Trattamento dati sanitari (e giudiziari) compresso fino a fine emergenza

L’interesse pubblico giustifica modalità semplificate e garanzie ridotte per la gestione dei dati personali su salute e reati, anche senza il consento dell’interessato: è questo uno dei temi introdotti nella conversione del decreto Cura Italia.

In sede di conversione del Dl 18/2020 sono state inserite - senza particolare clamore - specifiche disposizioni sul trattamento dei dati personali nel contesto emergenziale.

Il nuovo articolo 17-bis consente una temporanea compressione dei diritti degli interessati al fine di garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero, di assicurare la diagnosi e l’assistenza dei contagiati ed anche per la gestione del Servizio sanitario nazionale.

Fino al termine dello stato di emergenza, pertanto, alcuni soggetti (uffici e strutture pubbliche e private operanti a vario titolo nell’ambito della protezione civile, Ministero della salute, Servizio sanitario nazionale), o più in generale deputati a monitorare e a garantire l’esecuzione delle misure di contenimento, possono effettuare i trattamenti dei dati personali anche relativi a categorie particolari (articolo 9 del Gdpr) e reati (articolo 10 del Gdpr) che risultino necessari all’espletamento delle funzioni ad essi attribuite.

L’ampiezza delle deroghe
Queste deroghe ai normali livelli di garanzia sono legittimate espressamente da alcune norme del Gdpr e del Codice Privacy per motivi di interesse pubblico, per finalità di medicina preventiva o di protezione da gravi minacce sanitarie internazionali.

In ogni caso, i trattamenti andranno effettuati nel rispetto dei princìpi di correttezza, trasparenza, determinatezza e liceità delle finalità, adeguatezza e pertinenza (articolo 5 del Gdpr) e adottando misure tecniche e organizzative appropriate a tutela dei diritti e delle libertà degli interessati.

Questi soggetti inoltre possono autorizzare il trattamento dei dati a persone che operano sotto la loro autorità con modalità semplificate e anche oralmente ove sussista la necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con la salvaguardia della riservatezza degli interessati. In questo contesto, è stata anche prevista la possibilità di omettere l’informativa normalmente dovuta ovvero fornirla in modalità semplificata anche oralmente.

Ove indispensabile per la gestione dell’emergenza sanitaria, i dati potrebbero essere comunicati a ulteriori (non meglio precisati) soggetti pubblici e privati e diffusi se diversi da quelli disciplinati dagli articoli 9 e 10 del Gdpr.

Al termine dello stato di emergenza, in ogni caso, i trattamenti effettuati nel contesto dell’emergenza dovranno essere ricondotti «all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali».

La piattaforma unica nazionale
La nuova norma, se da un lato introduce semplificazioni a favore della prevenzione sanitaria, dall’altro impone una riflessione sulle potenziali ricadute soprattutto alla luce della prospettata implementazione di screening clinici diffusi e/o di tecnologie “intelligenti”, per il tracciamento e la rilevazione di contatti considerati a rischio.

Questo anche perché, con Dl 28/2020, sono state disposte apposite «misure urgenti per l’introduzione del sistema di allerta Covid-19», istituendo «una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile».