L’attuale situazione emergenziale in cui versa la nostra Nazione, afflitta dall’esigenza di arginare l’ingravescente contagio da COVID-19, sollecita, inter alia, una riflessione in tema di protezione dei dati personali nonché circa la potenziale violazione di diritti individuali.
Partendo dalla disciplina di cui al Regolamento UE 2016/679 del 27.04.2016, l’art. 9 sancisce, al suo paragrafo 1) che “è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi ad identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
Ciò posto, al paragrafo 2), lett. i) è dato leggere che “il paragrafo 1) non si applica se si verifica uno sei seguenti casi: (…) i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.
La ragione della deroga alla disciplina di cui al predetto paragrafo 1), sul divieto di trattamento di informazioni sanitarie, risiede nella necessità di scienziati e ricercatori di pervenire alla diagnosi e alla più veloce cura di una patologia e, per gli operatori sanitari, di attivare soccorsi più immediati, consentendo una più efficace protezione per gli individui da tutti i potenziali rischi.
Ne deriva, quindi, che la comunicazione dei dati personali sanitari risulti propedeutica e imprescindibile per la diagnosi e per la cura dei soggetti.
E’ stato, tuttavia, ritenuto che, pur con l’incedere di un’epidemia, o come da qualche giorno, della pandemia, uno Stato democratico e liberale – quale l’Italia – non possa tollerare atteggiamenti tesi a minare i diritti individuali, come un alleggerimento del divieto di divulgazione di dati sensibilissimi come quelli involgenti lo stato di salute degli individui.
Dai media si apprendono, ormai quotidianamente, notizie afferenti a soggetti ad esempio colpiti dal virus, con la pubblicazione di fotografie e di altre informazioni relative alla sfera personale.
O ancora, nelle realtà lavorative – e in special modo in quelle contemplanti un contatto con il pubblico – laddove ancora operative nella presente situazione di allarme, si richiede l’acquisizione di informazioni da parte dei dipendenti circa la sussistenza di sintomi riconducibili a tosse e/o influenza o sugli spostamenti e sulle frequentazioni eventuali con soggetti provenienti da zone maggiormente esposte al contagio, atti a riconoscere un potenziale rischio per la salute, sempre nel rispetto dei criteri di correttezza e di adeguatezza.
Sempre al fine di ottenere informazioni sanitarie attendibili e strumentali ad un più efficace controllo dell’evoluzione della malattia nonché alla ricerca di una valida soluzione terapeutica, onde garantire, soprattutto, la massima protezione dall’emergenza sanitaria a carattere transfrontaliero, anche “allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali”, si colloca il D.L. 09.03.2020 n. 14, recante Disposizioni urgenti per il potenziamento del SSN in relazione all’emergenza Covid-19, il cui art. 14 attribuisce in capo a soggetti ben individuati (soggetti operanti nel Servizio nazionale di protezione civile, ex artt. 4 e 13 del d.lgs 1/2018 e i soggetti attuatori individuati dall’art. 1 dell’ordinanza del Capo del Dipartimento della protezione civile n. 630/2020, gli uffici del Ministero della Salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ex art. 3 D.L. del 23.02.2020 n. 6, conv. con modifiche dalla l. 13/2020) il potere di effettuare il trattamento di dati personali ai sensi degli artt. 9 e 10 del prefato Regolamento UE 2016/679, purchè necessario.
Ciò significa che, nell’ottica di prevenzione e di controllo dell’espandersi della malattia, solo i soggetti istituzionali contemplati nell’appena citata disposizione possono svolgere attività di trattamento dei dati personali in deroga a quanto disciplinato nel Regolamento UE.
In merito alle realtà lavorative, appare utile il richiamo al parere fornito dal Garante Privacy del 02.03.2020, per il quale resta fermo l’obbligo del lavoratore di segnalare qualsiasi situazione di pericolo per la salute e la sicurezza nei luoghi di lavoro, nel rispetto delle indicazioni stabilite dal Ministero per la P.A. in merito al dovere in capo al dipendente di comunicare la eventuale provenienza da zone a rischio o la frequentazione di soggetti provenienti dalle aree de quibus o qualsiasi altra informazione rilevante al fine di evitare il rischio biologico.
Con un piccolo salto argomentativo, in ambito sanitario, tuttavia, può scorgersi una sorta di beneficio – altresì in capo alle amministrazioni – proveniente dal trattamento e dalla raccolta dei dati personali, anche in termini di grandi estensioni (cd. big data).
Per comprendere come l’utilizzo massivo di informazioni veicolate attraverso le cd. “fabbriche di dati”, a cui vengono affidate informazioni talora inconsapevolmente, si rammenti il progetto Flu Trends di Google.
Attraverso le ricerche eseguite da parte degli utenti sul motore di ricerca Google, sulla sintomatologia influenzale, prima di recarsi presso i presidi, è stato possibile prevedere con anticipo il luogo di diffusione di una patologia influenzale e di prevenirne massivi contagi, rammostrandosi così, l’utilizzo di tali dati particolarmente utile al fine di arginare lo sviluppo di un virus e di individuare pronte soluzioni terapeutiche.
Tiziana Di Palma