di Mauro Alovisio – Funzionario della Corte dei conti

 

Il Governo ha emanato uno specifico D.L. 9 marzo 2020, n. 14 ad oggetto ”Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19” (GU Serie Generale n. 62 del 9 marzo 2020).

All’interno del sopra citato decreto, il Governo interviene all’art. 14, nella materia della protezione dei dati personali, al fine di accompagnare gli enti e gli operatori nelle attività quotidiane di gestione, comunicazione e diffusione di dati relativi allo stato di salute delle persone e indica alcune preziose semplificazioni.

L’ambito di applicazione delle sopra citate disposizioni è molto ampio in quanto ricomprende: sia le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale, sia i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli artt. 4 e 13, D.Lgs. 2 gennaio 2018, n. 1, sia i soggetti attuatori di cui all’art. 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’art. 3, D.L. 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla L. 5 marzo 2020, n. 13.

Il decreto definisce le finalità e la base giuridica del trattamento e specifica a riguardo che i trattamenti dei dati sono effettuati per i motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell’art. 9, par. 2, lett. g), h) e i), e dell’art. 10, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonché dell’art. 2-sexies, comma 2, lett. t) e u), del D.Lgs. 30 giugno 2003, n. 196.

L’art. 14 del decreto in esame prevede che i sopra citati soggetti possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli artt. 9 e 10 del Regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-1.

Il decreto richiama, pertanto le disposizioni del regolamento privacy europeo, in particolare l’art. 9 sul trattamento di categorie particolari che ricomprende: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona e l’art. 9 del regolamento privacy europeo ad oggetto: il trattamento dei dati personali relativi a condanne penali e reati o a connesse misure di sicurezza.

Le disposizioni dell’art. 14 del decreto in esame si applicano sino al 3 aprile 2020.

L’art. 14, comma 2, approfondisce il profilo della comunicazione dei dati personali e della diffusione dei dati.

Per comunicazione di dati, ai sensi del Codice della privacy, si intende, ai sensi dell’art. 2-ter, quarto comma del Codice della Privacy: “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’art. 2-quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione”.

Per diffusione di dati, si intende: “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.

Il decreto legge in esame prevede che la comunicazione a soggetti pubblici e privati, diversi da quelli descritto dal primo comma, nonché la diffusione dei dati personali diversi da quelli di cui agli artt. 9 e 10 del regolamento (UE) 2016/679 é effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto.

Gli enti in qualità di titolari del trattamento e i loro operatori dovranno valutare pertanto, se la comunicazione sia o meno o indispensabile per fronteggiare l’emergenza che stiamo vivendo: sotto questo profilo, sarà strategico il supporto del Responsabile del trattamento dei dato (RPD) o Data protection Officer (DPO) e degli uffici privacy.

Il decreto specifica al terzo comma che i sopra citati trattamenti di dati personali sono effettuati nel rispetto dei principi di cui all’art. 5 del citato Regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.

L’art. 5 del regolamento privacy europeo contiene i principi del trattamento dei dati, principi di liceità, correttezza e trasparenza, limitazione della finalità, esattezza, limitazione della conservazione, integrità e riservatezza. Gli enti devono dimostrare di rispettare i sopra citati principi (principio di accountability).

Il Decreto prevede, al quarto comma, una semplificazione relativi ai soggetti autorizzati in considerazione alla necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 possono conferire le autorizzazioni di cui all’art. 2-quaterdecies, D.Lgs. 30 giugno 2003, n. 196, con modalità semplificate, anche oralmente.

Sarà comunque opportuno, nell’ottica di tutelare l’amministrazione, adottare qualche accorgimento: es. presenza di testimonia o rapida verbalizzazione nel rispetto del principio di accountability.

Il decreto al quinto comma approfondisce il profilo dell’informativa e prevede che nel contesto emergenziale in atto, ai sensi dell’art. 23, paragrafo 1, lettera e), del menzionato Regolamento (UE) 2016/679, fermo restando quanto disposto dall’art. 82, D.Lgs. 30 giugno 2003, n. 196, i soggetti di cui al comma 1 possono omettere l’informativa di cui all’art. 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione.

Il decreto al sesto comma prevede che al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020, i soggetti sopra citati adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.

Il decreto in esame è utile per agevolare gli enti e gli operatori sotto il profilo privacy nell’ottica di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali: gli operatori dovranno valutare i trattamenti nel rispetto dei principi di necessità e proporzionalità.

Il trattamento dei dati personali, come precisato dal considerando 4 del regolamento privacy europeo, dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità.

Come osservato dal Garante privacy nel recente provvedimento ad oggetto: ” Parere sulla bozza di ordinanza recante disposizioni urgenti di protezione civile in relazione all’emergenza sul territorio nazionale relativo al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili – 2 febbraio 2020, occorre che alla scadenza del termine dello stato di emergenza, siano adottate da parte di tutte le Amministrazioni coinvolte negli interventi di cui all’ordinanza, misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali in capo a tali soggetti.

Art. 14, D.L. 9 marzo 2020, n. 14 (G.U. 9 marzo 2020, n. 62)