***
La disciplina sul trattamento dei dati personali particolari (dati sanitari) del GDPR richiamata e confermata dall'art. 14 del D.L. 14/2020. 1.1 I soggetti deputati alla raccolta dei dati sanitari. 1.2. Ambito temporale di applicazione dell'art. 14 e dell'intero D.L. 14/2020
Il citato decreto si connota di una breve struttura, concentrato com'è in 18 articoli raccolti in Quattro Capi. Norma di rilievo in materia di privacy nel contesto dell'emergenza sanitaria in atto è la previsione di cui all'art. 14, rubricato “Disposizioni sul trattamento dei dati personali nel contesto emergenziale”, contenuta nel IV ed ultimo Capo, intitolato “Altre disposizioni”. In tale situazione di emergenza sanitaria nazionale, preme innanzitutto chiarire che la Protezione civile, il Ministero della Salute, l'Istituto superiore di sanità, gli ospedali e tutte le forze pubbliche sono i soli soggetti che possono raccogliere dati personali. In quanto deputati ad impedire il contagio e garantire l'assistenza ai malati detti soggetti possono raccogliere qualsiasi tipologia di dati personali ivi inclusi i c.d. dati biometrici o relativi a condanne penali e reati.
Al comma 1 dell'art. 14, si ribadiscono gli aspetti fondanti della disciplina sul trattamento dei dati sanitari di cui al Regolamento Europeo 2016/679 c.d. GDPR (limiti e ambito di applicazione, nonché, modalità di svolgimento in conformità ai principi cardine enunciati dal Regolamento) con il richiamo agli artt. 9 e 5 del GDPR. In particolare, l'art. 9, par. 1, lettere g), h) ed i) del GDPR, consente il trattamento di dati sanitari per "motivi di interesse pubblico rilevante", per "finalità di diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali" e per "motivi di interesse pubblico nel settore della sanità pubblica" sulla base del diritto dell'Unione o degli Stati membri, nonché nei limiti di cui all'art. 2-sexies del Codice Privacy. L'art. 5 del GDPR, richiamato dal comma 3 dell'art. 14, invece, impone che il trattamento avvenga nel rispetto dei principi generali di liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione; esattezza; limitazione della conservazione; integrità e riservatezza; responsabilizzazione.
Preme infine sottolineare come l'art. 14, al comma sesto, circoscrive l’ambito temporale dell’applicazione di tali norme allo stato di emergenza deliberato dal Consiglio dei Ministri per la diffusione del Covid-19. Pertanto, superata la situazione di criticità sanitaria, dovranno essere adottate misure"idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell'emergenza, all'ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali".
La ratio alla base delle semplificazioni alla disciplina sul trattamento dei dati personali apportate dall'art. 14 del D.L. 14/2020
Se la disciplina sul trattamento dei dati personali particolari (dati sanitari) resta immutata quanto ad ambito e modalità di applicazione (ai sensi degli artt. 5 e 9 del GDPR suddetti), con l'art. 14, comma 4, del citato decreto vengono introdotte due importanti deroghe al chiaro ed evidente intento di facilitare l'applicazione della normativa vigente in materia: l'una, riguarda le autorizzazioni al trattamento dei dati personali che potranno essere fornite a voce; l'altra, attiene all'informativa ex art. 13 GDPR, che potrà essere omessa o fornita con modalità semplificate, "previa comunicazione orale agli interessati della limitazione". Entrambe le deroghe palesano l'importanza data alla salute dell’intera collettività e riconosciuta dal Governo nel bilanciamento degli interessi compiuto nella situazione di emergenza sanitaria in corso.
La previsione afferente la comunicazione e diffusione a soggetti privati dei dati raccolti, inevitabile nell'emergenza sanitaria attuale
L'art. 14, comma secondo, del D.L. 14/2020 sancisce, come era prevedibile, la "comunicazione" di dati personali ai soggetti privati e ai soggetti pubblici diversi da quelli indicati nel Codice della Protezione Civile di cui al Decreto Legislativo 1/18. La norma citata, al medesimo comma, prevede altresì la "diffusione" di dati diversi da quelli di cui agli artt. 9 e 10 GDPR (che riguardano, come noto, rispettivamente, le categorie particolari di dati personali, inclusi quelli sanitari, e i dati personali relativi a condanne penali e reati), nei limiti in cui "risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria in atto".
E' esclusa invece la facoltà in capo ai privati (ad esempio, datori di lavoro) di raccogliere in via autonoma e diretta i dati sullo stato di salute dei propri dipendenti o clienti. Tale previsione è il riflesso del recente provvedimento del Garante Privacy italiano del 2 marzo 2020, che limita ai soggetti pubblici qualificati a gestire l'emergenza in atto, la raccolta e il trattamento di dati personali sanitari, e, al contempo, vieta trattamenti, appunto, “fai da te”, da parte di soggetti non qualificati.
Conclusioni
Le implicazioni sul piano della Privacy derivanti dal trattamento in misura esponenziale dei dati sanitari sono evidenti, specie e, soprattutto, nel contesto dell'emergenza che stiamo vivendo. Era dunque necessario ed urgente l'intervento del Governo. Come visto, nell'art. 14 del D.L. 14/2020 appena esaminato sono fissati determinati punti fondamentali. La disciplina rimane la stessa in ordine all'ambito di applicazione ed al rispetto dei principi generali del GDPR. Vengono previste due deroghe (autorizzazioni e informative orali) oltre la possibilità di comunicare e diffondere dati a soggetti privati nei limiti sopra detti. Infine, è ribadita l'applicazione limitata nel tempo del decreto legge 14/2020 e rimarcato che solo i soggetti pubblici deputati (operatori sanitari) sono autorizzati alla raccolta autonoma di dati sanitari. Tutto ciò, come detto, in linea a quanto espresso dal Garante Privacy Antonello Soro lo scorso 2 marzo (Doc. Web 9282117), secondo cui: “La finalità di prevenzione dalla diffusione del Coronavirus deve infatti essere svolta da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato”.
