I provvedimenti di natura emergenziale che si sono succeduti hanno determinato conseguenze anche sulla protezione dati, specialmente quelli sanitari. La situazione al momento è estremamente fluida e dare risposte assolute alle molte domande che possono nascere non è semplice: ricordiamo anche che, al momento, stiamo parlando di decreti che non sono ancora legge e potrebbero ancora intervenire modifiche, anche in sede di conversione. I dubbi sono sorti anche a chi questi provvedimenti li doveva scrivere ed è stato chiesto un parere al Garante in quanto ogni attività di monitoraggio, dalla rilevazione della temperatura corporea da parte dei datori di lavoro alle autocertificazioni, implica un trattamento dati, oltretutto sensibili, che richiederebbe uno specifico consenso.

Con il parere del 2 Marzo è stato chiarito che non possono essere intraprese attività “fai da te”: soggetti pubblici e privati dovranno applicare le indicazioni delle competenti autorità. In particolare, ai datori era chiesto di astenersi dal raccogliere informazioni o dati ai lavoratori. Precisa altresì che questo era compito dei soggetti che istituzionalmente esercitano queste funzioni in modo qualificato, fermo l’obbligo del lavoratore di segnalare qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro.

Con il decreto del successivo 14 Marzo, tra le altre misure, è stata prevista un’importante forma di semplificazione, in quanto i soggetti legittimati, vale a dire quelli sanitari pubblici, possono omettere o rilasciar e in forma semplificata l’informativa ex art. 13 GDPR, “previa comunicazione orale agli interessati della limitazione”. E’ poi previsto che al termine dell’emergenza vengano adottate misure per ricondurre i trattamenti nell’ambito delle ordinarie regole.

Importante aspetto viene dalla previsione che è ammessa la “comunicazione” di dati personali ai soggetti privati e ai soggetti pubblici e la “diffusione” di dati diversi da quelli definiti sensibili nel GDPR, nei limiti in cui “risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria”.
Sembra sia esclusa la facoltà di raccolta da parte di privati, nel rispetto di quanto espresso dal Garante.

Il 14 marzo è stato poi sottoscritto un protocollo tra le principali associazioni datoriali ed organizzazioni sindacali, il quale prevede che i datori di lavoro possano misurare la temperatura dei dipendenti prima dell’accesso al luogo di lavoro per impedire l’accesso laddove dovesse risultare superiore a 37,5°. La conservazione dei dati identificativi è limitata al caso in cui sia necessario documentare le ragioni che hanno precluso l’accesso al luogo di lavoro. Il Protocollo riconosce anche la possibilità raccogliere un’autodichiarazione, dal personale che attesti la non provenienza da zone a rischio epidemiologico e l’assenza di contatti, ma sempre nel rispetto della normativa in materia di trattamento di dati personali, evitando in particolare la raccolta di dati eccedenti quelli strettamente necessari.

È quasi certo che ci saranno altre novità, compresa l’analisi di dati di traffico anonimi e aggregati: non possiamo escludere che non vengano adottate anche ulteriori misure che, anche se meno invasive rispetto a quelle adottate in Cina come l’app “Health” Cod, o a Taiwan, dove con l’uso volontario di tecniche digitali è stata limitata la diffusione del virus. In ogni caso è inevitabile che sorgano nuovi interrogativi sulla compatibilità con i principi a tutela dei dati personali.