L'approfondimento

Coronavirus e GDPR, il trattamento dei dati durante l’emergenza: ecco le regole

Il Decreto del presidente del consiglio dei ministri, con cui si inaspriscono le norme per contenere la diffusione del coronavirus, presenta elementi inerenti la data protection per delineare la disciplina da adottare in questo periodo di emergenza

12 Mar 2020
S
Riccardo Siviero

Studio Legale Siviero Associati


Dopo la “stretta” del Governo che ha imposto la chiusura della maggior parte delle attività per contrastare il diffondersi del coronavirus, è importante far chiarezza sugli aspetti della privacy legati al frangente, alla luce del GDPR.

Le condizioni attuali

Alla luce della attuale compressione dei diritti, quale deve essere l’approccio alla lettura dei Dpcm emanati? In prima battuta va comunque chiarito, sotto l’aspetto giuridico, che oggi lo stato d’emergenza è una condizione ordinaria. Pertanto, vivere in condizioni normali rappresenta, attualmente, l’eccezione. Ciò significa che le disposizioni di cui ai recenti decreti del Presidente del Consiglio dei Ministri non sono più soggette ai limiti della interpretazione analogica ed estensiva perché si tratta di disposizioni eccezionali. Tali disposizioni andranno quindi interpretate sempre in senso restrittivo (ogni attività è chiusa come regola, eccezione: resta aperta).

Premesso che chi vi scrive in questi giorni è rimasto in casa nel pieno rispetto delle disposizioni governative ricevute, appare utile analizzare, quanto sia possibile applicare la disciplina GDPR al contenuto delle disposizioni emergenziali emanate. Relativamente al trattamento dei dati personali occorre prendere in considerazione quanto disposto dal Decreto del Presidente del Consiglio dei Ministri n. 14 del 9 marzo 2020, in particolare l’art. 14.

Come sappiamo, il decreto in commento troverà applicazione fino al prossimo 3 aprile 2020 e le relative disposizioni saranno applicabili a soggetti pubblici e privati che operano nell’ambito del Sistema Sanitario Nazionale. Tale decreto consente, tra l’altro, la comunicazione tra soggetti pubblici ed incaricati di pubblico servizio, se necessario, dei dati di cui agli artt. 9 (dati attinenti alla salute) e 10 GDPR (dati attinenti ai reati ed alle misure di sicurezza). Invece, la comunicazione e la diffusione di dati, diversi da quelli di cui agli artt. 9 e 10 GDPR, a soggetti pubblici o incaricati di pubblico servizio viene consentita dal Decreto “nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto”.

La necessità di misure appropriate

Ad ogni modo il legislatore ha disposto che il trattamento di tali dati debba sempre avvenire nel rispetto dei principi di cui all’art. 5 del GDPR adottando misure “appropriate” – e non adeguate, ma tant’è – cioè proporzionali rispetto alla necessità, tenuto conto della situazione emergenziale in atto. Il co. 4 dell’art. 14, offre la possibilità per il titolare ed il responsabile del trattamento, individuati tra i soggetti di cui al comma 1 del predetto articolo, di poter conferire autorizzazione al trattamento in modo semplificato, secondo i predetti principi di proporzionalità e necessità, secondo quanto previsto dall’art. 2-quaterdecies del D.Lgs. 196/2003.  Tale art. 2-quaterdecies permette la possibilità di individuare i soggetti incaricati anche in forma orale.
Resta sempre consigliabile a parere di chi scrive fornire copia della nomina, l fine di poter dimostrare di aver fornito anche le necessarie indicazioni.

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

Al co. 5, il Decreto prevede la possibilità di omettere l’informativa agli interessati, per i soggetti di cui al comma 1, ai sensi degli art. 13 GDPR, fornire l’informativa senza ritardo dopo la prestazione. Al riguardo vi è più di un dubbio circa la mancanza all’interno del testo del Decreto, del riferimento all’art. 14 GDPR. Ad ogni modo, l’ultimo comma del Decreto in commento, prevede che alla fine dell’emergenza “i soggetti di cui al comma 1 riconducano i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti dei dati personali”.

Conclusione

Da quanto esaminato emerge più di una perplessità circa il rispetto dei principi sanciti dal GDPR. Tuttavia, tali discrepanze rispetto alla normale disciplina si rendono di fatto necessarie stante la situazione emergenziale in atto. Al riguardo giova ricordare quanto sancito dalla Corte Europea dei Diritti dell’Uomo che chiarisce il significato di “necessario”. Tale aggettivo implica che per lo Stato sussista una “pressante emergenza sociale” tale da consentire allo stesso di agire in un modo. Sempre che tale modus agendi tenga sempre bene a mente il criterio della proporzionalità, nel perseguire lo scopo prefissato.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5