutto inserito nell’ambito delle procedure di controllo degli accessi già in vigore in azienda.

In caso di richiesta di attestazione circa la provenienza da zone a rischio epidemiologico e l’assenza di contatti con soggetti positivi, negli ultimi 14 giorni, è bene astenersi dal richiedere informazioni aggiuntive sulla persona risultata positiva ed in merito alle specificità dei luoghi di permanenza.

Sarebbe opportuno che la raccolta di queste informazioni sia sollecitata ai lavoratori nella forma di autodichiarazione di non essere un pericolo per la salute e la sicurezza del luogo di lavoro (complementare all’obbligo, in capo ai lavoratori di cui all’art. 20 lett.e) del DL 81/08). Anche in questo caso sarà poi necessario osservare particolari accorgimenti per la tutela dei dati personali: la raccolta deve avvenire attraverso canali dedicati e ad opera di personale autorizzato; tali informazioni avente carattere eccezionale non possono essere aggregate ai database già presenti in azienda e deputati all’ordinaria gestione del rapporto di lavoro, ma devono essere conservate in un apposito repository che, una volta superata l’emergenza, dovrà essere limitato nell’uso e impiegato solo nell’eventuale esigenza di rendicontare e comprovare le azioni poste in essere nella gestione della crisi.

Con riferimento, invece, alla collaborazione con le Autorità e all’interscambio di informazioni, l’art. 14 del DL 9 marzo 2020, n. 14 legittima ed estende gli ambiti di trattamento di dati personali (compresa la comunicazione) anche sanitari e giudiziari, da parte dei soggetti tassativamente elencati nel comma 1 (in primis Protezione strutture sanitarie). Al comma 2, tuttavia, è previsto che tale comunicazione dei dati personali a soggetti pubblici e privati diversi di quelli di cui al comma 1, può essere effettuata se indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza in atto (ad es. per la ricostruzione della mappa di un possibile contagio). Le previsioni di cui al su menzionato decreto rappresentano la base giuridica su cui fondare la comunicazione di dati personali strettamente necessarie alla gestione dell’emergenza COVID-19. Tuttavia l’ipotesi di una comunicazione alle istituzioni di dati del dipendente da parte del proprio datore di lavoro va considerata come residuale, nel caso in cui l’interessato sia impossibilitato a fornirle direttamente e sussistano le condizioni di necessità e pertinenza. Discorso nettamente diverso nel caso di condivisione e scambio dei dati personali dei dipendenti con i partner commerciali: le aziende dovranno individuare scrupolosamente la base giuridica a fondamento di questa comunicazione, in assenza della quale, la condivisione di informazioni risulterebbe illegittima.

Resta fermo ad ogni modo il rispetto dei principi generali in materia di trattamento dei dati personali di cui all’art. 5 del GDPR, in particolare la minimizzazione e limitazione della conservazione. Tant’è vero che al termine dello stato di emergenza, il decreto prescrive che dovranno essere adottate misure idonee a ricondurre i trattamenti effettuati nel contesto dell’emergenza all’ambito delle ordinarie competenze e regole che disciplinano il trattamento dei dati personali.

Giova ricordare, infatti, che alla fine di questo periodo emergenziale – che ci auguriamo sia il più vicino possibile – le imprese e gli enti potrebbero essere chiamati a dimostrare, anche su base documentale, che le decisioni prese e i trattamenti effettuati siano conformi ai principi di cui all’art. 5, compresa l’accountability.

Quadro normativo di riferimento

  • Regolamento UE 679/2016 (GDPR), normativa italiana di adeguamento in materia di protezione dei dati personali e provvedimenti dell’Autorità applicabili.
  • Comunicato stampa del Garante Privacy “Coronavirus: no a iniziative “fai da te” nella raccolta dei dati” del 2 marzo 2020
  • Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak
  • Statuto dei Lavoratori, Legge 300/70 e s.m.i. e D.L. 81/08
  • Ordinanza del Ministero della Salute del 21 febbraio 2020
  • Decretazione di urgenza in materia di gestione dell’emergenza epidemiologica da COVID-19 (in particolare il D.L.  9 marzo 2020, n.14)
  • Protocollo condiviso di regolamentazione del 14 marzo 2020

di Rosanna Celella