Covid-19, privacy soft fino a luglio

ROMA - A causa del protrarsi dell'emergenza sanitaria determinata dal Covid-19, prosegue  la privacy in versione light. L'articolo 19 del decreto legge 183/2020 (Milleproroghe) rinvia al 31 luglio 2021 il termine che legittima lo scambio dei dati tra autorità pubbliche (sanità, protezione civile, enti locali ecc.) ed enti attuatori (anche privati), semplifica l'informativa e le autorizzazioni a trattare i dati.

La disposizione originaria, di cui è stato disposto il differimento dell'efficacia, è l'articolo 17-bis, commi 1 e 6, del decreto-legge 18/2020. In sintesi, questa disposizione, che è ormai alla terza proroga, prevede la possibilità, di effettuare trattamenti dei dati personali, inclusa la comunicazione delle informazioni necessarie all'espletamento delle funzioni loro proprie nell'ambito dell'emergenza determinata dal diffondersi del Covid-19.

Le motivazioni, che costituiscono anche la base giuridica di questi trattamenti, sono: protezione dall'emergenza e relative misure di profilassi; diagnosi e l'assistenza sanitaria dei contagiati; gestione emergenziale del Servizio sanitario nazionale.

I contenuti della norma

La speciale disciplina riguarda il Servizio nazionale della protezione civile, i soggetti attuatori, il Ministero della salute, l'Istituto superiore di sanità, le strutture pubbliche e private del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l'esecuzione delle misure di contenimento. Peraltro, la norma prevede che lo scambio di dati con soggetti diversi da quelli elencati o la diffusione di dati diversi da quelli sensibili (sanitari, altri dati particolari e giudiziari) possono effettuarsi, purché risultino indispensabili ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria in atto (si pensi a comunicazioni ai datori di lavoro).

In sostanza la disposizione non sospende la privacy in maniera completa, ma adegua e conforma le regole sul trattamento dei dati alla situazione provocata dalla pandemia planetaria. In particolare la norma si sofferma sullo scambio di dati, il quale viene autorizzato dalla legge. Peraltro questa disposizione non deve ispirare a comportamenti lassisti, in quanto la stessa norma conferma che devono essere rispettati i principi dell'articolo 5 del regolamento (Ue) sulla privacy 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.

Quest'ultimo articolo, la cui violazione può essere autonomamente posta a base di una sanzione amministrativa, in realtà ha una portata vasta e generica, perché enuncia in generale i principi di correttezza, liceità e proporzione. Quindi, se è vero che lo scambio di dati può avvenire, gli enti devono fare attenzione ed adottare le cautele per impedire che siano conosciuti da terzi non autorizzati. In sostanza il riferimento all'articolo 5 deve far riflettere gli enti pubblici e privati coinvolti nella gestione dell'emergenza.

A questo proposito va sottolineato che sono già sul tavolo del Garante della privacy molti fascicoli per scambi di dati tra amministrazioni carpiti da terzi curiosi o di comunicazioni da ente pubblico a privati, suscitati dal timore della diffusione del contagio, ma in assenza di una specifica indispensabilità.

Le semplificazioni, che perdurano per tutto il contesto emergenziale, riguardano, anche, le designazioni dei soggetti autorizzati a trattare i dati (ad esempio i dipendenti dei vari enti): sono obbligatorie, ma la norma speciale dell'emergenza sanitaria consente che le designazioni siano fatte oralmente. Sempre nell'ottica della semplificazione, dettata dall'emergenza, la norma speciale permette di non fare l'informativa privacy o di fornire un'informativa semplificata, previa comunicazione orale agli interessati dalla limitazione. Al termine dello stato di emergenza, tutti però dovranno rientrare nei ranghi e adottare misure idonee a ricondurre i trattamenti nell'ambito delle regole ordinarie.

Proprio per la portata della disposizione non va dimenticato che le disposizioni sanzionatorie per eventuali illeciti commessi (ad esempio per violazione dei principi dell'articolo 5 del regolamento Ue 2016/679) sono sempre vigenti e che non vi sono norme che abbiano sospeso l'attività di accertamento delle violazioni.

(Articolo di Avvo. Antonio Ciccia Messina)