Approfondimento di Luca Leccisotti

Approfondimento di Luca Leccisotti                                                                                                     

DATI SANITARI SENSIBILI IN EMERGENZA COVID: L’IMPATTO SUI COMUNI E IL LEGITTIMO TRATTAMENTO.

Luca Leccisotti

E’ ormai cristallino che ovunque, sui social, sulla stampa, nei proclami dei sindaci e finanche nei gruppi di chat degli addetti ai lavori, si invoca una maggiore trasparenza sui dati dei contagiati da Covid19 ai fini della ricostruzione della catena del potenziale contagio.

Il dilemma è questo: privacy si o privacy no? Ricostruiamo il complesso ed articolato impianto normativo aggiornato ai tempi del Covid19.

Prima di tutto partiamo dalla disciplina comunitaria: l’applicazione del Regolamento (UE) 2016/679 (Gdpr) e del Codice Privacy come aggiornato dal D.Lgs. 101/2018 ha presentato ai titolari e ai responsabili del trattamento che operano in ambito sanitario diversi problemi e dubbi interpretativi su come trattare lecitamente i dati relativi alla salute. il 7 marzo 2019 il Garante per la protezione dei dati personali ha emesso il provvedimento n. 55 per fornire “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”. L’art. 4, n. 15, GDPR prevede che i dati relativi alla salute: “sono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Più in particolare, il considerando art. 35 GDPR prevede che “Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”. E’ il caso, ad esempio, delle emergenze sanitarie come il Covid19.

Dalla normativa comunitaria, arriviamo alla normativa nazionale che ha aggiornato il vecchio Codice Privacy al GDPR, in pratica il DECRETO LEGISLATIVO 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali” integrato con le modifiche introdotte dal DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

Chi sono i soggetti coinvolti all’interno dell’Ente locale? Ha introdotto alcune speciali figure:

Il Titolare del trattamento

L’autorità pubblica (il Comune o altro ente locale) che singolarmente o insieme ad altri determina finalità e mezzi del trattamento di dati personali.

Il Responsabile del trattamento

Il Dirigente/Responsabile P.O., oppure il soggetto pubblico o privato, che tratta dati personali per conto del Titolare del trattamento.

Il Responsabile per la protezione dati – RPD

Il dipendente della struttura organizzativa del Comune, il professionista privato o impresa esterna, incaricati dal Titolare o dal Responsabile del trattamento.

Nelle considerazioni preliminari al Regolamento UE, si dice: “È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.”

Per i trattamenti operate negli Enti Locali il titolare è il “Comune” persona giuridica; complesso però, è identificare quale persona fisica eserciti questa funzione in pratica.

Il sindaco è certamente il legale rappresentante del Comune e, in caso di un processo per mancata adozione delle misure di sicurezza in materia di privacy, rappresenta questa titolarità; ma se il comune deve trattare “i dati sensibili sanitari” il sindaco non può farlo. Vediamo perché.

Il dirigente o PO con riconoscimento delle funzioni dirigenziali, deve trattare i dati di cui sopra in quanto svolge la funzione di “Responsabile del trattamento”; ma se il comune deve emanare un regolamento sulla privacy, non lo fa né il sindaco né il dirigente, è il consiglio comunale che può fare il regolamento sulla privacy o sul diritto di accesso.

La giunta comunale invece, definisce gli assetti, adotta il regolamento di organizzazione e definisce, con il PEG, le risorse umane e finanziarie da assegnare, ad esempio, alla sicurezza degli archivi di dati personali cartacei e informatici, ma non può nominare i dirigenti a cui assegnare dette risorse.

Il sindaco nomina i dirigenti; una volta definito “chi è e cosa fa”, non abbiamo risposto alla domanda: “ chi è la persona fisica che materialmente esercita la funzione di titolare del trattamento”? In pratica: il comune è il titolare del trattamento e ciascun organo del comune, in base all’ordinamento degli uffici, definito dalla legge (TUEL) e dal regolamento ex art. 49 3° comma del TUEL, partecipa di detta titolarità.

Va da sé che materialmente possono trattare i dati unicamente coloro che sono responsabili di settore/dirigenti, relativamente ai dati afferenti la loro area di competenza.

Un altro aspetto fondamentale da tenere presente è la finalità del trattamento: la finalità risponde alla domanda "perché" trattare i dati. I dati, infine, devono essere trattati secondo modalità compatibili con le finalità indicate. Stabilire gli scopi del trattamento ed esplicitarli nelle comunicazioni all'interessato, aiuta a comprendere ciò che è davvero necessario.

Arriviamo ai giorni attuali, fino all’adozione del Decreto Legge n.14/2020 che all’articolo 14 riporta: “Disposizioni  sul  trattamento  dei  dati  personali   nel   contesto emergenziale. 1. Fino  al  termine  dello  stato  di  emergenza  deliberato  dal Consiglio dei ministri  in  data  31  gennaio  2020,  per  motivi  di interesse  pubblico  nel  settore  della  sanita'  pubblica   e,   in particolare, per garantire la protezione dall'emergenza  sanitaria  a carattere transfrontaliero determinata dalla diffusione del  COVID-19 mediante adeguate misure di profilassi,  nonche'  per  assicurare  la diagnosi e l'assistenza sanitaria dei contagiati ovvero  la  gestione emergenziale  del  Servizio   sanitario   nazionale,   nel   rispetto dell'articolo 9, paragrafo 2, lettere g), h) e i), e dell'articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del  Consiglio del 27 aprile 2016, nonche' dell'articolo 2-sexies, comma 2,  lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196,  i  soggetti operanti nel Servizio nazionale di protezione  civile,  di  cui  agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018,  n.  1,  e  i soggetti attuatori di cui all'articolo 1 dell'ordinanza del Capo  del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonche' gli uffici del Ministero della salute e  dell'Istituto  Superiore  di Sanita', le strutture pubbliche e private che operano nell'ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare  e  a garantire l'esecuzione delle misure disposte ai sensi dell'articolo 3 del  decreto-legge  23  febbraio  2020,   n.   6,   convertito,   con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo  scopo  di assicurare la piu' efficace gestione dei flussi  e  dell'interscambio di dati personali, possono effettuare  trattamenti,  ivi  inclusa  la comunicazione tra loro,  dei  dati  personali,  anche  relativi  agli articoli  9  e  10  del  regolamento  (UE)  2016/679,  che  risultino necessari all'espletamento delle funzioni  attribuitegli  nell'ambito dell'emergenza determinata dal diffondersi del COVID-19.

I  soggetti operanti nel Servizio nazionale di protezione civile, e quindi legittimati al trattamento sono:

Lo Stato

Le Regioni

Le Province autonome di Trento e di Bolzano

Gli enti locali

Il Corpo nazionale dei vigili del fuoco

Le Forze armate

Le Forze di polizia

Il volontariato organizzato di protezione civile iscritto nell'elenco nazionale del volontariato di protezione civile, l'Associazione della Croce rossa italiana e il Corpo nazionale del soccorso alpino e speleologico

Le strutture del Servizio sanitario nazionale

Nonostante la norma in questione sia in vigore dal 9 marzo 2020, solo dopo copiose polemiche e agguerrite rivendicazioni dei sindaci, la Presidenza del Consiglio dei Ministri con nota prot. COVID/0014171 del 16/03/2020 a firma di Borrelli ha disposto che “In considerazione del contesto emergenziale in atto, anche allo scopo di assicurare la piu efficace gestione dei flussi e dell’interscambio di dati personali, è consentita la comunicazione dei dati personali a soggetti pubblici e privati diversi da quelli sopra citati nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento UE 679/2016…”. Continua, pregando i dipartimenti di prevenzione delle aziende sanitarie locali di voler assicurare la trasmissione dei dati a tutti i soggetti legittimati:

• Prefetture
• Forze di Polizia
• Comuni (anche al fine di assicurare i servizi di assistenza alla popolazione)

Dopo questa nota tutte le regioni si sono adoperate per l’organizzazione della diffusione dei dati in questione attraverso le Prefetture.

Che informazioni riportano questi dati? I dati comunicati dalle Prefetture hanno il seguente contenuto:

• Generalità, ubicazione e data del tampone dei pazienti positivi al Covid19
• Generalità, ubicazione e data del tampone dei soggetti in quarantena
• Generalità e ubicazione dei soggetti posti in isolamento fiduciario

Che finalità deve avere il trattamento di questi dati? Ovviamente deve essere una finalità lecita e legittimata dalla normativa emergenziale e temporanea in vigore attualmente.

Abbiamo detto che sia i comuni e sia le forze di polizia possono trattare detti dati, vediamo quali possono essere le finalità:

• Pubblica sicurezza
• Assistenza alla popolazione
• Attività connesse con l’espletamento di attività essenziali

Pubblica sicurezza

Accertato che attualmente la polizia locale concorre ai servizi di ordine e sicurezza pubblica disposti dal questore o ratificati dallo stesso, va da se che il trattamento di questi dati, da parte degli agenti di pl è chiaramente consentita, in quanto svolgono un’attività istituzionale relativa al controllo delle persone che circolano all’interno del territorio comunale. E’ palese che, se una pattuglia ferma veicoli o persone a piedi, deve chiaramente sapere se il soggetto controllato rientra tra quelli contagiati o in isolamento, casi disciplinati dai dpcm in materia di contenimento contagio Covid19. Altro aspetto fondamentale è quello che se un soggetto, nonostante positivo al Covid 19 o in isolamento disposto dalla ASL, esca dal luogo del domicilio individuato per la sorveglianza sanitaria, commette un reato penale. Pertanto unicamente gli agenti e gli ufficiali di polizia giudiziaria possono operare in questo caso. Quindi riassumendo:

• Responsabile del trattamento del dato: il comandante
• Finalità del trattamento del dato: sicurezza pubblica e polizia giudiziaria

Altro aspetto fondamentale, che nessuna normativa ha menzionato nelle varie promulgazioni, è il d.P.R. 15 gennaio 2018, n. 15 (Regolamento a norma dell’articolo 57 del decreto legislativo 30 giugno 2003, n. 196, recante l’individuazione delle modalità di attuazione dei principi del Codice in materia di protezione dei dati personali relativamente al trattamento dei dati effettuato, per le finalità di polizia, da organi, uffici e comandi di polizia). All’art.3 di detto regolamento viene disposto che i trattamenti di dati personali si intendono effettuati per le finalita' di polizia, ai sensi dell'articolo 53 del Codice, quando sono direttamente correlati all'esercizio dei compiti di polizia di prevenzione dei reati, di tutela dell'ordine e della sicurezza pubblica, nonche' di polizia giudiziaria, svolti, ai sensi del codice di procedura penale, per la prevenzione e repressione dei reati. E’ chiaro quindi che, anche prima del DL 14/2020, la legittimazione a trattare questi dati da parte della polizia locale era già confermata.

Quindi correttamente le Prefetture trasmettono i dati Covid19 alla polizia locale, anzi “devono” inviarli, in quanto le forze di polizia possono sia trattarli legittimamente e sia perchè è lecita la finalità del trattamento.

Assistenza alla popolazione

Sulla questione dell’assistenza alla popolazione i Sindaci si infervorano sulla necessaria conoscenza dei dati Covid19. In parte è vero. Precisiamo però che non è il Sindaco che deve trattare il dato, in quanto non è lui che materialmente è legittimato a farlo, anche se è il titolare del trattamento. E’ il titolare sì, ma perché è il legale rappresentante dell’ente ma non perché possa compiere atti gestionali per trattare i dati Covid19. Per esempio, un sindaco che vuole fare i comunicati stampa (o sui social) sul numero dei contagiati del suo comune, apparentemente potrebbe sembrare di pubblica utilità. Praticamente non è “responsabile del trattamento” e pertanto non può trattare materialmente il dato sensibile (non può quindi sapere nome e cognome del soggetto positivo per esempio). Potrebbe però ricevere il dato numerico della situazione epidemica da parte del responsabile del trattamento e comunicarlo istituzionalmente. Non può conoscere il dato sensibile anche perché la finalità del trattamento non è lecita nel caso della comunicazione istituzionale sui dati del contagio. Bene, e come può fare “assistenza alla popolazione”? Tramite il suo responsabile della Protezione Civile comunale. Come? Il responsabile del trattamento dati Covid19 condividerà con le organizzazione di volontari di protezione civile (legittimate dall’art. 14 DL 14/2020) i dati dei soggetti positivi per eventuali richieste di aiuto (portargli la spesa, i medicinali, o altre necessità).

• Responsabile del trattamento del dato: il responsabile della protezione civile
• Finalità del trattamento del dato: assistenza alla popolazione

Attività connesse con l’espletamento di attività essenziali

L’obbligo di trattare i dati Covid19 legittimamente, spesso non consente di anonimizzare il dato perché, soprattutto nei centri più piccoli, ad un determinato indirizzo corrisponde una persona o una famiglia. Il riferimento è, per esempio, relativo alla semplice organizzazione delle speciali modalità di raccolta rifiuti. In quarantena obbligatoria, per esempio, i rifiuti non devono essere differenziati, vanno chiusi con due o tre sacchetti resistenti e gli animali domestici non devono accedere nel locale in cui sono presenti i sacchetti. In pratica il Responsabile di settore per la raccolta rifiuti, che ben può trattare il dato sensibile Covid19, deve organizzare la raccolta in modo, che dalle pratiche degli operatori, non si evinca che il soggetto positivo al virus o in quarantena venga individuato per il “particolare” modo di raccolta a lui riservato. Si pensi quindi, ad informare direttamente il soggetto che non deve differenziare e a prevedere altre modalità di raccolta (per esempio implementare un servizio di raccolta ad hoc per l’indifferenziato Covid19).

• Responsabile del trattamento del dato: il responsabile della raccolta RSU
• Finalità del trattamento del dato: gestione in sicurezza dei rifiuti provenienti da soggetti positivi Covid.

Ciò posto, è evidente far rilevare una enorme criticità sulla lavorazione dei dati in questione. E’ dato certo che ad ogni comune vengono inviati i dati relativi ai positivi covid solo dei residenti del comune di riferimento. Bene, e se entra nel territorio comunale un soggetto residente altrove che è positivo o dovrebbe essere in quarantena, come fanno gli agenti operanti ad accertare eventuali ipotesi di reato? Così come sono fatte oggi le diffusioni dei dati, non è possibile accertare la situazione di non residenti, esponendo sia gli operatori di polizia che i luoghi dove questi soggetti si recano, ad alto pericolo di contagio. Un aspetto non da poco considerando la mobilità delle persone e che, ad oggi, nonostante il lockdown imposto il plateau dei positivi è ancora stabile. La soluzione ottimale è quella di creare una banca dati nazionale o almeno regionale dei dati Covid in modo da poter consentire a chi espleta i controlli su strada a verificare in tempo reale la condizione del soggetto. Oppure, come piano B, sottoscrivere da parte dei sindaci di comuni contermini, un protocollo di intesa volto alla condivisione dei dati covid19. Ciò è previsto anche dall’articolo 14 comma 1 del DL 14/2020 “…allo  scopo  di assicurare la piu' efficace gestione dei flussi  e  dell'interscambio di dati personali, possono effettuare  trattamenti,  ivi  inclusa  la comunicazione tra loro,  dei  dati  personali…”

Le soluzioni ci sono, basta saperle coglierle ed applicarle con il buon senso.

22 aprile 2020