LE RICADUTE SUL TRATTAMENTO DEI DATI DELLE NORME CORONAVIRUS
Come abbiamo visto nel recente notiziario di aprile, la pandemia coronavirus sta rivelando moltissime problematiche relative al telelavoro, l’aumento di data breach per le aziende che stanno usando computer casalinghi (spesso senza rete Vpn) e una marea di problematiche relative alla sicurezza della condivisione di dati particolari. Basti pensare alla mole di dati sanitari che stanno circolando tra le autorità pubbliche e private demandate a occuparsi della cura dei malati, assistenza a domicilio, individuazione dei casi in ambienti di lavoro.
L’Autorità Garante italiana per la privacy ha ritenuto opportuno raccogliere le normative fino al 31 marzo 2020 legate al coronavirus: decreti presidenziali, disposizioni del governo e decreti della Protezione civile degli ultimi mesi, rimarcando quali sono le ricadute sulla privacy. Trattandosi di un documento di 105 pagine costruito a tabelle abbiamo ritenuto interessante farne una sorta di riassunto. Non è certo esaustivo ma può funzionare come mappa per orientarsi. Naturalmente chi volesse approfondire ha in allegato il documento completo del Garante.
La Delibera del Consiglio dei ministri del 31 gennaio 2020 (pag. 13) ha dichiarato lo stato di emergenza in conseguenza del rischio sanitario Covid-19 per sei mesi, quindi sino al 31 luglio 2020 demandando la Protezione civile a fare ordinanze successive.
Una Ordinanza della Protezione civile n.630, 3 febbraio 2020 (pag. 13) precisa che in materia di dati personali è possibile la comunicazione di tali dati tra soggetti operanti nel servizio nazionale di Protezione civile come previsto dagli articoli 9 e 10 del GDPR (Regolamento Ue 2016/679) e dal decreto legislativo 2 gennaio 2018 n. 1.
A proposito di privacy e GDPR, in pratica l’autorità pubblica demandata alla gestione dell’emergenza epidemiologica si appella ai comma g,h,i del II paragrafo dell’art. 9 del GDPR dove si legge che se “il trattamento è necessario per motivi di interesse pubblico, deve essere proporzionato alla finalità perseguita” (g); che il “trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro” (h); “il trattamento è necessario per motivi di interesse pubblico, nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero” (i).
Altri decreti come il Decreto del 9 marzo n. 14 (Disposizioni urgenti per il potenziamento del servizio sanitario) a pag. 16 nuovamente sottolinea come i dati degli assistiti possano circolare tra Protezione civile, Ministero della salute, Istituto superiore di sanità e strutture sanitarie pubbliche e private, citando sempre gli art. 9 e 10 del GDPR. Un aspetto molto importante è che i soggetti citati nell’espletamento delle loro attività, durante l’emergenza, possono anche omettere l’informativa sul trattamento dei dati o semplificarla, “previa comunicazione orale agli interessati della limitazione”.
Il Decreto del 17 marzo n. 18 pag. 17 è dedicato al potenziamento del servizio sanitario e il sostegno economico per famiglie, lavoratori e imprese.
Il Decreto legge del 25 marzo n. 19 pag. 18 infine predispone misure urgenti per fronteggiare la pandemia quindi la possibilità “secondo principi di adeguatezza e proporzionalità” di limitare la circolazione delle persone, chiudere spazi urbani o vietare l’allontanamento o l’ingresso di non residenti in aree colpite e prevede anche disposizioni per le persone infette.
Alcune circolari del Ministero di febbraio riguardano persone provenienti dalla Cina o atleti provenienti da aree infette e quindi l’obbligo della misurazione della temperatura corporea per tutti i passeggeri in transito in aeroporti o stazioni.
Da pagina 23 inizia un capitolo dedicato alle disposizioni in materia di sanità e ricerca scientifica. Un’altra Ordinanza di protezione civile (n. 649 del 27 febbraio 2020) pag. 27, riguarda la sorveglianza epidemiologica sia affidata all’Istituto superiore di sanità e prevede che i dati degli infetti o relativi ai tamponi possano essere comunicati dall’Istituto superiore di sanità in forma aggregata e al capo della protezione civile e messi a disposizione delle regioni e delle province autonome di Trento e Bolzano. Inoltre “i dati appositamente anonimizzati possano essere condivisi con gli specifici database dell’organizzazione mondiale della sanità e dell’European Center for desease control” (Pag. 27).
E’ molto importante il Protocollo del 14 marzo condiviso pag. 32, sulla regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus negli ambienti di lavoro. Condiviso in quanto firmato tra imprese e sindacati. In pratica contiene le disposizioni sulla gestione di persone sintomatiche in azienda.
Sempre relativamente al lavoro, c’è l’Ordinanza del Ministero della salute di concerto con il ministro delle infrastrutture del 28 marzo 2020 (pag. 38) precisa le misure di contenimento relative a chi viaggio per motivi di lavoro.
Tra le misure di ordine pubblico diverse ordinanze riguardano le competenze delle Autortà sanitarie, ad esempio le misure di quarantena con sorveglianza attiva (p. 41) e quindi dall’8 marzo in poi i vari moduli di autodichiarazione relativamente agli spostamenti, la restrizione delle attività e degli spostamenti stessi.
Da pag. 54 inizia la sezione dedicata alle disposizioni in materia di lavoro. Il Decreto del Presidente del consiglio dei ministri dell’11 marzo (pag. 71) fornisce disposizioni sul telelavoro e le distanze di sicurezza.
Nel Protocollo condiviso ci sono anche disposizioni relative alla gestione di persona sintomatica in luogo di lavoro (di cui si parla a pag. 72). Ricordiamo che l’azienda deve informare l’autorità sanitaria.
Da pag. 77 a pag. 89 potete consultare le norme relative alla scuola e alla formazione a distanza.
Da pag, 90 le disposizioni relative a fisco previdenza e assistenza, quindi le norme relative alla richiesta di contributi, di congedi e indennità ai lavoratori.
Da pag. 96 le norme relative a giustizia, tribunali e penitenziari.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù specializzato in privacy, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Privacy specialist, riuniti nell’acronimo A2F Privacy&Compliance. Con Giuseppe Ferrante (responsabile Dpo Services per Grant Thornton) sono autori di La privacy in azienda – Tutti gli errori da evitare per non incappare nelle sanzioni del Garante’ (Liberodiscrivere, 2019), hanno collaborato a Manuale di accoglienza enti e autorità, a cura di Marco Fossi (Liberodiscrivere, 2019). In uscita il terzo volime della collana Compliance, Howto Come scrivere i documenti privacy, pubblicato sempre da Liberodiscrivere editore.