Il trattamento di dati personali nel contesto emergenziale alla luce dell’art.17 bis della Legge 27/2020
La Legge 24 aprile 2020 n. 27 entrata in vigore il 30 aprile scorso reca una importante disposizione in materia di protezione di dati personali: l’art. 17 bis. Esso va a sostituire l’art. 14 del D.L. 09/03/2020 n. 14, siccome abrogato dalla legge n. 27/2020. Al paragrafo 1 tale norma individua il perimetro soggettivo di coloro che sono autorizzati a trattare i dati e a scambiarsi comunicazioni aventi per oggetto dati personali anche di natura particolare (tra cui rientrano i dati relativi alla salute e i dati genetici) e giudiziaria, indicati rispettivamente negli articoli 9 e 10 del GDPR, delimitando l’ambito ai soli trattamenti che risultino necessari all'espletamento delle funzioni ad essi attribuite nell'ambito dell'emergenza determinata dal diffondersi del Covid-19.
E’ da notare che tali soggetti sono sostanzialmente quelli che operano per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall'emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del Covid-19 mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l'assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale. Si tratta di soggetti operanti nel Servizio nazionale della protezione civile, dei soggetti attuatori di cui all'articolo 1 dell'ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3 febbraio 2020, nonché degli uffici del Ministero della salute e dell'Istituto superiore di sanità, delle strutture pubbliche e private che operano nell'ambito del Servizio sanitario nazionale ed infine dei soggetti deputati a monitorare e a garantire l'esecuzione delle misure disposte ai sensi dell'articolo 2 del decreto-legge 25 marzo 2020, n. 19.
Al paragrafo 2 troviamo la comunicazione a soggetti pubblici e privati diversi da quelli cui è riconosciuta ai sensi del comma 1 una funzione “attribuita nell’ambito dell’emergenza”.
Risulta autorizzata la comunicazione anche dei dati di cui agli articoli 9 e 10 del GDPR, mentre si possono diffondere solo dati diversi da quelli di cui agli articoli 9 e 10 del GDPR, intesa la diffusione come la messa a disposizione del dato ad una platea di soggetti indeterminati. Cosa che avviene per esempio con la pubblicazione di una notizia sul Web, ma anche con la pubblicazione su un canale social, laddove il contenuto possa essere ripreso da un utente all’altro, uscendo dal controllo di colui che lo ha inserito per primo.
In conclusione sia la comunicazione ai soggetti pubblici e privati diversi da quelli del comma 1, che la diffusione dei dati personali sono effettuate solo nei casi in cui risultino indispensabili ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria.
Si passa cioè da un trattamento “necessario” di cui al paragrafo 1, ad un trattamento “indispensabile” qualora l’ambito soggettivo della comunicazione si allarghi ad altri soggetti pubblici e privati o si estenda fino alla diffusione di dati personali.
La valutazione di cosa sia necessario ovvero indispensabile richiama l’interprete sul concetto di “accountability” (inteso come possibilità di dare conto delle proprie scelte) e soprattutto ai principi dell’art. 5 del GDPR, in particolare il principio di minimizzazione che implica una valutazione attenta da parte di chi effettua le scelte su quel trattamento, in ordine alla adeguatezza, pertinenza e limitazione dei dati che ne formano oggetto. Lo sforzo richiesto è quello di tradurre i principi in atti concreti.
Vi è di più, infatti, perché l’art. 17 bis ci dice anche che i trattamenti di dati personali di cui ai paragrafi 1 e 2 sono effettuati non solo nel rispetto dei principi di cui all'articolo 5 del GDPR, ma anche adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.
Qua si rafforza il ricorso al concetto di “accountability”, posto che nessuno ci dice in astratto quali sono le misure “appropriate” ed è qui che bisogna applicare in concreto anche l’art. 32 del GDPR, individuando comportamenti, procedure, accorgimenti tecnici, flussi di comunicazione che in quello specifico ambito e nella realtà di quei trattamenti traducano principi e parole in azioni.
I paragrafi 4 e 5 sono dedicati unicamente ai soggetti preposti alla gestione dell’emergenza ai sensi del n. 1 (con esclusione, quindi, di tutti i soggetti pubblici o privati cui risulta indispensabile comunicare i dati), i quali possono conferire istruzioni agli incaricati ai sensi dell’art. 2 quaterdecies del Codice della privacy (d.lgs n. 196/2003) con modalità semplificate anche oralmente, nonché omettere di rendere l’informativa di cui all’art. 13 del GDPR o renderla in forma semplificata con l’unica condizione di aver comunicato all’interessato tale limitazione.
Si tratta di due importanti compressioni alla protezione dei dati personali mitigate dall’ultima parte dell’art. 17 bis, il quale contiene un limite temporale e un’implicita conferma della situazione eccezionale di ogni compressione ai predetti diritti.
Infatti, l’art. 17 bis paragrafo 6 prescrive ai soggetti del comma 1 l’adozione -“al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020”- di misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto emergenziale all’ambito delle ordinarie competenze e delle regole che disciplinano i dati personali.
Sarà interessante vedere quale strumento normativo verrà utilizzato per rendere effettiva tale prescrizione oltre che, naturalmente, leggere quali saranno queste misure e come sarà condotta la valutazione di idoneità.