La gestione di dati personali nel contesto della pandemia COVID 19
Il regolamento generale europeo sulla protezione dati personali mette a disposizione una serie di regole che si applicano anche ad un contesto affatto anomalo, come quello dell’attuale pandemia, che colpito l’Europa intera. Il regolamento stabilisce le basi legali sulle quali è possibile ai datori di lavoro ed alle autorità sanitarie pubbliche di trattare dati personali nel contesto di epidemie o pandemia, senza ottenere il consenso degli interessati coinvolti. Leggendo in particolare gli articoli 6 e 9 del regolamento generale si comprende come la protezione di interessi vitali della società civile abbia la precedenza rispetto ad altre obbligazioni legali, incluse nel regolamento.
In particolare, l’articolo 15 della direttiva sulla protezione dei dati elettronici (direttiva eprivacy) stabilisce che i paesi membri dell’unione europea debbano introdurre misure legislative che permettano di tutelare le esigenze di sicurezza nazionale, ma anche di sicurezza pubblica. Ancora una volta, con una apprezzabile tempestività, l’autorità garante britannica ha messo a disposizione una serie di quesiti, e la relativa risposta, che risultano preziosi per tutti i titolari, responsabili del trattamento e responsabili della protezione dei dati, che operano in un contesto sanitario.
Durante una pandemia, non è possibile che esigenze di protezione della salute pubblica superino le normali regole che proteggono i dati personali di tutti i cittadini. Questa affermazione è veritiera o no?
Questa affermazione non è corretta. È del tutto naturale che, in condizioni di emergenza, le risorse umane ed informatiche disponibili per la salute pubblica possano essere concentrate su altri settori operativi, rispetto al settore della protezione dei dati. Ecco il motivo per cui le autorità nazionali non prenderanno provvedimenti nei confronti di titolari, che si trovino operare in condizioni estreme. Ad esempio, il fatto di rispondere tardivamente una richiesta di accesso ai dati, nelle circostanze illustrate, non costituisce una violazione sanzionabile del regolamento sulla protezione dei dati personali.
Una struttura sanitaria può prendere contatto con singoli interessati, in relazione all’attuale pandemia, senza aver ottenuto precedente consenso?
Le leggi afferenti alla protezione dei dati ed alle comunicazioni elettroniche non impediscono al governo, oltre a strutture sanitarie ed anche ai singoli medici, di inviare messaggi che tutelano la salute pubblica a tutti i cittadini, sia per telefono, sia con SMS, sia per posta elettronica, in quanto questi messaggi non costituiscono marketing diretto. Parimenti, nulla impedisce ai cittadini di utilizzare le più moderne tecnologie per consultare, anche a distanza, referti medici e diagnosi.
Anche il personale sanitario, nei limiti del possibile, può effettuare lavoro a domicilio durante questa situazione. Quali ulteriori misure di sicurezza deve assumere il titolare, per proteggere i dati, trattati a domicilio?
La protezione dei dati non costituisce una barriera all’utilizzo dello smart working. Tuttavia occorre sensibilizzare gli autorizzati al trattamento ad utilizzare, nell’ambito domestico, precauzioni ed apprestamenti di sicurezza informatica, non diversi da quelli che vengono utilizzati nell’ambiente di lavoro di ufficio. In particolare, si deve prestare particolare attenzione a possibili tentativi di frode informatica, perpetrati mediante messaggi di posta elettronica.
Posso dire ai miei conoscenti che un collega potrebbe essere stato potenzialmente infetto da covid 19?
La risposta è affermativa, in quanto la tutela della salute pubblica è dominante rispetto alla informazione afferente alla sanità di un collega. Ovviamente, l’approccio più corretto è quello di informare chi di dovere, senza indicare nomi specifici e senza fornire alcuna ulteriore informazione, rispetto a quella minima necessaria. Il datore di lavoro ha l’obbligo di garantire la salute dei propri dipendenti e certamente il rispetto del regolamento in materia di protezione dati personali non è dominante, rispetto a questo obbligo fondamentale.
Posso raccogliere dati afferenti all’attuale pandemia, connessi ai miei dipendenti od a visitatori, che vengano nella mia azienda? In particolare, posso raccogliere informazioni sanitarie prima di una conferenza od un evento?
Come detto prima, un titolare del trattamento, che è anche datore di lavoro, ha un obbligo primario di proteggere la salute dei propri dipendenti ed in particolare anche dei visitatori. Ecco perché non vi è alcun ostacolo a chiedere ai visitatori se provengono da regioni che sono state particolarmente colpite dalla pandemia. Nei limiti in cui è consentita l’aggregazione di persone, è possibile porre la stessa domanda anche a questi visitatori. Resta ovviamente valida la imposizione di raccogliere il minimo numero di dati necessari per le finalità dichiarate.
Posso condividere con le autorità sanitarie le informazioni afferenti alla salute dei miei dipendenti?
Anche se questa eventualità è relativamente infrequente, nessun regolamento sulla protezione dei dati può impedire di effettuare queste comunicazioni, nel superiore interesse della salute pubblica.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.
Pubblica un commento
Rispondi Autore: dino rondina - likes: 0 | 18/03/2020 (08:57:07) |
Buon giorno Biasiotti, e di tutto il "pippone", scusi il francesismo, del Protocollo condiviso sul rapporto tra la misurazione della temperatura e la privacy, senza accenni alle conseguenti difficoltà applicative nelle PMI che ne dice? Grazie |