Articoli

Covid-19: troppi dettagli sui malati, le considerazioni del Garante Privacy

Avv. Vincenzo Colarocco

A seguito di segnalazioni e reclami con i quali è stata lamentata, da parte dei famigliari, la diffusione sui social e sugli organi di stampa, anche on line, di dati personali riguardanti persone risultate positive al Covid 19, il Garante per la protezione dei dati personali ha affermato che in una situazione di emergenza quale quella attuale, in cui l’informazione mostra tutte le sue caratteristiche di servizio indispensabile per la collettività, non possono essere disattese alcune garanzie a tutela della riservatezza e della dignità delle persone colpite dalla malattia contenute nella normativa vigente e nelle Regole deontologiche relative all’attività giornalistica.

Ha pertanto richiamato l’attenzione di tutti gli operatori dell’informazione al rispetto del requisito dell’”essenzialità” delle notizie che vengono fornite, astenendosi dal riportare i dati personali dei malati che non rivestono ruoli pubblici, per questi ultimi nella misura in cui la conoscenza della positività assuma rilievo in ragione del ruolo svolto.

Tali cautele devono operare a prescindere dalla circostanza che i dati siano resi disponibili da enti o altri soggetti detentori dei dati medesimi e salvaguardano le tante persone risultate positive al virus, e poi guarite, da una “stigmatizzazione” permanente, resa possibile dalla diffusione delle notizie sulla rete.

L’obbligo di rispettare la dignità e la riservatezza dei malati vige anche per gli utenti dei social, a cominciare da alcuni amministratori locali, che spesso diffondono dati personali di persone decedute o contagiate senza valutarne interamente le conseguenze per gli interessati e per i loro famigliari.

Emergenza Coronavirus: chi può trattare i dati sanitari?

Avv. Vincenzo Colarocco

Come noto, alla terribile diffusione del Coronavirus nel nostro Paese è seguita la dichiarazione dello stato di emergenza sul territorio nazionale relativamente al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili e con il decreto del Governo del 9 marzo 2020 le misure per il contenimento e il contrasto del diffondersi del virus, dapprima previste solo per le cosiddette “zone rosse”, sono state estese all’intero territorio nazionale. Il rischio sanitario insorto ha comportato la necessità, per le autorità ma anche per soggetti pubblici e privati, di dare luogo alla raccolta di informazioni anche sanitarie, proprio al fine di perseguire le finalità di prevenzione e contenimento del contagio, anche presso i luoghi di lavoro. Si è così assistito, nelle ore immediatamente successive alle misure varate dal Governo, alla raccolta sistematica e generalizzata di dati personali, anche particolari (in tale definizione rientrano, infatti, i dati sanitari), e tanto in assenza di adeguata base giuridica e, alle volte, dell’adempimento degli obblighi informativi prescritti dal GDPR.

A contenere il potenziale fenomeno di trattamento illecito di dati su larga scala, è intervenuto il Garante per la protezione dei dati personali, con provvedimento n. 15 del 2 febbraio 2020: il provvedimento è giunto a seguito della richiesta di parere avanzata dal Capo dipartimento della Protezione Civile, a seguito della delibera del Consiglio dei Ministri del 31 gennaio 2020, sulla bozza di ordinanza recante disposizioni urgenti di protezione civile in relazione all’emergenza sul territorio nazionale relativo al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili. Il Garante, anche mediante il comunicato stampa “Coronavirus: Garante Privacy, no a iniziative “fai da te” nella raccolta dei dati” del 2 marzo 2020 ha chiarito che i datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.

La finalità di prevenzione deve infatti essere svolta solo da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato, con la conseguenza che l’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano solo agli operatori sanitari e al sistema attivato dalla protezione civile. Non può, quindi, il datore di lavoro neppure chiedere ai propri dipendenti e collaboratori di rilasciare una autodichiarazione sul proprio stato di salute: l’ “autodichiarazione” non avrebbe alcun valore giuridico ai fini dell’accertamento della veridicità delle informazioni raccolte, trattandosi di una dichiarazione unilaterale e non di un certificato medico vero e proprio. Né tantomeno il datore di lavoro può procedere con la richiesta di certificati medici in luogo delle autodichiarazioni, stante la carenza di legittimazione attiva del datore di lavoro in ordine alla raccolta di dati sanitari. Neppure può essere richiesta la comunicazione degli spostamenti dei cittadini, di competenza esclusiva delle autorità pubbliche, aziende sanitarie territoriali e protezione civile su tutte, al fine di attuare misure di pubblico interesse per contenere l’epidemia.

Sebbene il datore di lavoro sia tenuto ad “adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”, in ogni caso dette misure devono necessariamente agire nel rispetto del d.lgs. 81/2008, oltre che dello Statuto dei lavoratori: perché ciò avvenga la previsione della rinnovazione della verifica di idoneità del lavoratore potrebbe essere legittima solo in caso di aggiornamento del documento di valutazione del rischio, con indicazione del medico competente che prescriva una tale misura come idonea a prevenire il rischio secondo criteri e modalità di diligenza e prudenza. Per contro, il datore di lavoro, a fronte di una adeguata informazione sui sintomi e sulle modalità di contagio, resa anche attraverso apposito materiale documentale, come ad es. brochure o cartellonistiche, ma anche audiovisivo, come ad es. brevi video/spot anche istituzionali diffusi tramite la intranet aziendale, può richiedere a chiunque negli ultimi 14 giorni abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, di comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario.

I servizi con il pubblico non vengono sospesi: tuttavia il Garante ha chiarito che i casi sospetti devono comunicare la circostanza del contagio ai servizi sanitari competenti e ad attenersi alle indicazioni di prevenzione fornite dagli operatori sanitari interpellati. Per le P.A., il Ministero ha dettato istruzioni operative in merito all’obbligo, per il dipendente pubblico e per chi opera a vario titolo presso la P.A., di segnalare all’amministrazione di provenire da un’area a rischio. Il datore di lavoro può predisporre canali dedicati al fine di agevolare le modalità di inoltro delle segnalazioni. In data 26 febbraio 2020 il Ministro per la Pubblica Amministrazione ha emanato la Direttiva n. 1/2020 che fornisce i primi indirizzi operativi di carattere anche precauzionale per le amministrazioni pubbliche. La Direttiva raccomanda di evitare il sovraffollamento anche attraverso lo scaglionamento degli accessi; assicurarne la frequente aerazione; curare che venga effettuata da parte delle ditte incaricate un’accurata pulizia e disinfezione delle superfici ed ambienti; mantenere un’adeguata distanza con l’utenza.

Con riguardo alle competenti autorità ed agli operatori sanitari, soggetti espressamente autorizzati alla raccolta del dato sanitario e non, l’art. 14 del decreto 14/2020 sancisce che tali soggetti possono procedere anche i) alla comunicazione a terzi dei dati personali raccolti ai sensi degli artt. 9 e 10 del GDPR, ii) all’attribuzione di funzioni e compiti a soggetti designati anche in forma semplificata ed orale ed iii) alla predisposizione dell’informativa prescritta dal GDPR anche in forma semplificata ed orale.