Violano la privacy i trattamenti non coperti dalla normativa nazionale

Il datore di lavoro può rilevare la temperatura corporea di dipendenti, fornitori, clienti all’ingresso della propria sede? E può rendere nota l’identità di un lavoratore contagiato ai colleghi? La scuola può comunicare alle famiglie degli alunni l’identità dei parenti di studenti risultati positivi al Covid-19? Gli enti locali possono pubblicare i dati dei destinatari dei benefici economici? Le aziende sanitarie, le prefetture, i comuni possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento? Sono queste solo alcune delle domande cui rispondono le Faq messe a punto dal Garante per la protezione dei dati personali sulle problematiche connesse all’emergenza Coronavirus in vari ambiti: sanità, lavoro, scuola, ricerca, enti locali. I documenti sono stati predisposti per chiarire dubbi e fornire indicazioni per un corretto trattamento dei dati personali da parte di pubbliche amministrazioni e imprese private. Le Faq, disponibili da oggi sul sito dell’Autorità www.garanteprivacy.it, contengono indicazioni di carattere generale ispirate alle risposte fornite e a reclami, segnalazioni, quesiti ricevuti dall’Ufficio in questo periodo. Il Garante ha chiarito, in particolare, il ruolo che anche nell’attuale emergenza sanitaria deve essere svolto dal medico competente nel contesto lavorativo pubblico e privato, e ha inoltre specificato che il datore di lavoro non deve comunicare i nominativi dei contagiati al rappresentate dei lavoratori per la sicurezza. Per quanto riguarda la scuola, l’istituto è tenuto a fornire alle istituzioni competenti le informazioni necessarie, affinché possano ricostruire la filiera delle persone entrate in contatto con una persona contagiata, ma spetta alle autorità sanitarie competenti informare i contatti del contagiato, al fine di attivare le misure di profilassi. Riguardo alle strutture sanitarie, queste possono individuare le modalità che ritengono più opportune ed efficaci per fornire informazioni, sullo stato di salute, ai familiari dei pazienti Covid-19 che non sono in grado di comunicare autonomamente. La struttura di ricovero può, quindi, ad esempio, dedicare un numero verde per fornire tali informazioni, purché preveda adeguate misure per identificare le persone effettivamente legittimate a conoscere le informazioni sullo stato di salute del familiare ricoverato. L’Autorità, poi, ha ribadito che aziende sanitarie, prefetture, comuni e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi delle persone contagiate dal Covid-19 o di chi è stato posto in isolamento, anche qualora la finalità sia quella di contenere la diffusione dell’epidemia. Il Garante ha, infine, fornito specifici chiarimenti in ordine alle semplificazioni introdotte dalla normativa emergenziale per il trattamento di dati personali nell’ambito delle sperimentazioni cliniche dei farmaci per l’emergenza epidemiologica da Covid-19 e delle ricerche mediche svolte dagli Istituti di ricovero e cura a carattere scientifico (Ircss) finanziate dal Ministero della salute.

Il Garante Privacy  per la protezione dei dati personali, in relazione al fenomeno del proliferare di applicativi di contact tracing da parte di istituzioni pubbliche e soggetti privati, e anche in considerazione del perdurare dello stato d’emergenza disposto dal Governo, ritiene necessario chiarire quanto segue.

L’emergenza COVID-19 non rappresenta automaticamente, e di per sé, una base giuridica sufficiente volta a incidere su diritti e libertà costituzionalmente protette, legittimando trattamenti di dati particolarmente invasivi, quali appunto quelli atti a consentire il tracciamento dei contatti da parte di qualsiasi titolare pubblico o privato.

A tal proposito, il Garante Privacy, precisa che gli unici trattamenti di dati personali che, allo stato, possano vantare un’adeguata base giuridica, sono esclusivamente quelli che trovano il proprio fondamento in una norma di legge nazionale. Ogni altro trattamento finalizzato al contact tracing risulta pertanto privo di un’adeguata fonte giuridica legittimante e, pertanto, effettuato in violazione della normativa europea e nazionale in materia di protezione dei dati personali.

Fonte: Federprivacy

Articoli correlatiAltro dello stesso autore