Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Privacy e “Coronavirus”: il Garante ammette deroghe alla protezione dei dati personali dei cittadini

Con Provvedimento n. 15 datato 2 febbraio 2020 il Garante non esclude che la Protezione Civile possa operare in deroga al GDPR, ma solo per il periodo d’emergenza.

Prima dell’insorgere dell’attuale situazione emergenziale il Garante si era già espresso sul tema ammettendo delle deroghe alla disciplina prevista dal GDPR in materia di protezione dei dati personali dei cittadini.

Procediamo con ordine. A seguito della delibera del Consiglio dei Ministri del 31 gennaio 2020 con la quale veniva dichiarato, per sei mesi, lo stato di emergenza sul territorio nazionale, il Capo del Dipartimento della protezione civile chiedeva con urgenza il parere del Garante in ordine a una bozza di ordinanza, contenente i primi interventi in Italia.

Il documento sottoposta al vaglio consultivo del Garante prevedeva che i soggetti operanti nel Servizio nazionale di protezione civile potessero effettuare trattamenti, ivi compresa la comunicazione tra loro, di dati personali anche relativi agli artt. 9 e 10 GDPR (ovvero dati particolari/sensibili) che risultassero necessari per l’espletamento delle proprie funzioni.

Veniva, inoltre, prevista la possibilità di comunicazione e diffusione dei dati comuni raccolti a soggetti pubblici e privati, diversi da quelli sopra citati nei casi in cui essa risulti indispensabile ai fini dello svolgimento delle attività in capo alla Protezione Civile.

Infine, veniva precisato che i trattamenti dovessero essere effettuati nel rispetto dei principi di cui all’art. 5 GDPR e che, nel contesto dell’emergenza, avuto riguardo all’esigenza di contemperare la funzione di soccorso con quella afferente la salvaguardia della riservatezza degli interessati, i soggetti operanti potessero conferire le autorizzazioni di cui all’art. 2-quaterdecies del Codice Privacy (Attribuzione di funzioni e compiti a soggetti designati) con modalità semplificate, anche oralmente.

Con proprio parere il Garante italiano precisava quanto segue (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9265883).

Le disposizioni contenute nella bozza venivano ritenute idonee a rispettare le garanzie previste dalla normativa in materia di protezione dei dati personali ma solo “nel contesto di una situazione di emergenza”.

Veniva precisato, tuttavia che “alla scadenza del termine dello stato di emergenza, siano adottate da parte di tutte le Amministrazioni coinvolte negli interventi di protezione civile di cui all’ordinanza, misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali in capo a tali soggetti.

Quindi sono ammesse delle deroghe per gli Organismi Pubblici deputati alla gestione dell’emergenza, ma solo per il periodo limitato alla gestione del rischio.

Ricordiamo che il trattamento dei dati sanitari può essere lecito secondo le disposizioni di cui all’art. 9 GDPR quando:

  1. il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato (art. 9, let. b) GDPR);
  2. il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9, let. g) GDPR);

In questi casi non sarà necessario il consenso degli Interessati.

Precisiamo, infine, che la misurazione della temperatura corporea non costituisce un trattamento di dati personali (art. 4 GDPR) poiché con dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (Art. 4, n. 1, GDPR)”.