GDPR e Protocolli aziendali in corso di emergenza sanitaria.

Nelle settimane in cui l’Italia si è trovata a fronteggiare la gestione dell’emergenza sanitaria da Covid-19, lo spasmodico susseguirsi di fonti normative, spesso in contrasto tra loro, ha posto, a più riprese, all’attenzione degli interpreti del diritto la questione della legittimità della compressione di diritti fondamentali nel contesto emergenziale a tutt’oggi in corso.
Il riferimento è al necessario bilanciamento tra il diritto alla salute, tutelato dall’art. 32 della Costituzione, e il diritto alla tutela e sicurezza dei dati personali, quale specificazione della tutela dello sviluppo della persona umana, sub specie di libertà di autodeterminazione, di cui all’art. 2 della Carta Fondamentale. 
La questione, di non poco momento laddove si consideri che si tratta, in entrambi i casi, di principi fondamentali dello Stato di diritto, rende necessaria un’opera di selezione dell’interprete poiché la Carta Fondamentale manca di un’aprioristica selezione e bilanciamento tra i principi di pari rango costituzionale.
Diviene centrale, allora, il bilanciamento tra gli stessi al fine di definire il punto di equilibrio, contestualizzato e contingente, tra i due diritti. 
Premessa metodologica è, infatti, che di bilanciamento non può parlarsi in via assoluta e astratta, ma si abbisogna invece che i singoli principi vengano calati nel caso concreto, affinché possa esattamente delinearsi lo spazio applicativo dell’uno e quello delimitante dell’altro.
Fatta questa premessa bisogna comprendere come le regole recentemente dettate dal Regolamento UE 2016/679, si calano nel contesto aziendale nel momento emergenziale.
Sul punto, va segnalato, da un lato, l’intervento del Comitato Europeo per la Protezione dei dati e, dall’altro, l’adozione del Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, adottato, su stimolazione governativa, d’intesa tra organizzazioni datoriali e sindacati.

GDPR e Riservatezza.

Il Regolamento UE 2016/679, approvato il 27 aprile 2016 dal Parlamento Europeo e dal Consiglio, ha finalizzato il percorso di rafforzamento della tutela e sicurezza dei dati personali a livello comunitario, omegeneizzando la normativa.
Tale Regolamento (General Data Protection Regulation, d’ora in poi “GDPR”), con l’abrogare la precedente direttiva in materia, ha inteso puntare alla creazione di un’unica normativa di sicurezza dei dati personali all’interno dell’Unione Europea, modellando la materia attorno ai pilastri dell’accountability e della privacy by design e by default che onerano il Titolare del trattamento della necessità di dotarsi di un’organizzazione privacy funzionalizzata alla ripartizione di compiti di presidio alla sicurezza dei dati personali, secondo una logica prevenzionistica già propria di altri moduli di compliance. 
Ecco perché anche l’adeguatezza al GDPR viene inserito dalle aziende c.d. virtuose tra gli obiettivi da perseguire, attraverso la predisposizione di un controllo efficiente e la conformità a regolamenti, leggi e discipline che passa per la mappatura di processi operativi allo scopo di assicurare la gestione dei rischi e il mantenimento di performance produttive.
Così, a far data dall’entrata in vigore della nuova normativa, si è posta la necessità, per tutti coloro che trattano dati personali, dell’adeguamento, tenendo presente anche il compendio di sanzioni articolato e estremamente rigoroso cui ciascun titolare è esposto in caso di violazioni (che arrivano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo dell’esecizio precedente, se superiore).
La nuova disciplina introduce sensibili novità sin dai principi ispiratori della materia: si va dall’accountability, che responsabilizza il Titolare del trattamento nella scelta sull’adozione di idonee misure connesse al rischio di lesioni di diritti e libertà degli interessati, alla privacy by design e by default, quali necessari step di progettazione e di detenzione e utilizzo dei dati per tempo, periodi e scopi strettamente necessari.
Ai fini dell’adeguamento alle nuove prescrizioni imprescindibile è la valutazione dello stato dell’arte in ciascuna azienda che passa - proprio come è per la predisposizione del Modello ex D.lgs. 231/2001 - per una mappatura dei processi e dei rischi di violazioni ad essi connessi.

Adeguatezza al GDPR dei protocolli aziendali in corso di emergenza sanitaria.
Le misure di contenimento dei rischi di contagio nel prosieguo dell’attività di impresa possono – legittimamente – comportare il trattamento dei dati personali di vario tipo, tra i quali, possono certamente rientrare, i dati sanitari. 
La legittimità del trattamento di questi dati è stata confermata dal Comitato Europeo per la Protezione dei Dati Personali che, in un comunicato, ha chiarito espressamente come le norme preposte alla protezione dei dati non ostacolano l’adozione di misure per il contrasto della pandemia di coronavirus, poiché arginare la diffusione di malattie trasmissibili è interesse di tutti e quindi le attività a questo finalizzate devono avvalersi, laddove possibile, anche di strumenti moderni funzionali allo scopo.
Tuttavia, il Comitato chiarisce che la legittimità appena espressa non significa assolutamente assenza di regole idonee a disciplinare l’utilizzo delle misure idonee alla protezione dei dati personali degli interessati. 
Questo anche e soprattutto perché la compressione di diritti fondamentali può ben essere disposta in uno stato emergenziale, a condizione che le misure adottate siano proporzionate e limitate al solo periodo d’emergenza. Va da sé, infatti, come l’emergenza sia ontologicamente destinata a rientrare e quindi a vedere la riespansione dei diritti precedentemente compressi.
Titolari e responsabili del trattamento di dati devono quindi continuare a rispettare i principi attorno ai quali il GDPR è costruito.
Del resto, dell’esigenza della tutela dei dati personali si sono fatte carico le stesse parti sociali incontratesi al fine di redigere il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, che si poneva come obiettivo prioritario quello di coniugare la prosecuzione delle attività produttive con la garanzia di condizioni di salubrità e sicurezza degli ambienti di lavoro e delle modalità lavorative. 
Questo protocollo, in accordo con quanto esemplificato dal Comitato per la Protezione dei Dati personali, prevede una sorta di monitoraggio della situazione di salute del personale che ruota in azienda secondo i principi di proporzionalità e di minimizzazione dei dati. 
In sostanza, il datore di lavoro è tenuto a informare che l’ingresso in azienda sarà precluso a coloro abbiano avuto contatti, nei 14 giorni precedenti, con soggetti risultati positivi al Covid e, soprattutto, che il personale può essere sottoposto al controllo della temperatura corporea prima dell’accesso sul luogo di lavoro.
È chiaro che entrambe queste modalità di ingresso in azienda comportino un trattamento dei dati personali che, lungi dal divenire un limite invalicabile per il Titolare del trattamento, può essere disciplinato in conformità con la disciplina prevista dal Regolamento.
In particolare, ruolo fondamentale sarà assunto dall’informativa, che potrà essere fornita anche oralmente, e che avrà il compito di esplicitare i motivi di interesse pubblico rilevante perseguiti con i singoli trattamenti.
Il GDPR, infatti, prevede che il datore di lavoro possa trattare dati personali per adempiere agli obblighi previsti in materia di salute e sicurezza sul lavoro, ma anche quando il trattamento sia finalizzato al perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria.
Ciò che conta allora è, da un lato, l’informativa che esplicita l’accountability del datore di lavoro quale faro che orienta il suo operato e dall’altra parte, e per ciò che maggiormente interessa, l’utilizzo di tali dati esclusivamente per le finalità indicate,senza che questi vengano in qualche modo diffusi o comunicati a terzi al di fuori di quanto previsto dalla norma emergenziale.
Inoltre, nel caso in cui un soggetto venga posto in isolamento fiduciario, laddove ricorrano uno dei casi escludenti l’ingresso in azienda, il datore deve garantire bene la riservatezza e la tutela della dignità del lavoratore isolato.


Conclusioni
Dalla panoramica normativa appena vista appare chiaro come il GDPR non rappresenti affatto un limite alla gestione dell’emergenza sanitaria sotto il profilo pratico.
Rappresenta piuttosto un baluardo normativo posto a difesa di diritti fondamentali della persona che, per loro natura, sono chiamati a essere compressi in situazioni emergenziali, come quella che sta interessando il Paese e le aziende necessariamente coinvolte.
Va da sé che le aziende che avessero già adeguato il proprio sistema di gestione interno del trattamento dei dati dei dipendenti si trovano in questa fase agevolate nella gestione delle ulteriori informazioni che i titolari e i responsabili dei singoli trattamenti sono chiamati a trattare.
In questi contesti diviene centrale il ruolo degli organismi privacy preposti a verificare l’attuazione e l’adeguatezza alla normativa in tema di trattamento dei dati in un momento storico in cui, proprio perché la tutela della riservatezza appare recessiva rispetto ad altri interessi in gioco, si ritrova, ancora una volta, i riflettori puntati. 

Commenti