le nuove norme

Trattamento dati sanitari in emergenza: che cambia col decreto coronavirus

Il DPCM del 9 marzo 2020 che rende tutta l’Italia zona protetta ha notevoli impatti anche sulla privacy, per il trattamento dei dati personali particolari per finalità di emergenza sanitaria. Esaminiamo lo stato dell’arte della recentissima normativa, D.L. n. 14/2020

11 Mar 2020
Gennaro Maria Amoruso

Avvocato e data protection officer in aziende sanitarie pubbliche

Chiara Ponti

Avvocato, Privacy Specialist


La situazione di ermegenza sanitaria per il coronavirus determina in questi giorni un’attività di trattamento dati che, fino a poco tempo fa, poteva essere considerata come un’ipotesi remota, quasi di scuola.

Ossia quella prevista dall’art. 9 par. 2 lett. i) del Regolamento (UE) 2016/679 che testualmente recita: «il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale».

Molti interpreti si sono accorti di questa disposizione alla lettura del Decreto-legge 9 marzo 2020, n. 14 recante “Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19” pubblicato in G.U. n. 62, il 9 marzo 2020, ed in vigore dal 10 marzo 2020.

Per comprendere cosa cambia, in questa particolare situazione, per il trattamento dei dati personali particolari, per finalità di emergenza sanitaria, esaminiamo allora lo stato dell’arte della recentissima normativa.

Cosa (apparentemente) cambia

Occorre precisare che cambia poco o nulla per il trattamento dei dati per finalità e per motivi di interesse pubblico nel settore della sanità pubblica.

Infatti, nel Decreto Legge n. 14/20, all’art. 14, viene ripreso quanto già previsto nell’Ordinanza del Capo del Dipartimento della Protezione Civile (di seguito O.C.D.P.C.) n. 630 del 3 febbraio 2020, pubblicata in G.U. n. 32 in data 8 febbraio 2020 rispetto alla quale, la nostra Autorità Garante per la Protezione dei dati personali, aveva espresso parere favorevole con Provvedimento n. 15 del 2 febbraio 2020, a cui si rinvia.

Con l’O.C.D.P.C. succitata è stata consentita la possibilità di realizzare trattamenti, ivi compresa la comunicazione tra loro, dei dati personali/dei dati particolari ed anche giudiziari necessari per l’espletamento della funzione di Protezione Civile, connessa all’insorgenza delle patologie derivanti da agenti virali trasmissibili.

Questo ha consentito, ove necessario — e da un mese a questa parte — un flusso di scambio di dati tra i soggetti individuati dal Decreto Legislativo n. 1 del 2 gennaio 2018, meglio noto come Codice della Protezione Civile, agli artt. 4 e 13.

Tali soggetti sono rappresentati da tutti i componenti del Servizio Nazionale della Protezione Civile e delle Strutture Operative ad esso connesse.

Ma non è tutto.

Immaginiamo, infatti, che nel periodo antecedente al D.L. 14/2020 si fosse verificato uno scambio ed un flusso di dati anche particolari tra Titolari del trattamento operanti nella sanità pubblica e le autorità di pubblica sicurezza ovvero ancora con le autorità locali e comunali, questo era legittimo?

Certo che sì!

Da oggi, vieppiù; considerato che detta disposizione, contenuta nell’O.C.D.P.C., assurge a rango prescrittivo ancor più rilevante passando da esser contenuta in una fonte normativa secondaria, ad una fonte normativa primaria, quale è il Decreto Legge.

L’art. 14 del D.L. 14/20

WHITEPAPER
Chief operating officer: come bilanciare sicurezza informatica e responsabilità operative
Sicurezza
Cybersecurity

Si tratta di una norma che chiarisce, ed in qualche modo cristallizza, quella che è una necessità dei soggetti pubblici — ma non di meno privati — il flusso e l’interscambio dei dati.

Si tratta di un flusso unico essendo un (flusso) di interscambio tra Enti. Si pensi, ad esempio, alla comunicazione tra Prefetto e Questore in ordine ai dati di un individuo, purché ai fini di sorveglianza sanitaria utile ai fini di sapere — in un contesto emergenziale — dove abita, a quale nucleo familiare appartenga, chi frequenti, eccetera.

Non solo. Si rende, altresì, effettivo un bilanciamento tra gli interessi fondamentali di pari rango del nostro Ordinamento: quello della protezione dei dati e quello della salute, propendendo per quest’ultimo, costituzionalmente garantito, sia come diritto fondamentale dell’individuo che della collettività.

Ma, vediamo, cosa dice il decreto nello specifico all’articolo 14 del DL n. 14/20.

Anzitutto, circoscrive l’ambito temporale dell’applicazione di tali norme e riguarda lo stato di emergenza deliberato dal Consiglio dei Ministri, relativo alla emergenza sanitaria determinata dalla diffusione del Covid-19.

Al comma I viene esplicitato che, per questo tipo di attività e situazione, il trattamento dei dati particolari e giudiziari si effettua ai sensi e per gli effetti di cui all’art. 9 par. 2:

  • lett. g) interesse pubblico;
  • lett. h) finalità di diagnosi terapia e cura;
  • lett. i) protezione da gravi minacce per la salute potendo trattare i dati, relativi alla salute, anche soggetti diversi da coloro che sono tenuti ad un segreto professionale, un segreto d’ufficio o altro obbligo di riservatezza, così come previsto dall’articolo 9 par. 3 del Regolamento (UE) 679/2016.

Al comma II è consentita la trasmissione nonché il flusso dei dati anche a soggetti diversi da quelli individuati nel Codice della Protezione Civile di cui al Decreto Legislativo 1/18.

Il che permette la comunicazione di questa tipologia di dati anche a soggetti (eventualmente) privati, quali i datori di lavoro, al netto del Comunicato Stampa del Garante Privacy del 2 marzo 2020; facendo salva, infatti, l’ipotesi secondo la quale detto trattamento avvenga nei soli casi in cui risulti indispensabile, ai fini delle attività connesse alla gestione dell’emergenza sanitaria, in atto.

Al comma III «i trattamenti di dati personali … sono effettuati nel rispetto dei principi di cui all’articolo 5 del citato Regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.»

Di grande rilevanza per la protezione dei dati e nello spirito di principi che animano le norme europee, il Decreto Legge riporta e ricorda agli operatori ed agli interpreti del diritto, i ben noti principi di cui all’art. 5 del GDPR, in base al quale effettuare dette attività.

Non solo. Qui vengono altresì in luce altri principi come l’accountability, la privacy by design e by default, per non farsi trovare impreparati in una situazione di emergenza, e via seguitando.

Ne discende che il trattamento dei dati particolari e giudiziari, deve comunque rispettarne la liceità, correttezza e trasparenza, la limitazione delle finalità, la minimizzazione dei dati, l’esattezza.

I dati non potranno essere conservati per un periodo illimitato, bensì contenuto da potersi ravvisare con la fine del periodo di emergenza oppure nei 60 giorni successivi alla raccolta, così come previsto dall’Ordinanza del Ministro della Salute del 21 febbraio 2020. Naturalmente, il Titolare del trattamento dovrà garantire l’integrità e la riservatezza dei dati adottando misure appropriate, a tutela dei diritti e delle libertà degli interessati.

Al comma IV leggiamo il dettaglio delle eccezioni che possono essere poste in essere nel trattamento dei dati, avendo necessità di contemperare le esigenze di gestione della drammatica emergenza sanitaria che stiamo vivendo.

Tra le righe si scorge, poiché ribadita, la preminenza del diritto fondamentale della salute dell’intera collettività, e viene precisato che, ad esempio, le autorizzazioni e le istruzioni al trattamento dei dati (art. 29 del Regolamento UE 2016/679) possono essere fornite in forma semplificata o anche oralmente, così come previsto dall’articolo 2 quaterdecies del D. Lgs. 196/2003 come riformato dal D. Lgs. 101/2018.

Al comma V si rammenta che l’art. 23 par. 1 lett. e) del Regolamento (UE) 679/2016 consente delle limitazioni degli obblighi di informazione e dei diritti degli interessati, pur nel rispetto dell’essenza dei diritti e delle libertà fondamentali stesse; trattandosi comunque di una misura proporzionata in una Società democratica posta a salvaguardia di rilevanti interessi pubblici, come quello della salute.

Pertanto, è consentita l’informativa ex art. 13 del citato Regolamento, in forma semplificata e/o in forma orale.

Il che non esime, affatto, anche in un momento del genere, di istruire i propri dipendenti.

Al comma VI, leggiamo la sorte di questi trattamenti nel senso testualmente che «al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020, i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali».

In altri termini, l’ultimo comma dell’art. 14 è destinato a trattare quella quale sarà la situazione del trattamento dei dati nel momento in cui cesserà lo stato di emergenza’ Ed i soggetti che hanno effettuato queste attività di trattamento adotteranno delle misure idonee a ricondurre il trattamento dei dati personali nell’ambito delle ordinarie competenze delle regole che disciplinano i trattamenti stessi?

Conclusioni

Forse in un momento simile, per quanto drammatico sia, dovremmo chiederci se non occorrerebbe una revisione dell’intera Governance dei dati pensando, soprattutto nel contesto delle strutture sanitarie — qualunque natura abbiano siano esse aziende sanitarie o aziende ospedaliere pubbliche — alla catena dei Responsabili (esterni). Il flusso, come detto potrebbe riguardare chiunque, purché nell’ambito di questi trattamenti particolari.

Concludendo con un esempio concreto, essendo magari di utilità, per quanti RPD/DPO si trovano ad operare in questo drammatico momento, soprattutto di contesti sanitari dovendo gestire la situazione (purtroppo non remota, quantunque la si scongiuri il più possibile) di un malato il quale si aggravi, perda conoscenza e deceda, dopo lo si scopra senza eredi, potendo risalire al solo rapporto di lavoro, unico “aggancio” per venire a conoscenza, per il tramite del medico competente dell’Azienda privata presso la quale era in forza, dell’anamnesi, potendolo sì fare in quanto rientrante nella specifica ipotesi di cui all’art. 9 par. 2, lett. c) “il trattamento è necessario per tutelare un interesse vitale” del Regolamento (UE) 679/2019.

WHITEPAPER
Quali elementi considerare per capire se si è vulnerabili agli hacker?
IoT
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 4