Stiamo ancora vivendo la “coda”, si spera per poco, del Covid19.
Il GDPR (Regolamento Europeo pe la protezione dei dati personali n. 2016/679) contempla la possibilità di trattare dati personali per esigenze connesse alla salute pubblica.
Il Considerando n. 46 prevede infatti che il trattamento dei dati personali possa essere effettuato lecitamente qualora siano in gioco rilevanti motivi di interesse pubblico, come ad esempio avviene “per tenere sotto controllo l’evoluzione di epidemie”.
Come sappiamo i dati personali si suddividono in due grandi macrocategorie: “dati comuni” e “dati particolari” o sensibili, che comprendono appunto in dati relativi alla salute.
Pertanto ogni trattamento di dati particolari dovrà fondarsi su una base giuridica, ovvero deve sussistere un presupposto che legittimi il trattamento di questa particolare categoria di dati personali.
In questo caso la base giuridica potrebbe essere costituita dall’art. 6.1 lett d) (salvaguardia degli interessi vitali) e dall’art. 9 .2 lett (interesse pubblico nell’ambito della sanità pubblica, sulla base del diritto dello Stato che è il DPCM dell’ 11 marzo 2020, art. 1 co. 7) lett. d) laddove consente al datore di lavoro di approntare protocolli per evitare il contagio.
Secondo questi presupposti, l’Autorità Garante Italiana per la privacy ha stabilito che i datori di lavoro devono astenersi dal raccogliere a priori dati personali in maniera sistematica o generalizzata; nemmeno attraverso specifiche richieste al singolo lavoratore”. Infatti, “la finalità di prevenzione dalla diffusione del Coronavirus deve essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato”.
Recentemente, a tal proposito, è stato siglato un protocollo tra sindacati e imprese per la gestione della questione sanitaria nascente dall’epidemia in corso.
Ciò che dovrebbe fare l’impresa è approntare un protocollo, ai fini dell’accountability, per la cosiddetta data governance, cioè per garantire un corretto trattamento dei dati personali nell’ambito dell’attuale epidemia.
Ciò avviene principalmente attraverso un’ informativa adeguata (e aggiornata) da fornire agli interessati, minimizzando i dati da raccogliere e da trattare, coinvolgendo il medico competente e adottando delle misure di sicurezza tecniche e organizzative tali da assicurare la Riservatezza, l’Integrità e la Disponibilità dei dati, individuando dei soggetti incaricati al trattamento, senza dimenticare di garantire sempre la dignità del lavoratore.
Si ricorda che il protocollo non ha forza di legge, pur tuttavia in rispetto dello stesso agevola la compliance al GDPR. Rimangono comunque da risolvere questioni collaterali connesse alla gestione dei dati sanitari; in primis l’individuazione e la nomina degli autorizzati al trattamento e la conservazione della documentazione e delle informazioni raccolte durante questa fase di emergenza.