La tutela dei dati personali ai tempi del Coronavirus: pandemia vs GDPR

Ferdinando Brizzi
19 Marzo 2020

L'emergenza “coronavirus” ha sollecitato fin da subito i giuristi a tutta una serie di riflessioni: tuttavia, a sommesso avviso di chi scrive, il diritto è in primo luogo “ragionevolezza”. Difficilmente un'interpretazione giurisprudenziale o dottrinale, per quanto astrattamente esatte in diritto, potrebbe imporsi rispetto a quelle che sono le concrete situazioni fattuali del momento e le soluzioni che esse esigono.
Introduzione

L'emergenza “coronavirus” ha sollecitato fin da subito i giuristi a tutta una serie di riflessioni: tuttavia, a sommesso avviso di chi scrive, il diritto è in primo luogo “ragionevolezza”. Difficilmente un'interpretazione giurisprudenziale o dottrinale, per quanto astrattamente esatte in diritto, potrebbe imporsi rispetto a quelle che sono le concrete situazioni fattuali del momento e le soluzioni che esse esigono. Vari sono stati i contributi che hanno esaminato i possibili profili penali di tale emergenza, che ha determinato una produzione pressochè giornaliera di provvedimenti amministrativi e legislativi. Come noto il più significativo ed immediato presidio penale a tutale di tel rispetto di provvedimenti è quello di cui all'art. 650 c.p. cui questa Rivista ha già dedicato opportuno spazio. Tuttavia vi sono altri ambiti di rilievo penale che potrebbero essere interessati da questa emergenza: l'obiettivo di questo articolo è di proporre una riflessione sulle possibili ricadute sulla privacy.

Il comunicato del Garante 2 marzo 2020

Già in data 31 gennaio 2020 il Consiglio dei Ministri si era riunito per accertare e dichiarare lo stato di emergenza sul territorio nazionale. Nell'ambito di detto stato di emergenza, il Capo Dipartimento della Protezione Civile aveva ritenuto opportuno rivolgersi al Garante della Privacy al fine di ottenere un parere favorevole in merito alla bozza di ordinanza relativa al trattamento dei dati personali sanitari, relativi alla salute, ai sensi di cui all'art. 9 oltreché i dati di cui all'art. 10 del GDPR. Con riferimento a detta richiesta il Garante si era pronunciato favorevolmente.

Successivamente il Garante per la Privacy, con il comunicato del 2 marzo 2020, si è nuovamente pronunciato in merito al tema legato al Coronavirus, offrendo chiarimenti circa le misure che soggetti pubblici e privati devono adottare relativamente al trattamento dei dati personali in conformità alle disposizioni di cui al GDPR.

Il Garante ha dichiarato di aver ricevuto numerosi quesiti posti da soggetti pubblici e privati in merito alla possibilità di raccogliere “all'atto della registrazione di visitatori e utenti di informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura preventiva. Analogamente, datori di lavoro pubblici e privati hanno chiesto al Garante la possibilità di acquisire una “autodichiarazione” da parte dei dipendenti in ordine all'assenza di sintomi influenzali, e vicende relative alla sfera privata”.

In merito a dette richieste, il Garante ha ribadito quanto già in precedenza affermato. In particolare, l'Autorità ha invitato i soggetti titolari al trattamento dei dati, siano essi pubblici o privati, a attenersi scrupolosamente alle indicazioni fornite dal Ministero della Salute e dalle istituzioni competenti per la prevenzione della diffusione del Virus, diffidandoli dall'assumere qualsiasi iniziativa autonoma relativa alla raccolta di dati personali, anche sanitari relativi alla salute, di utenti o lavoratori, che non sia normativamente prevista o disposta dagli organi competenti.

Infatti, ciò che rileva è certamente l'obbligatoria conformità della raccolta dei dati ai sensi di cui all'art. 5, che stabilisce e determina i principi generali cui necessariamente occorre conformarsi nell'ambito del trattamento dei dati personali.

Nello specifico, infatti, il Garante ha rilevato che “l'accertamento e la raccolta di informazioni relative ai sintomi [...] e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate”.

Da ciò ne deriverebbe che, solo gli organi qualificati, competenti e a ciò preposti, possono procedere al trattamento di tali categorie particolari di dati, al fine di rendere, pertanto, illegittimo ogni trattamento eventualmente effettuato da soggetti pubblici e/o privati.

Sarebbe, quindi, vietato ai datori di lavoro, pubblici e privati raccogliere in modo sistematico e generalizzato, anche attraverso specifiche richieste ai singoli o mediante loro autodichiarazioni (non spontanee, invece ammesse). I datori di lavoro dovrebbero, pertanto, astenersi dall'adottare condotte ispettive e di indagine preventiva.

Secondo il Garante italiano, una siffatta attività, infatti, oltre a non essere conforme ai principi di cui all'art. 5 (liceità, minimizzazione dei dati, necessarietà, etc.), non sarebbe conforme alle misure eccezionali che rientrano nella sfera di competenza delle autorità pubbliche preposte.

La posizione degli altri Garanti europei

Pressoché contemporaneamente, ad approdi diversi è pervenuto il Garante danese (Datatilsynet), che, il 5 marzo 2020, ha pubblicato un documento in cui chiarisce alle aziende come trattare i dati personali dei propri dipendenti nel contesto della crisi legata al coronavirus.

L'approccio adottato sembra essere più flessibile di quello del Garante italiano: secondo Datatylsinet, i datori di lavoro possono, in larga misura, raccogliere e comunicare informazioni sui propri dipendenti, se le circostanze lo rendono necessario e purché tale raccolta o comunicazione non sia normativamente vietata e che le informazioni raccolte non siano eccessivamente dettagliate e specifiche.

Ad esempio, Datatilsynet ritiene che, nel contesto della crisi legata al Coronavirus, i datori di lavoro possono legittimamente registrare e comunicare:

  • se un dipendente ha visitato una zona a rischio epidemiologico;
  • se un dipendente è a casa in quarantena (senza indicarne il motivo);
  • se un dipendente è malato (senza indicarne il motivo).

Sebbene ciò non sia espressamente menzionato da Datatylsinet, sembrerebbe logico presumere che la comunicazione in questione debba essere intesa principalmente come comunicazione interna all'azienda.

Tuttavia, l'autorità Datatilsynet invita comunque alla parsimonia nella raccolta dei dati. Infatti, ha sottolineato che la raccolta e la comunicazione di dati deve essere limitata a quanto strettamente necessario. Pertanto, prima di trattare i dati, il datore di lavoro dovrebbe valutare attentamente se vi siano buone ragioni per raccogliere o comunicare i dati in questione, se gli scopi della comunicazione possono essere raggiunti “dicendo meno”, e se è davvero necessario menzionare i nomi dei soggetti coinvolti (ad esempio, il nome dell'impiegato che è a casa in quarantena).

Dunque, a fronte di un medesimo testo normativo, una Autorità, quella danese, ne fornisce un'interpretazione improntata a quella che può essere definita “ragionevolezza”, l'altra, quella italiana, ne fornisce una che appare “meramente formale”.

Quello italiano e quello danese non sono stati, per altro, gli unici Garanti a pronunciarsi.

Posizioni analoghe a quelle del Garante italiano sono state assunte dal Garante francese (CNIL) e lussemburghese: in sostanza, secondo queste autorità, la normativa sulla privacy imporrebbe forti limitazioni alla possibilità di raccogliere e trattare dati personali come misura di contenimento del contagio da parte di aziende ed enti privati.

Posizioni analoghe a quelle del Garante danese sono state assunte, invece, dal Garante britannico (ICO) che ha sottolineato come la normativa sulla protezione dei dati non costituisca un ostacolo all'adozione di misure volte a contenere la pandemia del Coronavirus. Ha anche sottolineato che, alla luce della gravità della crisi attuale, l'ICO adotterà un approccio pragmatico rispetto all'enforcement del GDPR, un approccio volto a non penalizzare le organizzazioni che si stanno impegnando principalmente su altri fronti rispetto al pedissequo rispetto della normativa sulla privacy. Ad esempio, l'ICO ha annunciato che non imporrà sanzioni a quei titolari che non saranno in grado di rispondere alle richieste degli interessati entro i termini stabiliti per legge.

Un approccio in parte simile è quello del garante norvegese che, in stile tipicamente scandinavo, ha indicato che applicherà la normativa sulla privacy secondo “buon senso”, nonché di quello irlandese.

Una delle questioni di maggior rilievo per le aziende, ma anche una di quelle più dibattute riguarda la possibilità di richiedere al singolo lavoratore informazioni sulla presenza di eventuali sintomi influenzali nonché sull'eventuale soggiorno dello stesso in zone a rischio epidemiologico. Mentre il Garante italiano sostanzialmente nega questa possibilità, al contrario, secondo l'ICO è ragionevole chiedere alle persone se hanno visitato un determinato Paese o se presentano i sintomi del COVID-19. Anche il Garante irlandese ritiene che i datori di lavoro siano giustificati nel “chiedere a dipendenti e visitatori di informarli se hanno visitato un'area a rischio e/o stanno riscontrando sintomi”, nonché nel “richiedere ai dipendenti di informarli se sono stati diagnosticati con COVID-19 al fine di consentire l'adozione delle misure necessarie”. Un'altra questione dibattuta attiene a come qualificare le informazioni relative alla quarantena: si tratta di “dati relativi alla salute” – quindi di dati sensibili che godono di maggiori tutele – o di dati personali “semplici”? A detta del Garante norvegese tali informazioni non sarebbero qualificabili come “dati relativi alla salute”. Tale posizione non è condivisa da tutti. Infatti, pur se è vero che il fatto che un soggetto sia stato posto in quarantena non indica di per sé che lo stesso sia stato contagiato, è anche vero che ai sensi del GDPR i “dati relativi alla salute” ricomprendono anche informazioni riguardanti “il rischio di malattie”. In aggiunta, le autorità che si sono espresse finora non paiono concordare su quali siano le basi giuridiche di rilievo. Alcune autorità, come quella spagnola, ritengono che siano molte le basi giuridiche astrattamente applicabili al trattamento di dati nel contesto della lotta al COVID-19. Altre autorità indicano invece un numero piuttosto limitato di basi giuridiche applicabili.

La posizione dell'EDPB

Il disallineamento tra i vari Garanti europei ha reso necessario l'intervento del Comitato europeo per la protezione dei dati, EDPB, in data 16 marzo 2020.

Le indicazioni fornite dall'EDPB offrono alcuni spunti interessanti.

In primo luogo, l'EDPB ha chiarito che la normativa sulla privacy, e in particolare il GDPR, non costituisce un limite all'adozione di misure per combattere la pandemia del Coronavirus. A questo proposito, l'EDPB sottolinea come il GDPR offra svariate basi giuridiche che possono essere utilizzate, in alternativa al consenso, per poter trattare dati personali come misura di contenimento del contagio.

L'EDPB indica in particolare che il trattamento potrebbe essere giustificato se: “necessario per motivi di interesse pubblico nel settore della sanità pubblica” (art. 9(2)(i) GDPR); “necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica” (artt. 6(1)(d) e 9(2)(c) GDPR); o “necessario per adempiere un obbligo legale” (artt. 6(1)(c) e 9(2)(b) GDPR).

Appare evidente come l'EDPB sia aperto alla possibilità di consentire alle aziende di raccogliere i dati personali dei propri dipendenti e di altri, compresi i dati sanitari, per prevenire la diffusione del virus, almeno se ciò avviene secondo criteri di proporzionalità.

L'aspetto più interessante del parere espresso dall'EDPB riguarda il tracciamento di dati telefonici. A questo proposito, l'EDPB osserva come ai sensi della Direttiva ePrivacy i dati relativi all'ubicazione di un dispositivo mobile (come uno smartphone o un cellulare) possano essere utilizzati dall'operatore telefonico interessato solo quando i dati sono stati resi anonimi (ad esempio, tramite un processo di aggregazione dei dati) o con il consenso degli utenti.

Ciò consentirebbe alle autorità pubbliche di generare ed utilizzare rapporti sulla concentrazione di dispositivi mobili in una determinata posizione geografica, di norma sulla base di dati aggregati.

Qualora non sia possibile rendere anonimi i dati, la Direttiva ePrivacy permette agli Stati Membri (come l'Italia) di consentire il trattamento dei dati relativi all'ubicazione di dispositivi mobili senza il consenso degli utenti. Ciò deve però essere necessariamente previsto in maniera espressa dalla normativa d'emergenza adottata dallo Stato Membro interessato, la quale deve rispondere a criteri di necessità, appropriatezza e proporzionalità.

Alcuni Stati Membri potrebbero quindi decidere di usufruire di questa possibilità per introdurre sistemi di tracciamento in parte simili a quelli utilizzati in Corea del Sud o a Singapore per combattere il virus.

A questo proposito, l'EDPB purtroppo non chiarisce quali siano le misure di salvaguardia che tali misure nazionali devono necessariamente prevedere. C'è quindi il rischio che ogni Stato Membro interpreti a suo modo questa “clausola di apertura”, con la conseguenza che i cittadini europei potrebbero godere di diversi livelli di tutela a seconda dello Stato Membro di residenza.

L'articolo 14 del D.L. n. 14/2020

Il Governo italiano ha mostrato al riguardo di prediligere la posizione che può essere definita di “buon senso”, condivisa da ultimo dall'EDPB.

Ciò a partire dall'articolo 14 del d.l. n. 14/2020, recante Disposizioni urgenti per il potenziamento del Servizio Sanitario Nazionale in relazione all'emergenza COVID-19, che, al comma 1, esplicita che a seguito dell'emergenza sanitaria determinata dalla diffusione del Covid-19, il trattamento dei dati particolari e giudiziari si effettua ai sensi e per gli effetti di cui all'art. 9 par. 2:

  • lett. g) interesse pubblico;
  • lett. h) finalità di diagnosi terapia e cura;
  • lett. i) protezione da gravi minacce per la salute potendo trattare i dati, relativi alla salute, anche soggetti diversi da coloro che sono tenuti ad un segreto professionale, un segreto d'ufficio o altro obbligo di riservatezza, così come previsto dall'articolo 9 par. 3 del Regolamento (UE) 679/2016.

Al comma 2 è consentita la trasmissione nonché il flusso dei dati anche a soggetti diversi da quelli individuati nel Codice della Protezione Civile di cui al decreto legislativo 1/2018.

Il che permette la comunicazione di questa tipologia di dati anche a soggetti (eventualmente) privati, quali i datori di lavoro, al netto del Comunicato Stampa del Garante Privacy del 2 marzo 2020; facendo salva, infatti, l'ipotesi secondo la quale detto trattamento avvenga nei soli casi in cui risulti indispensabile, ai fini delle attività connesse alla gestione dell'emergenza sanitaria, in atto.

In tal modo si rende effettivo un bilanciamento tra gli interessi fondamentali di pari rango del nostro Ordinamento: quello della protezione dei dati e quello della salute, propendendo per quest'ultimo, costituzionalmente garantito, sia come diritto fondamentale dell'individuo che della collettività.

Il Protocollo 14 marzo 2020

Successivamente, ed in piena coerenza con l'articolo 14 del d.l. n. 14/2020, su invito del Presidente del Consiglio dei ministri, del Ministro dell'economia, del Ministro del lavoro e delle politiche sociali, del Ministro dello sviluppo economico e del Ministro della salute, è stato sottoscritto con le Parti sociali il Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro.

Per quanto concerne le Modalità di accesso in azienda si prevede che il personale, prima dell'accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5°, non sarà consentito l'accesso ai luoghi di lavoro. Le persone in tale condizione - nel rispetto delle indicazioni riportate in nota - saranno momentaneamente isolate e fornite di mascherine non dovranno recarsi al Pronto Soccorso e/o nelle infermerie di sede, ma dovranno contattare nel più breve tempo possibile il proprio medico curante e seguire le sue indicazioni.

Nel Protocollo si precisa che la rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente. A tal fine si suggerisce di:

  1. rilevare a temperatura e non registrare il dato acquisto. È possibile identificare l'interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l'accesso ai locali aziendali;
  2. fornire l'informativa sul trattamento dei dati personali. Si ricorda che l'informativa può omettere le informazioni di cui l'interessato è già in possesso e può essere fornita anche oralmente. Quanto ai contenuti dell'informativa, con riferimento alla finalità del trattamento potrà essere indicata la prevenzione dal contagio da COVID-19 e con riferimento alla base giuridica può essere indicata l'implementazione dei protocolli di sicurezza anti-contagio ai sensi dell'art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020 e con riferimento alla durata dell'eventuale conservazione dei dati si può far riferimento al termine dello stato d'emergenza;
  3. definire le misure di sicurezza e organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. A tal fine, si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio da COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte dell'Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19);
  4. in caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore.

Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all'ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19 e nel caso di allontanamento del lavoratore che durante l'attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi.

Questi provvedimenti sottoscritti dal Governo italiano appaiono del tutto coerenti con l'orientamento “pragmatico” di alcuni Garanti europei nonché rispetto alla situazione emergenziale determinatasi, mentre non va sottaciuto che il provvedimento del Garante italiano, oltre a “peccare” di eccessivo formalismo, rischia di restare privo di attuazione data la chiusura della maggior parte delle attività produttive.

Possibili conseguenze penali del comunicato del Garante

Tuttavia proprio il provvedimento dell'Autorità italiana consente di esplorare le eventuali conseguenze penali che la sua pedissequa osservanza potrebbe comportare.

Il comma 2 dell'art. 167 punisce il trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies o delle misure di garanzia di cui all'art. 2 septies ovvero operando in violazione delle misure adottate ai sensi dell'art. 2-quinquiesdecies.

L'art. 2-sexies fa proprio riferimento al trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante.

Tra questi rientrano, lettera dd), l'instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di alte forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza ed assistenza, tutela delle minoranze e pari opportunità nell'ambito di rapporti di lavoro, adempimento degli obblighi retributivi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento della responsabilità civile, disciplinare e contabile, attività ispettiva.

Ad avviso di chi scrive, la lettura della norma consente di ricondurre l'attività censurata dal Garante proprio tra i motivi di interesse pubblico rilevante, in particolare per quanto concerne l'igiene e sicurezza del lavoro o di sicurezza o salute della popolazione.

In claris non fit interpretatio verrebbe da dire: eppure l'interpretazione sostenuta dal Garante, nella parte in cui sembra escludere quale base giuridica la sussistenza di motivi di interesse pubblico rilevante, potrebbe aprire le porte a questa contestazione delittuosa.

Ciò non sarebbe accettabile né per ragioni giuridiche né per “ragionevolezza”.

In proposito va annotato che sulle riviste telematiche specializzate si è venuto assistendo ad un acceso dibattito: alcuni hanno sostenuto la necessità di una moratoria alle multe per irregolarità in materia di data protection al fine di evitare il collasso a molte imprese che soffrono la crisi di questo periodo per scongiurare che l'emergenza coronavirus possa aver avere ricadute importanti in termini economici, proponendo, in alternativa, il ricorso a sanzioni non pecuniarie, come la pubblicazione dei provvedimenti, per esempio, ed ha il potere di imporre misure correttive a titolari e responsabili del trattamento; altri, invece, ritengono che il GDPR sia una norma di pari livello rispetto a tutte le altre norme dell'ordinamento e, sospenderne (anche solo parzialmente) l'applicazione, significherebbe ammetterne la minore importanza rispetto ad ogni altra disciplina

Pur comprendendo questa seconda posizione, tuttavia la prima appare non solo la più “ragionevole” ma anche quella più costituzionalmente orientata.

Non può sfuggire che il GDPR, e le normativa italiana di adeguamento, è solo una delle “fonti”: fonte primaria è la Costituzione.

Cenni in tema di diritto costituzionale

I Padri costituenti hanno operato una scelta in favore del riconoscimento dell'iniziativa economica privata in termini di libertà (primo comma dell'art. 41), in favore dell'idea secondo la quale l'assetto definitivo delle disposizioni costituzionali rivelava l'avvenuto mutamento di prospettiva circa l'attività economica privata, non più subordinata al raggiungimento di fini predeterminati dal pubblico potere: e tuttavia, da un lato, l'hanno corredata di una serie di limiti, penetranti ed importanti, corrispondenti al non contrasto con la sicurezza, la libertà, la dignità umana, ma soprattutto con l'utilità sociale (comma 2), formula fortemente criticata per la sua «pericolosa genericità» da Einaudi (V. l'intervento nella seduta del 13 maggio 1947, in A.C., II, 39337-38); dall'altro, la si «assoggettava» alla possibilità che il legislatore statale intervenisse a determinare programmi, a prevedere controlli per indirizzare e coordinare la medesima iniziativa a fini sociali.

I “questionari” censurati dal Garante, nonché la rilevazione della temperatura, paiono inscriversi nei concetti di “sicurezza” e “utilità sociale” avuti di mira dai Costituenti.

Ed appaiono altresì coerenti con l'art. 32 della Costituzione: l'equilibrio tra tutela della salute e gli altri principi costituzionali potenzialmente configgenti, non è affidato alla composizione in sede politica del legislatore o in sede interpretativa del giudice, ma è indicato dalla stessa Carta costituzionale.

Ovviamente, diverso sarà il caso in cui venga in rilievo l'art. 32 come "diritto dell'individuo": in questo caso esso fungerà da "controlimite" rispetto ad atti che potrebbero coinvolgere la persona ovvero da "moltiplicatore" di posizioni giuridiche di vantaggio già fissate in Costituzione.

Nel caso in cui l'art. 32 sia considerato nel suo versante di "interesse collettivo", invece, esso fungerà da "limite" o da "restrittore" rispetto ad altre libertà o diritti costituzionalmente garantiti.

La salute dunque si configura come “interesse collettivo” nel cui nome possono essere imposte restrizioni, ad esempio al diritto alla privacy, diritto sì ma non assoluto ed altresì sfornito di tutela costituzionale.

Cenni in tema di sicurezza sul lavoro

Tra le altre “fonti” di pari grado va poi sicuramente citato il d.lgs. 9 aprile 2008, n. 81 (Testo Unico sulla tutela della salute e della Sicurezza sui luoghi di Lavoro).

Quanto alla prevenzione dei rischi da agenti biologici, sono espressamente previsti obblighi del datore di lavoro ed in cd. diritto di autotutela. Si fa riferimento all'articolo 272 - Misure tecniche, organizzative, procedurali:

1. In tutte le attività per le quali la valutazione di cui all'articolo 271 (rischio di esposizione non intenzionale ad agenti biologici virali) evidenzia rischi per la salute dei lavoratori il datore di lavoro attua misure tecniche, organizzative e procedurali, per evitare ogni esposizione degli stessi ad agenti biologici.

2. In particolare, il datore di lavoro: ...

b) limita al minimo i lavoratori esposti, o potenzialmente esposti, al rischio di agenti biologici;

c) progetta adeguatamente i processi lavorativi, anche attraverso l'uso di dispositivi di sicurezza atti a proteggere dall'esposizione accidentale ad agenti biologici;

d) adotta misure collettive di protezione ovvero misure di protezione individuali qualora non sia possibile evitare altrimenti l'esposizione;

e) adotta misure igieniche per prevenire e ridurre al minimo la propagazione accidentale di un agente biologico fuori dal luogo di lavoro; ...

Tale disposizione pare una rappresentazione “plastica” delle norme costituzionali sopra richiamate, artt. 32 e 41: risulta difficile non ricondurre i cd. questionari o la rilevazione delle temperature alle misure collettive di protezione ovveroalle misure igieniche per prevenire e ridurre al minimo la propagazione accidentale di un agente biologico fuori dal luogo di lavoro.

Il quadro risulta poi integrato dall'ormai consolidato orientamento giurisprudenziale secondo cui lo stesso d.lgs. n. 81 del 2008, art. 20, comma 1 nel prevedere che ogni lavoratore debba prendersi cura della propria salute e sicurezza e di quella delle altre persone presenti sul luogo di lavoro, su cui ricadono gli effetti delle sue azioni o omissioni, dispone, tuttavia, che tale obbligo operi conformemente alla sua formazione, alle istruzioni e mezzi forniti dal datore di lavoro (Cass. pen. Sez. IV, 13 febbraio 2020, n. 8160).

Invero l'art. 20, commi 1 e 2, lett. a), b) ed e), d.lgs. n. 81 del 2008, prescrive che ogni lavoratore deve prendersi cura della propria salute e di quella delle altre persone presenti sul luogo di lavoro, su cui ricadono gli effetti delle sue azioni e omissioni, conformemente alla sua formazione, alle istruzioni e ai mezzi forniti dal datore di lavoro, specificando che il lavoratore deve contribuire, unitamente al datore di lavoro, al dirigente e al preposto, all'adempimento degli obblighi previsti a tutela della salute e sicurezza sui luoghi di lavoro; osservare le disposizioni e le istruzioni impartite dal datore di lavoro, dai dirigenti e dai preposti, ai fini della protezione collettiva e individuale; segnalare immediatamente al datore di lavoro, al dirigente e al preposto le deficienze dei mezzi e dei dispositivi di protezione nonché qualsiasi eventuale condizione di pericolo di cui venga a conoscenza, adoperandosi direttamente, in caso di urgenza, nell'ambito delle proprie competenze e possibilità, per eliminare o ridurre le situazioni di pericolo grave e incombente (Cass. pen. Sez. IV, 07 marzo 2019, n. 25133).

Quindi un'attenta lettura del Testo unico sulla tutela della salute e della Sicurezza sui luoghi di Lavoro consente di affermare che quelle condotte dei datori di lavoro, frettolosamente definite “iniziative fai date” nella raccolta dei dati personali, in realtà sono speculari a doveri dei lavoratori penalmente sanzionati.

Conclusioni

Le considerazioni sin qui esposte inducono a ritenere che il comunicato del 2 marzo 2020 del Garante sia destinato a rimanere tamquam non esset,non solo perché superato dal rapidissimo evolversi degli eventi, giova ripeterlo da ultimo dal provvedimento 16 marzo 2016 dell'EDPB, ma anche perché subvalente rispetto alla tutela di altri preminenti valori tutelati costituzionalmente.

A lungo si sta dibattendo circa la legittimità o meno sulla condotta del datore di lavoro che proceda ad eventuale indagine epidemiologica prima dell'accesso all'interno dell'azienda come prevenzione e protezione per la salute comune: ma in realtà, per quanto sopra esposto, dove risiede il reale potenziale di rischio per la tutela dei dati personali degli interessati? Per altro, mentre in questa situazione di emergenza epidemiologica, sono stati posti numerosi quesiti al Garante privacy, da parte di soggetti pubblici e privati, in merito alla possibilità di trattamento dei dati relativi allo stato di salute (art.9 del Regolamento UE 2016/679) degli utenti e dei dipendenti, nel rispetto del GDPR, nessuna domanda ha riguardato la tutela degli innumerevoli interessati dei quali si tratta qualsiasi tipologia di dato personale, comodamente da casa, “grazie” allo smart working altrettanto improvvisato.

Si ritorna, dunque, al punto di partenza: la gestione di un'emergenza quale il coronavirus richiede “ragionevolezza” a tutti gli operatori, anche giuridici: non si tratta di una platea dove debba prevalere una tesi sull'altra, magari per ragioni di convenienza economica, ma deve essere adottata quella più consona alla gravità del problema.

Ragionevolezza non significa, ovviamente, abdicazione ai principi fondamentali dell'ordinamento giuridico. Non possono sottacersi le preoccupazioni espresse da autorevole dottrina: le misure limitative (c.d. misure di contenimento dell'emergenza epidemiologica da COVID-19) sono state introdotte con una serie di decreti del Presidente del Consiglio dei Ministri, sentiti, tra gli altri, i presidenti delle regioni interessate (o il Presidente della Conferenza delle regioni e delle province autonome, per le misure di carattere nazionale) in attuazione di quanto previsto dall'art. 3, co. 1 del d.l. 23 febbraio 2020, n. 6, convertito in l. 5 marzo 2020, n. 13 (per la raccolta di tutta la normativa in materia, clicca qui). Il decreto-legge n. 6 del 2020 demanda ai dpcm l'introduzione delle “misure di cui agli articoli 1 e 2”. Nel primo caso (art.1) si tratta di una serie di misure determinate; nel secondo caso (art. 2) si tratta di misure indeterminate, adottabili sulla base di una clausola in bianco che fa riferimento a “ulteriori misure di contenimento e gestione dell'emergenza, al fine di prevenire la diffusione dell'epidemia da COVID-19 anche fuori dei casi di cui all'articolo 1”. Nell'introdurre svariate limitazioni, i dpcm hanno sempre richiamato il d.l. n. 6/2020. Senonché, è lecito dubitare che quel decreto-legge rappresenti effettivamente una valida base legale. Mentre il d.l. n. 6/2020 è nato come provvedimento volto a introdurre misure su base locale (circoscritti alle c.d. zone rosse), i dpcm successivi, a partire da quello del 9 marzo, introducono limitazioni valide sull'intero territorio nazionale. L'art. 1 del d.l fa infatti riferimento alla necessità di “evitare il diffondersi del COVID-19, nei comuni o nelle aree nei quali risulta positiva almeno una persona per la quale non si conosce la fonte di trasmissione o comunque nei quali vi è un caso non riconducibile ad una persona proveniente da un'area già interessata dal contagio del menzionato virus”. E se a base locale sono le misure determinate di cui all'art. 1, a base locale sono pure le misure indeterminate di cui all'art. 2. L'estensione all'intero territorio nazionale non è stata realizzata in sede di conversione del decreto-legge, verosimilmente, perché è intervenuta il 5 marzo, prima cioè che il Governo decidesse di estendere, per l'appunto, le misure all'intero paese. Senonché oggi, a me pare, sarebbe necessario “sanare” la situazione con un nuovo decreto-legge, che valga come base legale per le limitazioni, estese su base nazionale.

Proprio tali preoccupazioni paiono essere state soddisfatte dalla pubblicazione, in data odierna, del

Decreto legge 17 marzo 2020, n. 18, Misure di potenziamento del Servizio sanitario nazionale e di sostegno economico per famiglie, lavoratori e imprese connesse all'emergenza epidemiologica da COVID-19. (20G00034) (GU Serie Generale n.70 del 17-03-2020).

Guida all'approfondimento

Alessio Scarcella, Emergenza Coronavirus: conseguenze penali in caso di trasgressione alle regole dettate dal Governo, in www.quotidianogiuridico.it, 10 marzo 2020

Bartolomeo Romano, Il reato di inosservanza dei provvedimenti dell'Autorità al tempo del Coronavirus, in Il Penalista, Focus del 16 marzo 2020

Mauro Festa, Coronavirus e GDPR: quali gli adempimenti per la raccolta dei dati?, in www.quotidianogiuridico.it 06/03/2020.

Nicoletta Pisanu, Luca Tosoni, Coronavirus, come trattare i dati dei lavoratori: il documento del Garante Privacy danese, in www.cybersecurity360.it.

Luca Tosoni, GDPR e coronavirus, in Europa autorità discordanti: ecco le decisioni, in www.cybersecurity360.it

Gennaro Maria Amoruso, Chiara Ponti, Trattamento dati sanitari in emergenza: che cambia col decreto coronavirus, www.agendadigitale.it

Veronica Clara Talamo, La tutela penale dei dati sanitari alla luce del nuovo codice privacy, in Il Penalista 13.2.2020.

Luca Bolognini Coronavirus, Bolognini: “Aziende in crisi, sospendiamo le sanzioni Gdpr”, in www.agendadigitale.it,

Andrea Baldrati, Diego Dimalta Uccidere la privacy per combattere il virus: l'errore fatale delle democrazie, in www.agendadigitale.it,

Luana Lanfranchi, Smart working a prova Gdpr, come arginare i rischi privacy, in www.agendadigitale.it

Luca Tosoni, GDPR e coronavirus, ecco le indicazioni dell'EDPB sul trattamento dei dati personali, in www.cybersecurity360.it

Gian Luigi Gatta, Coronavirus, limitazione di diritti e libertà fondamentali, e diritto penale: un deficit di legalità da rimediare, in www.sistemapenale.it.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario