Covid-19: diritto alla salute e tutela dei dati personali

Tra le numerose questioni affiorate con l’emergenza sanitaria è emerso anche un conflitto tra il diritto alla salute dei cittadini e quello alla tutela dei dati personali degli stessi. Capiamo bene il perché analizzando l’argomento.

Il trattamento dei dati sanitari nella pandemia da Covid-19

Per assicurare a ogni cittadino il diritto alla salute pubblica tentando di fronteggiare l’emergenza pandemica, si è rivelato necessario accedere ai dati personali degli utenti, questo per tracciare gli isolamenti dei contagiati, le quarantene preventive, raccogliere e analizzare quanti più dati possibili in modo da restituire stime che potessero fornire informazioni sull’andamento dell’emergenza Covid-19.

I dati sopraindicati riguardano: dati sanitari, giudiziari, informazioni relative agli spostamenti e alle relazioni personali. Va da sé che si tratta di tutta una serie di dati sensibili e per questo, la trattazione necessaria, ha sollevato polemiche non indifferenti. Ma è una polemica legittima?

Si parla di diritti fondamentali, ma che non sono assoluti, così come non lo è il diritto alla tutela dei dati personali che rientra nell’art.52 della carta UE, secondo cui in caso di emergenza di carattere sanitario si agisce attribuendo al contrasto al contagio la priorità sul resto. Ad ogni modo, la raccolta e l’utilizzo dei dati devono avvenire sempre entro i limiti fissati dalle Autorità preposte.

Dalla dichiarazione dello stato di emergenza decretata dall’OMS, passando per le varie ordinanze della Protezione Civile e del Ministero della Salute sono stati, e sono tutt’ora, numerosi gli interventi messi in atto, pertanto, il Garante della Privacy si era già espresso per determinare la correttezza delle azioni dei titolari del trattamento dei dati, comunicando che: “Le attività di prevenzione dalla diffusione del Coronavirus devono rimanere in capo agli organi istituzionalmente deputati a garantire il rispetto delle regole di sanità pubblica, tra cui gli operatori sanitari e il sistema attivato dalla protezione civile.”

Trattamento dei dati sanitari nei luoghi di lavoro per il contenimento della diffusione di Covid-19

Anche nei luoghi di lavoro i Datori sono stati informati di dover trattare i dati personali attenendosi all’art.88 del Regolamento UE 679/2016 (Trattamento dei dati nell'ambito dei rapporti di lavoro) e all’articolo 113 del nuovo Codice Privacy, d.lgs. 101/2018 (Raccolta di dati e pertinenza). Oltre che, come di consueto, dover rispettare il d.lgs. 81/2008 che rappresenta la normativa di riferimento in materia di sicurezza e salute nei luoghi di lavoro e che prevede la disposizione di organigrammi composti dai responsabili nominati al controllo e il medico competente di riferimento.

Inoltre, il d.lgs. 81/2008 determina anche che il medico competente tratti i dati personali agendo senza condizionamenti e/o limiti eventualmente posti dal Datore di lavoro, infatti, l’art. 39 afferma che:

“1. L’attività di medico competente è svolta secondo i principi della medicina del lavoro e del codice etico della Commissione internazionale di salute occupazionale (ICOH).

2. Il medico competente svolge la propria opera in qualità di:

a) dipendente o collaboratore di una struttura esterna pubblica o privata, convenzionata con l’imprenditore;

b) libero professionista;

c) dipendente del datore di lavoro.

3. Il dipendente di una struttura pubblica, assegnato agli uffici che svolgono attività di vigilanza, non può prestare, ad alcun titolo e in alcuna parte del territorio nazionale, attività di medico competente.

4. Il datore di lavoro assicura al medico competente le condizioni necessarie per lo svolgimento di tutti i suoi compiti garantendone l’autonomia.

5. Il medico competente può avvalersi, per accertamenti diagnostici, della collaborazione di medici specialisti scelti in accordo con il datore di lavoro che ne sopporta gli oneri.

6. Nei casi di aziende con più unità produttive, nei casi di gruppi d’imprese nonché qualora la valutazione dei rischi ne evidenzi la necessità, il datore di lavoro può nominare più medici competenti individuando tra essi un medico con funzioni di coordinamento.”

Tutta la documentazione sanitaria dei dipendenti deve essere poi custodita in un apposito luogo dedicato, concordato con il Datore di lavoro e il Medico competente deve svolgere un’attività di sorveglianza sanitaria periodica e programmata. Suddetto Medico rappresenta poi l’unico legittimato al trattamento dei dati.

Nel caso del contrasto alla diffusione del Covid-19, il medico competente è tenuto a collaborare con il Datore di lavoro e con i servizi preposti alla prevenzione e protezione, per valutare i rischi e redigere protocolli anti-contagio, intensificare la sorveglianza sanitaria e determinare la riammissione dei dipendenti dopo l’infezione dalla malattia, secondo quanto stabilito dalla circolare del Ministero della Salute del 12 aprile 2021, prot. n. 0015127.

Covid-19, il rapporto dell’Istituto Superiore di Sanità

L’Istituto Superiore di Sanità è intervenuto chiarendo che in una situazione di emergenza sanitaria, come quella in atto, l’attività di trattamento dei dati rientra nell’ipotesi prevista dall’art. 9 par. 2 lett. i) del GDPR, che consente deroghe al generale divieto di trattare “categorie particolari di dati” quando:

“il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.

A tal proposito poi, affermando la deroga sopracitata, l’Istituto Superiore di Sanità specifica che la disciplina per la protezione dei dati personali prevede già limitazioni necessarie al fine di garantire la salute pubblica, mediante specifici criteri di proporzionalità, precauzione e temporaneità. Ciò comporta che l’impiego dei dati sia limitato strettamente alle finalità per cui sono raccolti e per il tempo necessario al contrasto dell’emergenza.