venerdì, Marzo 29, 2024
Uncategorized

Privacy e lavoro nello scenario dell’emergenza da Covid-19

a cura di Caterina del Federico, Dottore di ricerca in Diritto Civile – Università di Bologna

 

Sommario: Introduzione. 1. Le previsioni del DL 9 marzo 2020 in materia di trattamento dei dati personali. 2. Lo specifico profilo del trattamento dei dati personali dei lavoratori: il Protocollo condiviso e la conformità al Comunicato del Garante.  3. La dichiarazione dello European Data Protection Board. Conclusioni.

Introduzione

Lo stato di emergenza causato dal virus Covid-19, non solo in Italia e in Europa, ma nel Mondo, farà rilevare lacune esistenti in ogni ambito della società: nella politica, nell’economia, nella tecnologia, sicuramente anche nella legislazione.

Nell’odierno scenario emergenziale non si sta perdendo occasione per mettere la privacy – argomento di grande successo negli ultimi anni – al centro del dibattito. Ciò con riferimento ai più svariati aspetti: alle tecnologie utilizzate per tracciare gli spostamenti dei cittadini[1], all’utilizzo dei big data e dell’intelligenza artificiale quale strumento di ausilio al contrasto del virus[2], ancora, con riferimento al trattamento dei dati personali dei lavoratori[3].

Si cerca di testare l’adeguatezza del tessuto normativo italiano con riguardo a tale ultimo aspetto. Va sottolineato che il trattamento dei dati personali riguardanti informazioni legate al Covid-19 non ha ad oggetto “semplici” dati personali, ma dati “sensibili” in quanto riguardanti la salute dei cittadini, che rientrano nell’ambito dell’art 9 GDPR, rubricato “Categorie particolari di dati”[4].

  1. Le previsioni del DL 9 marzo 2020 in materia di trattamento dei dati personali

Sul tema va senza dubbio richiamato il Decreto Legge n. 14 del 9 marzo 2020[5], che dedica l’art. 14, rubricato “Disposizioni sul trattamento dei dati personali nel contesto emergenziale”, a questo specifico profilo.

Nel DL è consentito chiaramente il trattamento dei dati personali, anche ove rientrassero nelle categorie particolari di dati ex art. 9 del GDPR, da parte dei soggetti operanti nel Servizio nazionale di protezione civile e dei “soggetti attuatori” del servizio stesso, degli Uffici del Ministero della salute e dell’Istituto Superiore di Sanità, delle strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e dei soggetti deputati a monitorare e a garantire le misure adottate. La comunicazione dei dati tra questi soggetti è permessa “per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dell’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del Covid-19 […]”. Mentre, la comunicazione dei dati a soggetti pubblici e privati diversi da quelli appena nominati, nonché la diffusione di dati non rientranti nelle categorie di cui agli artt. 9 e 10 del GDPR, è consentita dal Decreto solo “[…] nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto”.

L’art. 14 del Decreto prevede, altresì, che tali dati vengano trattati nel rispetto dei principi base previsti all’art. 5 del GDPR. Pertanto, le misure devono rispettare il criterio di proporzionalità in relazione alla necessità rispetto alla situazione emergenziale in corso.

È interessante notare che l’ultimo comma del Decreto prevede che al termine dello stato di emergenza “i soggetti di cui al comma 1 debbano adottare misure idonee al fine di ricondurre i trattamenti di dati personali, effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti dei dati personali”[6]. Le deroghe, dunque, hanno durata limitata all’emergenza.

Per quanto ad un primo sguardo sembrano emergere alcune discrepanze, si comprende come le deroghe siano state adottate in relazione alla situazione emergenziale in atto e, chiaramente, ogni Stato membro sta applicando le misure che ritiene più “consone” per il contrasto al Covid-19, ognuno con le proprie peculiarità.

  1. Lo specifico problema del trattamento dei dati personali dei lavoratori: il Protocollo condiviso e la conformità al Comunicato del Garante

Con riguardo al trattamento dei dati personali in ambito lavorativo, va evidenziata la delicatezza del tema: non solo si tratta di una categoria particolare di dati ai sensi dell’art. 9 del GDPR perché legati all’ambito del lavoro, ma tali dati, considerati in relazione al virus Covid-19, riguardano la salute e quindi rientrano nel novero dei casi previsti all’art. 9 cit. anche in quanto ‘dati sensibili’. Ciò sembra quasi invocare l’esigenza di un doppio grado di tutela.

Su invito del Presidente del Consiglio dei ministri e dei ministri competenti, il 14 marzo è stato sottoscritto il Protocollo condiviso di regolazione delle misure e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro. Il Protocollo nasce in attuazione della misura, contenuta all’art. 1, comma 1, n. 9, del Decreto del Presidente del Consiglio dei ministri dell’11 marzo 2020, che, in relazione alle attività professionali e alle attività produttive, raccomanda intese tra organizzazioni datoriali e sindacati.

Vi sono diversi riferimenti al diritto alla protezione dei dati personali nell’ambito dei rapporti di lavoro, un diritto fondamentale.

Il Protocollo prevede che al momento dell’accesso i lavoratori potranno essere sottoposti in tempo reale al controllo della temperatura corporea[7]. Come specificato in nota al Protocollo, “la rilevanza della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente”. Viene dunque suggerita la modalità con cui svolgere l’operazione: il dato va registrato solo se ciò risulti necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali.

Nel Protocollo viene altresì esplicitato di fornire l’informativa sul trattamento dei dati personali ai sensi dell’art. 13 del GDPR, precisando che la stessa può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente, come prevede lo stesso GDPR all’art. 12, par. 1.

Quanto ai contenuti dell’informativa, il Protocollo specifica che con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da Covid-19 e che la base giuridica del trattamento sarà l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM cit., nonché l’art. 9, lett. b) del GDPR.

Con riferimento alla durata dell’eventuale conservazione dei dati va fatto riferimento al termine dello stato d’emergenza; mentre nel definire le misure di sicurezza tecniche e organizzative, adeguate a proteggere i dati, il Protocollo non fa specificazioni e si considera richiamato l’art. 32 del GDPR.

In relazione ai tempi di conservazione dei dati, in conformità con l’art. 13, par. 2, lett. a) del GDPR, viene fatto esplicito riferimento al “termine dello stato di emergenza”[8]. A tal proposito, si ricorda che, nel rispetto del principio di finalità ex art. 5, par. 1, lett. b), del GDPR, i dati possono essere trattati esclusivamente per prevenzione dal contagio da Covid-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative.

Su questo profilo non ci si può esimere dal richiamare il Considerando n. 46 del GDPR: “Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale o umana”.

Ebbene, risulta piuttosto chiaro che il trattamento dei dati personali per la finalità sopra evidenziata rappresenta un’esplicita deroga al divieto di trattare le categorie particolari di dati, ex art. 9, par. 1, del GDPR, riconducibile all’ipotesi prevista al par. 2, lett. b) dello stesso articolo.

Tale ultimo disposto normativo prevede che non si applicano le limitazioni di cui al par. 1 se “il trattamento è necessario per assolvere gli obblighi e esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza e protezione sociale”. Ciò, nella misura in cui “sia autorizzato dal diritto dell’UE o degli Stati Membri o da un contratto collettivo ai sensi del diritto degli Stati Membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”.

Alla nota 2 del Protocollo, ancora, si specifica che qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al Covid-19, va prestata attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento di dati. A tal fine si applicano tutte le indicazioni sopra riportate[9].

Si suggerisce, in ogni caso, di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19: il tutto nel rispetto dei principi base del GDPR.

Si torna, dunque, a ribadire quanto aveva già affermato il Garante per la protezione dei dati personali il 2 marzo ultimo scorso con un comunicato stampa in cui affermava il divieto per iniziative “fai da te” in relazione alla raccolta dei dati personali nell’emergenza Covid-19, richiamando il rispetto dei principi del GDPR e il carattere emergenziale del momento attuale[10].

  1. La dichiarazione dello European Data Protection Board

Le attuali norme europee in tema di privacy e data protection, come è emerso, già consentono eccezioni in tema di sicurezza nazionale, salute pubblica inclusa. Si pensi, a titolo esemplificativo, al Considerando n. 16, agli artt. 6 e 9, al Considerando n. 46: le disposizioni consentono misure emergenziali.

I Governi, in base a tali norme sono autorizzati a prendere misure eccezionali che permettano alle autorità nazionali di avere accesso a dati sensibili come quelli inerenti alla salute.

È chiaro che tali misure debbano essere: necessarie, appropriate e proporzionate al contesto di una società democratica, limitate allo scopo e soprattutto provvisorie.

A confermare quanto detto è intervenuto il 16 marzo lo European Data Protection Board (EDPB)[11], dichiarando con chiarezza: “le norme sulla protezione dei dati (come il GDPR) non ostacolano le misure nazionali adottate nella lotta contro la pandemia di coronavirus”.

A titolo esemplificativo il GDPR, difatti, già prevedeva criteri giuridici che consentono ai datori di lavoro e alle autorità sanitarie competenti di trattare i dati personali nel contesto di epidemie, senza la necessità di ottenere il consenso dell’interessato.

Il documento richiama altresì l’art. 15 dell’e-privacy Directive[12], che permette agli Stati membri di introdurre misure legislative che limitano i diritti e gli obblighi di cui agli artt. 5 e 6 della stessa[13], se volte a garantire la salvaguardia della difesa, della sicurezza nazionale e di quella pubblica. Ebbene, certamente la tutela della salute pubblica rientra nell’accezione di sicurezza nazionale e, o, di pubblica sicurezza.

Conclusioni

Ci si trova in uno stato di “economia emergenziale”, come affermato più volte dal nostro Presidente del Consiglio, Giuseppe Conte.

Ciò che rileva è che la legislazione di emergenza vada attuata a condizione che costituisca una misura necessaria, appropriata e proporzionata, anche nel tempo, all’interno di una società democratica.

Deve essere chiaro che una lotta efficace alla pandemia attuale non richiede alcun definitivo sacrificio in termini di protezione della privacy e dei dati personali. Tale sacrificio, difatti, come hanno dichiarato le Autorità, è limitato alla durata dell’emergenza e non può essere in alcun modo abusato dallo Stato.

A corroborare quanto detto si richiamano, da ultimo, le parole del Presidente del Garante Antonello Soro in un’intervista con l’ANSA: “i diritti possono, in contesti emergenziali, subire limitazioni anche incisive, ma queste devono essere proporzionali alle esigenze specifiche e temporalmente limitate. La forza della democrazia è anche nella sua resilienza: nella sua capacità cioè di modulare le deroghe alle regole ordinarie, in ragione delle necessità, inscrivendole in un quadro di garanzie certe e senza cedere a improvvisazioni. Il limite dell’emergenza è insomma nel suo non essere autonoma fonte del diritto ma una circostanza che il diritto deve normare, pur con eccezioni e regole duttili, per distinguersi tanto dalla forza, quanto dall’arbitrio”[14].

Si tenga presente, in un simile scenario, che “il diritto alla salute, ormai unanimemente riconosciuto anche dal punto di vista sostanziale oltre che formale, è l’unico fondamentale, essendo evidente a chiunque che soltanto la sua tutela può consentire il godimento degli altri”[15].

In conclusione, si ritiene che non vi siano, al momento attuale, particolari problematiche nel rapporto tra privacy e Covid-2019. I dati normativi, i Protocolli e i Decreti di questi giorni sono chiari e solidi sul punto e non bisogna far altro che attenervisi per il tempo necessario e compatibilmente con i principi democratici.

[1] A titolo esemplificativo, è quanto accade oggi in Israele. Sul punto si v. l’articolo del Sole 24 ore, nella rubrica “tecnologia e privacy” e intitolato Dall’antiterrorismo al coronavirus: così un’azienda israeliana traccia l’epidemia. L’articolo è stato visionato al link https://www.ilsole24ore.com/art/dall-antiterrorismo-coronavirus-cosi-un-azienda-israeliana-traccia-l-epidemia-ADFT74D in data 18.3.2020.

[2] È quanto successo in Cina nel periodo emergenziale, in sui tra le tante misure adottate si pensi a quella secondo cui sul posto di lavoro i dipendenti possono essere sottoposti a particolari controlli e a test sanitari in qualsiasi momento, oppure gli può essere richiesto di consegnare un travel verification report ovvero un registro degli spostamenti recenti da richiedere direttamente alla propria compagnia telefonica, che lo ricaverà dai dati GPS e WiFi e lo invierà al cliente per la presentazione in azienda. Si v., tra i tanti, In Coronavirus Fight, China Gives Citizens a Color Code, With Red Flag, in New York Times, visionato al link https://www.nytimes.com/2020/03/01/business/china-coronavirus-surveillance.html in data 18.3.2020.

[3] Da ultimo si v. il Protocollo emanato il 14 marzo 2020.

[4] Sul punto si v. lo specifico contributo di A. Cataleta, Categorie particolari di dati: le regole generali e i trattamenti specifici, in G. Finocchiaro (a cura di) La protezione dei dati personali in Italia: Regolamento UE n. 679/2016 e d.lgs. 10 agosto 2018, n. 101, Zanichelli, 2019.

[5] Si tratta del d.l. n. 14 del 9 marzo 2020, pubblicato in Gazzetta Ufficiale e vigente al 10 marzo 2020, recante Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza Covid-19. Le sue disposizioni si applicano a soggetti pubblici e privati che operano nell’ambito del Sistema Sanitario Nazionale (SSN), fino al 3 aprile 2020.

[6] In tal senso l’ultimo comma dell’art. 14 d.l. 9 marzo cit.

[7] Punto 2 del Protocollo, rubricato “Modalità di ingresso in azienda”.

[8] Si v. la nota 1, punto 3 del Protocollo.

[9] Si v. la nota 1 del Protocollo.

[10] Il Comunicato stampa è consultabile sul sito del Garante al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117.

[11] Statement of the EDPB Chair on the processing of personal data in context of the COVD-19 outbreak, consultabile sul sito ufficiale dello European Data Protection Board al link https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_it.

[12] Il riferimento è alla Direttiva 2002/58/CE del 12 luglio 2002, il cui testo è disponibile sulla Gazzetta ufficiale delle Comunità europee al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32002L0058&from=EN.

[13] Rispettivamente rubricati “Riservatezza delle comunicazioni” e “Dati sul traffico”.

[14] La dichiarazione del Presidente del Garante è consultabile sul sito ufficiale al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9292565.

[15] G. Villanacci, Il diritto alla salute e il principio di precauzione, al link: https://www.corriere.it/opinioni/20_marzo_17/diritto-salute-824fdea6-687c-11ea-9725-c592292e4a85.shtml, visitato in data 18.3.2020.

Lascia un commento