
GDPR e Coronavirus, un equilibrio delicato
L’emergenza Coronavirus ci ha costretti a rivedere in tempi brevissimi le nostre abitudini, i nostri rapporti personali e le relazioni di lavoro.
Il diritto alla salute e il diritto al lavoro sono entrambi previsti e riconosciuti dalla nostra Costituzione. Ma in un momento storico come quello attuale il diritto al lavoro si è dovuto arrendere davanti al più importante e impellente diritto alla salute.
Anche le regole che disciplinano il trattamento dei nostri dati sanitari si scontrano con l’attuale epidemia.
Operativamente in Italia è consentito agli enti impegnati a far fronte all’emergenza di trasferire i dati tra loro senza scopi specifici se non l’emergenza stessa. E all’esterno a soggetti pubblici o privati solo ai fini dello svolgimento delle attività connesse all’emergenza sanitaria.
Sul punto il comitato europeo per la protezione dei dati ha adottato la seguente dichiarazione:
Governi e organismi pubblici e privati di tutta Europa stanno adottando misure per contenere e attenuare il COVID-19. Ciò può comportare il trattamento di diverse tipologie di dati personali.
Le norme in materia di protezione dei dati (come il regolamento generale sulla protezione dei dati) non ostacolano l’adozione di misure per il contrasto della pandemia di coronavirus. La lotta contro le malattie trasmissibili è un importante obiettivo condiviso da tutte le nazioni e, pertanto, dovrebbe essere sostenuta nel miglior modo possibile. È nell’interesse dell’umanità arginare la diffusione delle malattie e utilizzare tecniche moderne nella lotta contro i flagelli che colpiscono gran parte del mondo. Il Comitato europeo per la protezione dei dati desidera comunque sottolineare che, anche in questi momenti eccezionali, titolari e responsabili del trattamento devono garantire la protezione dei dati personali degli interessati.
La dichiarazione prosegue specificando:
Occorre pertanto tenere conto di una serie di considerazioni per garantire la liceità del trattamento di dati personali e, in ogni caso, si deve ricordare che qualsiasi misura adottata in questo contesto deve rispettare i principi generali del diritto e non può essere irrevocabile.
L’emergenza è una condizione giuridica che può legittimare limitazioni delle libertà, a condizione che tali limitazioni siano proporzionate e confinate al periodo di emergenza.
Il GDPR contiene una serie di norme di ampia portata, tra cui anche disposizioni che si applicano al trattamento dei dati personali in un contesto di emergenza come quello attuale legato al Coronavirus.
Il GDPR consente, infatti, alle autorità sanitarie pubbliche e ai datori di lavoro di trattare dati personali nel contesto di un’epidemia, nel rispetto del diritto nazionale e delle condizioni stabilite.
Cosa vuol dire?
Che se il trattamento dei dati è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica non è necessario basare il trattamento sul consenso degli interessati.
Quindi per motivi di interesse pubblico e, in particolare:
- per garantire la protezione dall’emergenza sanitaria
- assicurare la diagnosi e l’assistenza sanitaria dei contagiati
- garantire la gestione dell’emergenza a cui è sono sottoposti i nostri ospedali
i soggetti operanti nella Protezione civile, gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio Sanitario Nazionale e in generale tutti i soggetti coinvolti nella emergenza possono effettuare trattamenti, inclusa la comunicazione tra loro, dei dati personali.
Anche relativi all’articolo 9 del GDPR – particolari categorie di dati personali tra cui i dati relativi alla salute – che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del Coronavirus.
Il trattamento rispetta il GDPR nell’ambito delle competenze che il diritto nazionale attribuisce alle autorità pubblica.
E in ambito lavorativo?
Il trattamento dei dati personali può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro. Ad esempio in materia di salute e sicurezza sul luogo di lavoro. Oppure per il perseguimento di un interesse pubblico, come il controllo delle malattie.
Il GDPR già prevede deroghe al divieto di trattamento di alcune categorie particolari di dati personali, come i dati sanitari, facendo esplicito riferimento al controllo di un’epidemia.
Il datore di lavoro può, quindi, ottenere informazioni personali nella misura necessaria ad adempiere agli obblighi previsti e ad organizzare le attività lavorative, conformemente alla legislazione nazionale.
Il GDPR prevede che il datore di lavoro debba chiedere informazioni sanitarie soltanto nella misura consentita dal diritto nazionale.
Inoltre il datore di lavoro deve informare il personale sui casi di Coronavirus e adottare misure di protezione.
Ma non deve comunicare più informazioni del necessario.
Nel caso sia necessario indicare il nome del dipendente o dei dipendenti che hanno contratto il virus (ad esempio, in un contesto di prevenzione) e il diritto nazionale lo consenta, i dipendenti interessati vengono informati in anticipo tutelando la loro dignità e integrità.
È, poi, importante adottare adeguate misure di sicurezza e riservatezza che garantiscano che i dati personali non siano divulgati a soggetti non autorizzati.
E si dovrebbero documentare in misura adeguata le misure messe in campo per gestire l’attuale emergenza e il relativo processo decisionale.
Gli interessati al trattamento
Inoltre, l’interessato – che non è necessariamente contagiato o malato ma in generale chiunque coinvolto – può essere informato del trattamento in modalità semplificata anche oralmente.
I dati personali necessari per conseguire gli obiettivi perseguiti dovrebbero essere trattati per finalità specifiche ed esplicite.
Inoltre, gli interessati dovrebbero ricevere informazioni trasparenti sulle attività di trattamento svolte e sulle loro caratteristiche principali, compreso il periodo di conservazione dei dati raccolti e le finalità del trattamento.
Le informazioni dovrebbero essere facilmente accessibili e formulate in un linguaggio semplice e chiaro.
Se vuoi risolvere una tua questione legale o avere un parere sugli argomenti trattati prenota qui la tua consulenza.
Se vuoi approfondire tutti gli aspetti del GDPR leggi gli articoli della Categoria.
Per tutti gli aggiornamenti segui #LexAroundMe
Lascia qui il tuo commento al blog e ai servizi di LexAround.me
#GDPR e #Coronavirus #Privacy #datipersonali #datisanitari #LexAroundMe Condividi il Tweet