Volume consigliato
Il parere del Garante per la protezione dei dati personali sull’ordinanza recante disposizioni urgenti di protezione civile
A seguito della delibera del Consiglio dei Ministri del 31 gennaio 2020 con la quale è stato dichiarato, per sei mesi, lo stato di emergenza sul territorio nazionale relativo al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili, il Capo del Dipartimento della protezione civile ha chiesto parere al Garante per la protezione dei dati personali in ordine a una bozza di ordinanza, contenente i primi interventi urgenti di protezione civile in relazione alla predetta emergenza, da emanarsi ai sensi dell´art. 25 del d.lgs. 2 gennaio 2018, n. 1, Codice della protezione civile. Il Garante in data 2 febbraio 2020 ha espresso parere favorevole.
La bozza di ordinanza, all’art. 5, in relazione al trattamento dei dati personali connessi all’attuazione delle attività di protezione civile, allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, ha previsto che i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli artt. 4 e 13 del d.lgs. 2 gennaio 2018, n. 1 nonché di quelli indicati all’art. 1 della bozza di ordinanza, possono effettuare trattamenti, ivi compresa la comunicazione tra loro, di dati personali anche relativi agli artt. 9 e 10 del Regolamento (UE) 2016/679, che risultino necessari per l’espletamento della funzione di protezione civile a al ricorrere dei casi di cui agli articoli 23, comma 1 e 24, comma 1, del d.lgs. 2 gennaio 2018, n. 1, citato, fino al 30 giugno 2020.
È stato inoltre previsto che la comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli sopra citati, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento (UE) 2016/679, è effettuata, nei casi in cui essa risulti indispensabile, ai fini dello svolgimento delle attività previste dall’ordinanza.
Infine, è previsto che i trattamenti di dati personali devono essere effettuati nel rispetto dei principi di cui all’art. 5 del Regolamento (UE) 2016/679 e che, nel contesto dell’emergenza, avuto riguardo all’esigenza di contemperare la funzione di soccorso con quella afferente la salvaguardia della riservatezza degli interessati, i soggetti operanti nel Servizio nazionale di protezione civile di cui agli artt. 4 e 13 del d.lgs. 2 gennaio 2018, n. 1, possono conferire le autorizzazioni di cui all’art. 2-quaterdecies del Codice, con modalità semplificate, anche oralmente.
Il Garante esprime parere favorevole sulla bozza di ordinanza recante disposizioni urgenti di protezione civile in relazione all’emergenza sul territorio nazionale relativo al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili, in quanto le disposizioni contenute nell’ordinanza risultano idonee a rispettare le garanzie previste dalla normativa in materia di protezione dei dati personali nel contesto di una situazione di emergenza.
Lo stesso Garante, evidenzia, tuttavia, la necessità che, alla scadenza del termine dello stato di emergenza, siano adottate da parte di tutte le Amministrazioni coinvolte negli interventi di protezione civile di cui all’ordinanza, misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali in capo a tali soggetti.
Il Garante per la protezione dei dati personali risponde ai quesiti in merito alla possibilità di raccogliere informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti
Il Garante per la protezione dei dati personali, in data 2 marzo 2020, accogliendo l’invito delle istituzioni competenti a un necessario coordinamento sul territorio nazionale delle misure in materia di Coronavirus, invita tutti i titolari del trattamento ad attenersi alle indicazioni fornite dal Ministero della salute e dalle istituzioni competenti per la prevenzione della diffusione del Coronavirus, senza effettuare iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti.
Il Garante, in particolare, risponde ai numerosi quesiti in merito alla possibilità di raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio, ricordando che “Soggetti pubblici e privati devono attenersi alle indicazioni del Ministero della salute e delle istituzioni competenti”.
Inoltre, datori di lavoro pubblici e privati hanno chiesto al Garante la possibilità di acquisire una “autodichiarazione” da parte dei dipendenti in ordine all’assenza di sintomi influenzali, e vicende relative alla sfera privata. Al riguardo, il Garante segnala che la normativa d’urgenza adottata nelle ultime settimane prevede che chiunque negli ultimi 14 gg abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, debba comunicarlo alla azienda sanitaria territoriale, anche per il tramite del medico di base, che provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario. I datori di lavoro devono invece astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.
In particolare, il Garante afferma come “la finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano tali funzioni in modo qualificato”. L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano infatti soltanto agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.
Resta, tuttavia, fermo l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Al riguardo, il Ministro per la pubblica amministrazione ha fornito indicazioni operative circa l’obbligo per il dipendente pubblico e per chi opera a vario titolo presso la P.A. di segnalare all’amministrazione di provenire da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni. In particolare, nel caso in cui, nel corso dell’attività lavorativa, il dipendente che svolge mansioni a contatto con il pubblico venga in relazione con un caso sospetto di Coronavirus, lo stesso, anche tramite il datore di lavoro, provvederà a comunicare la circostanza ai servizi sanitari competenti e ad attenersi alle indicazioni di prevenzione fornite dagli operatori sanitari interpellati.
La normativa a tutela dei dati personali
Il Garante per la protezione dei dati personali ha emesso tali disposizioni tenendo conto sia del Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE che del decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”.
Il testo del Regolamento definisce dato personale come qualsiasi informazione riguardante una persona fisica identificata o identificabile.
Si considera identificabile la persona fisica che può essere identificata direttamente o indirettamente.
Vengono presi in considerazione anche i dati relativi all’ubicazione e gli identificativi online. Pertanto, l’attività svolta in rete lasciando tracce viene tutelata dal GDPR.
Si considerano categorie particolari di dati, quei dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, i dati genetici e i dati biometrici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Il trattamento è descritto come qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta la registrazione, l’organizzazione e le altre operazioni sul dato.
Il titolare del trattamento è la persona fisica o giuridica l’autorità pubblica o il servizio che determina le finalità del trattamento di dati personali.
Per Responsabile di trattamento si intende la persona fisica o giuridica che tratta i dati personali per conto del titolare del trattamento.
Volume consigliato
Scrivi un commento
Accedi per poter inserire un commento