Un rapporto dell’Istituto Superiore di Sanità si sofferma sulla protezione dei dati personali nell’emergenza COVID-19. I profili applicativi sulla protezione dei dati nella pandemia e le indicazioni per i dati sanitari nel contesto lavorativo.

L’emergenza COVID-19 ha generato in questi mesi, basti pensare alle problematiche correlate all’ App Immuni, vari conflitti tra libertà individuali e interessi collettivi anche in materia di protezione dei dati personali.

Un conflitto che nasce anche dal fatto che oggi “la raccolta e l’utilizzo dei dati, e in particolare quelli relativi alla salute, hanno acquisito un ruolo fondamentale per contrastare la diffusione del contagio”. E se la disciplina di protezione dei dati “contempla già limitazioni necessarie a garantire la salute pubblica, attraverso criteri di proporzionalità, precauzione e temporaneità”, è proprio “all’interno della cornice di questi principi che si leggono le previsioni e, soprattutto, le deroghe al sistema ordinario di tutela dei dati”.

Il punto problematico riguarda “l’individuazione del livello consentito di limitazione dei diritti, quello strettamente necessario ai fini della tutela della salute”. E in altre parole “la tensione creatasi tra privacy e salute pubblica fino a che punto potrà spingersi”?

Ad affrontare con queste parole il tema della protezione dei dati in tempi di nuovo coronavirus è un nuovo rapporto dell’Istituto Superiore di Sanità (ISS) – Rapporto ISS COVID-19 n. 42/2020 – dal titolo “Protezione dei dati personali nell’emergenza COVID-19. Versione del 28 maggio 2020”.

Un rapporto che ricorda come la materia della protezione dei dati sia stata definita un “diritto inquieto” poiché “in dialettica con una tecnica in continua evoluzione e con i molteplici interessi, di natura sia individuale che collettiva, ma che trova forza nella sua funzione sociale”. E nel contrasto al virus essa si rivela indispensabile “rappresentando il punto di equilibrio tra libertà e tecnica, tra persona e società, il presupposto della tenuta della democrazia anche in circostanze eccezionali” (Intervento di A. Soro, Presidente del Garante per la protezione dei dati personali).

L’articolo si sofferma sui seguenti argomenti:

Il nuovo rapporto ISS sulla protezione dei dati personali

Il rapporto – curato dal Gruppo di lavoro ISS Bioetica COVID-19, coordinato da Carlo Petrini (Direttore Unità di Bioetica e Presidente Comitato Etico, ISS, Roma) – sottolinea come etica e diritto siano strettamente intrecciati e la salute e la protezione dei dati personali “sono due ambiti in cui tale intreccio è particolarmente fitto”.

La pandemia sfida l’etica e il diritto “a livello sia dell’individuo, sia della società. Essa è uno dei casi più emblematici dei conflitti che tipicamente il diritto e l’etica devono affrontare nella sanità pubblica: la conciliazione tra diritti individuali e interessi collettivi. Specialmente nelle situazioni di emergenza, la tutela della salute della popolazione può imporre restrizioni nelle libertà individuali. Tra queste vi sono, per esempio, la quarantena e la necessità di conoscere dati sanitari”.

Proprio partendo da questa constatazione il Gruppo di Lavoro ISS “Bioetica – COVID-19” offre con il Rapporto n. 42 “un contributo giuridico dedicato al tema della protezione dei dati personali” fruibile da un pubblico vasto ed eterogeneo:

  • “il cittadino potrà trovarvi informazioni utili su ciò che la situazione pandemica comporta sull’assetto normativo che regola la tutela dei dati personali;
  • il ricercatore, il personale sanitario, l’amministratore della sanità pubblica potranno trovare una sintesi pratica e operativa utile anche per preparare progetti, prendere decisioni, allestire programmi”.

E si sottolinea che l’utilità del testo “non si esaurisce nel momento dell’emergenza pandemica, che ha imposto l’adozione di norme severe che sarebbero inaccettabili in condizioni ordinarie, ma si estenderà nel tempo: per un lungo periodo, infatti, occorrerà mantenere attive procedure intrusive nei dati personali, quali, ad esempio, il controllo dei contatti interpersonali”.

I profili applicativi sulla protezione dei dati nella pandemia

Ci soffermiamo brevemente su alcuni profili applicativi relativi alla protezione dei dati nella pandemia COVID-19.

Riguardo alle indicazioni per strutture e operatori sanitari si ricorda, innanzitutto, che la disciplina in vigore “vieta la diffusione dei dati relativi alla salute: il divieto non ha subito deroghe nell’emergenza epidemiologica. Le aziende sanitarie e gli operatori sanitari, così come le prefetture e i comuni, non possono diffondere (attraverso per esempio siti web) i nominativi dei casi accertati di positività o dei soggetti sottoposti alla misura dell’isolamento, anche qualora la finalità sia quella di contenere la diffusione dell’epidemia”.

Il Garante della privacy ha poi chiarito che “le strutture sanitarie possono individuare le modalità che ritengono più opportune per fornire informazioni, riguardanti lo stato di salute, ai familiari dei pazienti positivi che non sono in grado di comunicare autonomamente (può, ad esempio, la struttura sanitaria dedicare un numero verde per tali informazioni). È tuttavia necessario prevedere adeguate misure per identificare le persone legittimate a ricevere tali informazioni sullo stato di salute del familiare ricoverato”.

Inoltre il Garante ha specificato che tutti i professionisti sanitari “possono raccogliere le informazioni che ritengono necessarie per le attività di cura dei loro pazienti, comprese quelle legate ai sintomi da COVID-19. L’accertamento e la raccolta di tali informazioni, così come le informazioni sugli spostamenti più recenti sono invece di competenza degli operatori sanitari e del sistema attivato dalla protezione civile, organi deputati a garantire il rispetto delle nuove regole di sanità pubblica”. L’operatore di sanità pubblica è “chiamato, per il contenimento del contagio, a ricostruire la filiera dei contati stretti del soggetto risultato positivo”.

Le indicazioni per i dati sanitari nel contesto lavorativo

Si ricorda che nei luoghi di lavoro, al fine di contenere il contagio, “i datori di lavoro, le cui attività non sono sospese, sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza contenute nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020”. E il Protocollo prevede che ‘nel caso in cui una persona presente in azienda sviluppi febbre e sintomi di infezione respiratoria quali la tosse, lo deve dichiarare immediatamente all’ufficio del personale, si dovrà procedere al suo isolamento in base alle disposizioni dell’autorità sanitaria e a quello degli altri presenti dai locali, l’azienda procede immediatamente ad avvertire le autorità sanitarie competenti’.

Inoltre il datore di lavoro ha l’obbligo di “comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e di collaborare per l’individuazione dei contatti stretti, per l’attivazione delle misure di profilassi. Saranno, infatti, le autorità sanitarie a occuparsi di informare questi ultimi, non potendo il datore comunicare il nominativo del dipendente affetto da COVID-19 agli altri lavoratori. Il datore di lavoro dovrà comunque adottare, in caso di presenza di persona affetta all’interno dei locali, le misure relative alla pulizia e alla sanificazione, secondo le indicazioni del Ministero della Salute” (punto 4 – Protocollo condiviso).

Il datore di lavoro deve “rilevare la temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, ma anche nei confronti degli utenti, dei visitatori, dei clienti nonché dei fornitori (ove per questi ultimi non ci sia una modalità di accesso separata)”.

Il Rapporto indica che la rilevazione della temperatura corporea del lavoratore, associata all’identità dell’interessato, chiaramente “costituisce un trattamento di dati personali, in base all’art. 4, par. 1, del Regolamento: l’Autorità ha chiarito che non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di minimizzazione, è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e nel caso in cui sia necessario documentare la ragione che ha escluso l’accesso al luogo di lavoro. Nel caso in cui la temperatura corporea venga rilevata a clienti o visitatori occasionali, anche se la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali, non è, di regola, necessario registrare il dato concernente il motivo del diniego di accesso”.

Si segnala poi che nel rispetto del D.Lgs. 81/2008 “il dipendente ha l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro” e la direttiva n.1/2020 del Ministro per la pubblica amministrazione “ha chiarito che, in virtù di tale obbligo, il dipendente pubblico e chiunque opera, a vario titolo, nella P.A. deve segnalare all’amministrazione di provenire o di avere avuto contatti con chi proviene da un’area a rischio. Il datore di lavoro può richiedere tali comunicazioni, ove necessario, anche mediante canali dedicati. L’accesso alla sede di lavoro è comunque precluso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi o provenga da zone a rischio”.

In ogni caso – continua il Rapporto – “potranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio: non potranno essere richieste invece informazioni aggiuntive in merito alla persona risultata positiva o alle località visitate o a ulteriori dettagli attinenti alla sfera privata”. E in base al Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro “è possibile richiedere una dichiarazione che attesti tali circostanze anche a visitatori e clienti”.

Si ricorda che anche nell’emergenza al medico competente permane il “divieto di informare il datore di lavoro circa le specifiche patologie dei lavoratori. Nell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente rappresentano misure di prevenzione di carattere generale e sono effettuati nel rispetto dei principi di protezione dei dati personali e nel rispetto delle misure igieniche contenute nelle indicazioni del Ministero della Salute (cfr. anche Protocollo condiviso del 14 marzo 2020). Il medico competente collabora, inoltre, con il datore di lavoro per le misure di regolamentazione legate al COVID-19: il medico segnala al datore di lavoro situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti (cfr. paragrafo 12 del Protocollo del 14 marzo citato) e, pertanto, quei casi specifici in cui la condizione di fragilità connessa anche allo stato di salute del dipendente impongono l’impiego dello stesso in ambiti meno esposti al rischio di infezione. Non è però necessario fornire informazioni al datore di lavoro sulla specifica patologia del lavoratore”.

Il datore di lavoro “può trattare i dati personali dei dipendenti se ciò: sia previsto dalla normativa; se disposto dagli organi competenti; se vi è una specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria. Il datore di lavoro non dovrà comunicare i dati relativi al personale contagiato al Rappresentante dei lavoratori per la sicurezza”.

Si ricorda, infine, che sin dall’inizio dell’emergenza in Italia il Garante ha espresso “la necessità di seguire le indicazioni date dalle autorità competenti in materia, chiedendo ai datori di lavoro di ‘astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa’, essendo ‘la finalità di prevenzione dalla diffusione del Coronavirus …svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato’ (Garante protezione dati personali, Comunicato del 2.3.2020)”.

Si segnala poi che l’art. 99 del cosiddetto decreto Rilancio ha istituito presso il Ministero del lavoro e delle politiche sociali l’Osservatorio nazionale per il mercato del lavoro che, tra le finalità, ha anche “lo studio e l’elaborazione dei dati relativi all’occupazione con particolare riferimento all’analisi per competenze, caratteristiche settoriali, territoriali, sociali, demografiche e di genere”.

Rimandiamo alla lettura integrale del Rapporto che si sofferma anche sull’utilizzo delle App con particolare riferimento all’App Immuni.

L’indice del rapporto ISS COVID-19

Riportiamo in conclusione l’indice del Rapporto ISS COVID-19 n. 42/2020.

Prefazione  

Introduzione  

1. Principi generali

1.1. Normativa sulla protezione dei dati personali

1.1.1. Principi fondamentali in tema di protezione dei dati personali

1.1.2. Trattamento dei dati relativi alla salute in ambito sanitario

1.1.3. Trattamento dei dati nell’emergenza sanitaria

1.2. Principi etici e biogiuridici sulla protezione dei dati sanitari

2. Profili applicativi

2.1. Protezione dei dati sanitari nella pandemia COVID-19

2.1.1. Art. 14 del decreto-legge n. 14/2020 sul trattamento dei dati nell’emergenza da COVID-19

2.1.2. La protezione dei dati personali nella sorveglianza territoriale

2.1.3. Protezione dei dati sanitari nella ricerca e nella sperimentazione in emergenza sanitaria

2.1.4. Indicazioni del Garante della privacy

2.1.5. Dichiarazioni dello European Data Protection Board e del Consiglio d’Europa

2.1.6. Fascicolo sanitario elettronico alla luce del decreto Rilancio

2.2. Profili applicativi sulla protezione dei dati nella pandemia COVID-19

2.2.1. Indicazioni operative per le strutture e gli operatori sanitari

2.2.2. Dati sanitari e contesto lavorativo

2.2.3. COVID-19 e utilizzo delle App: l’App Immuni nel decreto-legge n. 28/2020

Scarica il documento da cui è tratto l’articolo:

Gruppo di Lavoro ISS Bioetica COVID-19, “ Protezione dei dati personali nell’emergenza COVID-19. Versione del 28 maggio 2020”, Roma – Istituto Superiore di Sanità – 2020 – Rapporto ISS COVID-19 n. 42/2020 (formato PDF, 1.64 MB).

 

Scarica la normativa di riferimento:

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 11 giugno 2020 – Ulteriori disposizioni attuative del decreto-legge 25 marzo 2020, n. 19, recante misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19, e del decreto-legge 16 maggio 2020, n. 33, recante ulteriori misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19.

DECRETO-LEGGE 19 maggio 2020, n. 34 – Misure urgenti in materia di salute, sostegno al lavoro e all’economia, nonche’ di politiche sociali connesse all’emergenza epidemiologica da COVID-19

Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro.

Fonti: Gazzetta ufficiale, Puntosicuro.it, Lavoro.gov.it