L’avvocato Luigi Todaro, specializzato nel diritto delle nuove tecnologie DPO, risponde

La sfida della Privacy nell’era del nuovo coronavirus

617

La tutela della privacy in questo particolare momento che vede tutto il mondo impegnato nella lotta contro il diffondersi del nuovo coronavirus “COVID19” sembra vacillare. Alcuni Stati, come Cina e Corea, stanno mettendo in campo tecnologie evolute per controllare ogni passo dei propri cittadini. Le aziende e gli enti, invece, cercano di rispondere alla crisi osservando le strette regole imposte dagli ultimi decreti. Come possiamo resistere a questo “stress giuridico”? Cosa possiamo aspettarci dall’immediato futuro? La nostra privacy continuerà ad essere garantita? Abbiamo posto queste domande all’Avvocato Luigi Todaro del Foro di Roma, specializzato nel diritto delle nuove tecnologie DPO (Data Protection Officer – Business Continuity).

Ha un senso parlare di tutela della privacy in un momento in cui l’unico interesse è combattere la pandemia?

Prima di tutto dobbiamo ricordare una distinzione indispensabile.  I concetti di privacy e protezione dei dati personali sono fondamentalmente diversi, anche se oggi molti continuano a sostenere che tale differenziazione non abbia più senso.

La privacy fa riferimento al diritto alla riservatezza delle informazioni personali e della propria vita privata ed è lo strumento per tutelare la sfera intima del singolo individuo volto a impedire che le informazioni siano divulgate in assenza di specifica autorizzazione o a chiedere la non intromissione nella sfera privata da parte di terzi. Tanto che usiamo il termine privacy quando vogliamo rappresentare uno spazio personale limitato agli sconosciuti.

La protezione dei dati personali, invece, è un sistema di trattamento degli stessi che identifica direttamente o indirettamente una persona. Nella sua definizione, come chiarito dal Regolamento europeo in materia di protezione dei dati personali (Reg. UE 2016/679, anche detto GDPR) oltre al principio di riservatezza, troviamo quello della disponibilità e dell’integrità dei dati personali.

Dopo aver precisato i termini, è vero che lo scorso 14 marzo il Presidente del Consiglio dei ministri e i ministri competenti hanno sottoscritto insieme alle parti sociali un Protocollo di regolamentazione, delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro,  ma sul tema, però, era già intervenuto  precedentemente (precisamente il 2 marzo) il Garante per la protezione dei dati personali , il quale ha riconosciuto alle autorità un ruolo speciale nel trattare i dati.

Nello specifico: “La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato”. Il garante, quindi, ha dettato la linea al protocollo di regolamentazione, e se da una parte abilita le autorità italiane a trattare i dati personali (anche quelli di massima delicatezza) per tutto ciò che può servire a gestire l’emergenza, dall’altra mette in guardia gli altri titolari del trattamento dei dati (come i datori di lavoro e altre figure) dall’avviare raccolte fai-da-te, chiedere autocertificazioni sui sintomi influenzali e sui contatti delle ultime settimane. Queste figure, stando al protocollo guidato dal Garante, hanno altri obblighi.

Quali sono tali obblighi?

Il primo articolo del Protocollo è dedicato all’informazione dei lavoratori. La trasparenza infonde fiducia nei processi che riguardano i cittadini, permettendo loro di comprenderli e, se necessario, di opporvisi. Ogni azienda, dunque, attraverso le modalità più idonee ed efficaci, deve informare tutti i lavoratori e chiunque entri in azienda circa le disposizioni delle Autorità, consegnando e/o affiggendo all’ingresso, e nei luoghi maggiormente visibili dei locali aziendali, degli appositi manifesti o schede informative.

In particolare, le informazioni devono specificare:

  • l’obbligo di rimanere nel proprio domicilio in presenza di febbre (oltre 37.5°) o altri sintomi influenzali e di chiamare il proprio medico di famiglia e l’autorità sanitaria;
  • la consapevolezza e l’accettazione di non poter fare ingresso in azienda, ovvero di permanervi e di dover dichiarare tempestivamente laddove, anche successivamente all’ingresso, sussistano le condizioni di pericolo;
  • l’impegno a rispettare tutte le disposizioni delle Autorità e del datore di lavoro nel fare accesso in azienda (in particolare, mantenere la distanza di sicurezza, osservare le regole di igiene delle mani e tenere comportamenti corretti sul piano dell’igiene);
  • l’impegno a informare tempestivamente e responsabilmente il datore di lavoro della presenza di qualsiasi sintomo influenzale durante l’espletamento della prestazione lavorativa, avendo cura di rimanere ad adeguata distanza dalle persone presenti.

Il protocollo prevede anche altre modalità operative riguardanti il trattamento dei dati. Come la rilevazione della temperatura corporea, che costituisce un trattamento di dati personali e, pertanto, deve avvenire sempre nel rispetto del Regolamento europeo, ma al riguardo il protocollo suggerisce: “Innanzitutto rilevare la temperatura e non registrare il dato acquisito. Soltanto nell’eventualità in cui sia necessario documentare le ragioni che hanno impedito l’accesso ai locali aziendali sarà possibile identificare l’interessato e registrare il superamento della soglia di temperatura”.

Poi, bisogna  fornire l’informativa sul trattamento dei dati personali ai sensi dell’art. 13 GDPR. , il Protocollo prevede che l’informativa potrà essere fornita anche oralmente (cfr. art. 12, par. 1, GDPR) . Quello che non deve mai mancare nell’informativa è:

  1. la finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19, e
  2. la base giuridica del trattamento che potrà essere indicata con l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 (art. 6, lett. e), nonché art. 9, lett. b), GDPR);
  3. l’indicazione tempi dell’eventuale conservazione dei dati (conformemente all’art. 13, par. 2, lett. a), GDPR) si potrà fare riferimento al termine dello stato d’emergenza.

Nel rispetto del principio cd. di limitazione della finalità (art. 5, par. 1, lett. b del GDPR), il Protocollo ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative.

Come ha sottolineato il Garante della Privacy, la sfida lanciata dal Coronavirus per i Data Protection Officer (DPO)  delle Aziende e degli Enti pubblici è quella di saper coniugare  e bilanciare le misure poste in essere per rendere veloce ed efficace l’azione di prevenzione con le garanzie e i principi di tutela dei diritti fondamentali a protezione dei diritti e le libertà fondamentali. Anche se il bene giuridico più importante in questo momento è la salute pubblica.

Per tutelare la salute pubblica si utilizza il tracciamento dei cellulari per controllare gli spostamenti dei cittadini. E’ una misura che secondo lei pregiudica la tutela delle libertà personali?

Si tratta di una tecnologia molto interessante definita “Contact Tracing” e sfrutta i dati raccolti dallo smartphone di ognuno di noi, al fine di mappare i nostri spostamenti e i nostri contatti quotidiani. Questa tecnologia è già stata adottata in alcuni paesi come Cina, Corea del Sud, Giappone, Israele e Danimarca, seppur con metodologie diverse. In Cina e in Corea, che presentano ordinamenti con poca attenzione alle libertà personali, non hanno avuto alcuno scrupolo ad utilizzare la tecnologia del Contact Tracing in modo verticale per ottenere una sorveglianza integrale di tutti gli individui.  Invece, sono stato favorevolmente impressionato ancora una volta da Israele per come ha saputo utilizzare questa tecnologia armonizzandola con tutte le norme che regolamentano il trattamento e la protezione dei dati personali e non solo il GDPR. In questa Nazione è direttamente lo Shin Bet (l’agenzia di intelligence per gli affari interni) ad attingere a una lista segreta dei dati di cellulari appartenenti ai cittadini israeliani per tracciare i loro spostamenti e verificare se abbiano frequentato luoghi di contagio o soggetti positivi al Covid-19. Questo permette di aggiornare costantemente una mappa che indica, oltre ai luoghi, anche la data e l’orario degli spostamenti dei cittadini pseudonimizzati e anonimizzati. Il tutto con l’obiettivo di stabilire chi, anche in assenza di sintomi, debba essere sottoposto a regime di quarantena. Anche in Italia abbiamo le giuste professionalità per adottare queste tecnologie con le modalità più opportune e proporzionate alle nostre libertà personali.

Come stanno reagendo gli Enti e le aziende alla pandemia data dal nuovo coronavirus? L’atteggiamento che stanno osservando è adeguato?

Stanno avendo l’atteggiamento giusto visto le “misure immediate” adottate per proteggere i lavoratori dal contagio e per come stanno contribuendo alla gestione dell’emergenza. Inoltre, molte imprese ed enti hanno messo in campo e attuato le procedure che guidano le proprie organizzazioni nel rispondere, recuperare, riprendere e ripristinare a il livello di produzione precedente al coronavirus. In merito a questo particolare, però, voglio dire una cosa. Anche se c’è ancora molto da fare in tema di Business Continuity, tante di queste organizzazioni ci insegnano molto e devono essere un esempio per tutti noi che viviamo una situazione particolare. Mi spiego meglio: in questo momento ci troviamo tutti bloccati a casa, ingessati e ci appare difficile continuare a lavorare o continuare a relazionarci con le persone, i nostri clienti, i dipendenti, i fornitori e i colleghi, ma anche con i propri amici o familiari, e se non avessimo alternative dovremmo solo fermarci. In questo momento, invece, è la tecnologia digitale a venirci incontro e per continuare ad essere operativi non dobbiamo rinviare o annullare nessun impegno o incontro fisico visto che possono essere convertiti e ripensati in appuntamenti virtuali, utilizzando le semplici ed economiche tecnologie che esistono su qualsiasi smartphone come (skype, whatsapp e simili).

Per consulenze e informazioni potete contattare l’avvocato Luigi Todaro alla mail it.legale@gmail.com e al numero 3428577468

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui