La privacy è anzitutto un diritto e come tale non va calpestato. L’ormai famoso GDPR contiene le disposizioni generali per il trattamento dei dati personali, che si sono rivelate applicabili anche in un contesto economico-sanitario come quello attuale.
Infatti, il GPDR prevede deroghe al divieto di trattamento di alcune categorie particolari di dati personali, come i dati sanitari, “se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell’Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali dell’interessato (articolo 9.2.c)”. L’attuale emergenza sanitaria da Covid-19 può quindi rientrare nelle succitate condizioni.
Tra gli strumenti di contenimento del contagio previsti dal Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020, è stata prevista la possibilità di adottare alcune misure di controllo, come, ad esempio, la possibilità di verificare lo stato di salute del personale, di clienti e fornitori mediante la rilevazione della temperatura corporea al momento dell’ingresso nei luoghi di lavoro o di richiedere il rilascio di una dichiarazione di non provenienza da zone a rischio contagio o di assenza di contatti con soggetti risultati positivi nei 14 giorni precedenti.
Il Garante Privacy Italiano, in linea con il Garante Privacy Europeo, ha più volte sottolineato che aziende, società e professionisti non devono procedere ad una raccolta e ad un trattamento di tali dati in modalità “fai da te”.
Facciamo un esempio.
In virtù del fatto che la rilevazione in tempo reale della temperatura corporea, quando associata all’identità del soggetto interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata; è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.
Nel caso in cui, invece, la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione), anche nel caso in cui la temperatura superi la soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.
Sono comunque previste adeguate cautele ed obblighi per il trattamento di questi dati personali, pur se lo stesso trova fondamento giuridico – anche in assenza di consenso – nel necessario contemperamento dei diritti degli interessati con altri diritti personali fondamentali (ai sensi degli articoli 6 e 9 del GDPR, in presenza di disposizioni nazionali autorizzative).
Chi raccoglie e gestisce i dati dovrà rispettare quanto segue:
1. obbligo di fornire ai soggetti interessati una specifica informativa trasparente, precisa e circostanziata sulle finalità del trattamento (esigenza di prevenire il contagio da Covid-19 e di tutelare l’incolumità delle persone che hanno accesso allo stabile);
2. obbligo di definire modalità e durata del trattamento in questione;
3. conformità con i principi di necessità, adeguatezza e proporzionalità del trattamento medesimo (come precisato dal Gruppo di Studio Europeo in materia di Privacy, intervenuto sul punto con la dichiarazione resa il 19 marzo 2020). In questa situazione molti imprenditori, che non hanno ancora correttamente adeguato la propria azienda alle normative privacy europee, si espongono a cospicue sanzioni e alla possibilità di ripercussioni di carattere civile e/o penale.
La privacy è un diritto fondamentale di ciascuno di noi e come tale va garantito da tutti gli attori coinvolti. La paura, pur giustificata di contagio da virus, non può in alcun modo affievolirlo.