Coronavirus. Yacoubi: "Sì allo scambio di informazioni fra istituzioni sui dati sensibili, ma solo finché dura l'emergenza"

di SARAH YACOUBI*

"Il decreto approvato dal Consiglio dei ministri in data 9 marzo sul potenziamento del servizio sanitario era una misura attesa. Alcune norme riguardano altresì la questione del trattamento dei dati personali. Il regolamento europeo 2016/679 (GDPR) contempla un cedimento “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero”. Una descrizione che calza a pennello con la diffusione del Covid-19.

Si tratta di una norma che chiarisce, ed in qualche modo cristallizza, quella che è una necessità dei soggetti pubblici, ma non di meno privati, sul flusso e l’interscambio dei dati.

Esempio lampante, La comunicazione tra Prefetto e Questore in ordine ai dati di un individuo,  purché ai fini di Sorveglianza Sanitaria utile ai fini di sapere  in un contesto emergenziale dove abita, a quale nucleo familiare appartenga, chi frequenti e tutte le altre informazioni utili.

Si rende, altresì, effettivo un bilanciamento tra gli interessi fondamentali, quello della Protezione dei dati e quello della salute, con la prevalenza di quest’ultimo, costituzionalmente garantito, sia come diritto fondamentale dell’individuo che della collettività.

Il decreto legge varato il 9 marzo dal Governo  rafforza il sistema sanitario nazionale di fronte all’escalation dell’epidemia da Sars-Cov-2. Secondo l’articolo 14 si  autorizzano Protezione civile, Ministero della Salute, Istituto superiore di sanità, ospedali e tutte le forze in campo, per contenere il contagio, e assistere i malati, a raccogliere tutti i dati personali che ritengono necessari, anche quelli inseriti nelle categorie più sensibili dal Regolamento europeo sulla privacy (Gdpr), tra cui dati biometrici e informazioni su condanne penali e reati.

“Il Decreto  apre uno spiraglio di luce alle autorità italiane per trattare i dati personali, anche di massima delicatezza, per tutto ciò che può servire a gestire l’emergenza”. “Una legislazione di questo tipo deve essere legata a un controllo di validità costituzionale,  per esempio con un vaglio periodico stretto della Corte costituzionale, e con un meccanismo a tagliola che ne comporti la decadenza non appena termina l’emergenza”.

La situazione di emergenza sanitaria per il coronavirus determina in questi giorni un’attività di trattamento dati che, fino a poco tempo fa, poteva essere considerata come un’ipotesi remota, quasi di scuola.

Quella prevista dall’art. 9 par. 2 lett. i) del Regolamento (UE) 2016/679 che testualmente recita: «il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale».

Cosa dice il decreto nello specifico all’articolo 14 del DL n. 14/20?

Anzitutto, circoscrive l’ambito temporale dell’applicazione di tali norme e riguarda lo stato di emergenza deliberato dal Consiglio dei Ministri, relativo alla emergenza sanitaria determinata dalla diffusione del Covid-19.

"L'articolo 14 della norma permette alla Protezione civile di stabilire misure sul trattamento dei dati personali fuori da ciò che, in tempi normali, garantisce la Costituzione" Il primo comma, regola l'interscambio di dati sanitari e giuridici tra le autorità, la protezione civile, i militari e la sanità. "Non esisteva una testo che disciplinava l'interscambio di dati, e quindi c'è stato bisogno di un decreto che, in sostanza, autorizza questi passaggi è possibile farli con una informativa molto semplificata, anche solo orale. Un trattamento reso possibile dall'emergenza, per il quale si creeranno magari banche dati apposite e che dovrà cessare al termine dell'emergenza". La decisione è stata presa sulla scorta del parere positivo dato dal garante della Privacy a febbraio alla Protezione civile.

I dati non potranno essere conservati per un periodo illimitato, bensì contenuto da potersi ravvisare con la fine del periodo di emergenza oppure nei 60 giorni successivi alla raccolta, così come previsto dall’Ordinanza del Ministro della Salute del 21 febbraio 2020. Naturalmente, il Titolare del trattamento dovrà garantire l’integrità e la riservatezza dei dati adottando misure appropriate, a tutela dei diritti e delle libertà degli interessati.

Al comma IV leggiamo il dettaglio delle eccezioni che possono essere poste in essere nel trattamento dei dati, avendo necessità di contemperare le esigenze di gestione della drammatica emergenza sanitaria che stiamo vivendo.

La preminenza del Diritto Fondamentale della Salute dell’intera collettività,

Al comma V si rammenta che l’art. 23 par. 1 lett. e) del Regolamento (UE) 679/2016 consente delle limitazioni degli obblighi di informazione e dei diritti degli interessati, pur nel rispetto dell’essenza dei diritti e delle libertà fondamentali stesse; trattandosi comunque di una misura proporzionata in una Società democratica posta a salvaguardia di rilevanti interessi pubblici, come quello della salute.

Pertanto, è consentita l’informativa ex art. 13 del citato Regolamento, in forma semplificata e/o in forma orale.

Il che non esime, affatto, anche in un momento del genere, di istruire i propri dipendenti.

Al comma VI, leggiamo la sorte di questi trattamenti nel senso testualmente che «al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020, i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali».

In altri termini, l’ultimo comma dell’art. 14 è destinato a trattare quella quale sarà la situazione del trattamento dei dati nel momento in cui cesserà lo stato di emergenza’ Ed i soggetti che hanno effettuato queste attività di trattamento adotteranno delle misure idonee a ricondurre il trattamento dei dati personali nell’ambito delle ordinarie competenze delle regole che disciplinano i trattamenti stessi?

Occorrerebbe una revisione dell’intera Governance dei dati pensando, soprattutto nel contesto delle Strutture Sanitarie, qualunque natura abbiano siano esse Aziende Sanitarie o Aziende Ospedaliere Pubbliche.

 Il flusso, come detto potrebbe riguardare chiunque, purché nell’ambito di questi trattamenti particolari.

In questo drammatico momento,  RPD/DPO si trovano ad operare soprattutto  dovendo gestire una situazione, in attesa di più puntuali indicazioni da parte del Garante della Privacy.

                                                                                                                                                       *Privcay Consultant

CLICCA QUI