In materia di trattamento dei dati personali, la legge 24/04/20, n. 27, di conversione del Decreto Legge 17 marzo 2020, n. 18, ha disposto l'inserimento nel Decreto dell'art. 17 bis, rubricato "Disposizioni sul trattamento dei dati personali nel contesto emergenziale".
Tale nuova disposizione ha attribuito il potere di effettuare trattamenti dei dati personali, anche relativi ai dati sensibili di cui agli artt. 9 e 10 del Regolamento UE 679/2016 (cfr. nota 1), qualora ciò risulti necessario, nell'ambito dell'emergenza determinata dalla diffusione del COVID-19, all'espletamento delle funzioni attribuite ai soggetti di seguito indicati:
- i soggetti operanti nel Servizio nazionale della protezione civile di cui agli artt. 4 e 13 del codice di cui al D. Lgs. 1/18;
- i soggetti attuatori di cui all'art. 1 dell'ordinanza del Capo del Dipartimento della Protezione Civile n. 630/20;
- gli uffici del Ministero della Salute e dell'Istituto Superiore di Sanità;
- le strutture pubbliche e private che operano nell'ambito del Servizio Sanitario Nazionale;
- i soggetti deputati a monitorare e a garantire l'esecuzione delle misure di contenimento della diffusione del COVID-19, disposte ai sensi dell'art. 2 del D.L. 19/20.
Tale potere, attribuito fino al termine dello stato di emergenza deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, è conferito:
- per motivi di interesse pubblico, nel settore della sanità pubblica, ed in particolare per garantire la protezione dall'emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l'assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio Sanitario Nazionale;
- nel rispetto delle seguenti norme:
a) artt. 9, paragrafo 2, lettere g, h, i e 10 del Regolamento UE 679/16, circa il trattamento di categorie particolari di dati personali;
b) art. 2 sexies comma 2 lett. t e u del Codice di cui al D. Lgs. 196/03 (cfr. nota 2).
Il potere di trattamento dei dati personali, volto anche allo scopo di assicurare la più efficace gestione dei flussi e dell'interscambio di dati personali, potrà consistere anche nello scambio, tra i soggetti sopra indicati, di tali dati.
Al di fuori delle predette ipotesi, sarà possibile, ma solo nei casi in cui ciò risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria in atto:
- la comunicazione dei dati personali a soggetti pubblici e privati diversi da quelli sopra indicati;
- la diffusione di dati personali diversi da quelli di cui agli artt. 9 e 10 del Regolamento UE 679/16.
In ogni caso, tali ipotesi di trattamento dei dati personali dovranno avvenire nel rispetto dei principi di cui all'art. 5 del Regolamento UE 679/16 (cfr. nota 3), mediante l'adozione di misure appropriate a tutela dei diritti e delle libertà degli interessati.
Tuttavia, stante "la necessità di contemperare le esigenze di gestione dell'emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati" e a causa del contesto emergenziale in atto, i soggetti cui sono conferiti i poteri sopra indicati possono:
a) conferire le autorizzazioni di cui all'art. 2 quaterdecies del Codice di cui al D. Lgs 196/03 con modalità semplificate, anche oralmente;
b) omettere l'informativa di cui all'art. 13 del Regolamento Ue 679/16 o fornire un'informativa semplificata, previa comunicazione orale agli interessati della limitazione, ai sensi dell'art. 23 paragrafo 1 lett. e del medesimo Regolamento (cfr. nota 4), e fermo restando quanto disposto dall'art. 82 del Codice di cui al Decreto Legislativo 196/03 (cfr. nota 5).
Infine, si prevede che al termine dello stato di emergenza i soggetti sopra indicati adottino misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto emergenziale all'ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.
----------------------------------------------------------------------------------------------------------------
1) Trattasi dei dati personali "che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale...dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona" (art. 9 Reg. UE 679/16), nonchè dei dati giudiziari, ossia quelli "relativi alle condanne penali e ai reati o a connesse misure di sicurezza".
2) "Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante".
"I trattamenti delle categorie particolari di dati personali di cui all' articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
Fermo quanto previsto dal comma 1, si considera rilevante l'interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle seguenti materie:
t) attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d'organo e di tessuti nonché alle trasfusioni di sangue umano;
u) compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica".
3) "Principi applicabili al trattamento di dati personali".
1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).
4) "Limitazioni"
1. "Il diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all'articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare:
e) altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell'Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale".
5) "Emergenze e tutela della salute e dell'incolumità fisica"
1. "Le informazioni di cui agli articoli 13 e 14 del Regolamento possono essere rese senza ritardo, successivamente alla prestazione, nel caso di emergenza sanitaria o di igiene pubblica per la quale la competente autorità ha adottato un'ordinanza contingibile ed urgente ai sensi dell' articolo 117 del decreto legislativo 31 marzo 1998, n.112.
2. Tali informazioni possono altresì essere rese senza ritardo, successivamente alla prestazione, in caso di:
a) impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato, quando non è possibile rendere le informazioni, nei casi previsti, a chi esercita legalmente la rappresentanza, ovvero a un prossimo congiunto, a un familiare, a un convivente o unito civilmente ovvero a un fiduciario ai sensi dell' articolo 4 della legge 22 dicembre 2017, n. 219 o, in loro assenza, al responsabile della struttura presso cui dimora l'interessato;
b) rischio grave, imminente ed irreparabile per la salute o l'incolumità fisica dell'interessato.
3. Le informazioni di cui al comma 1 possono essere rese senza ritardo, successivamente alla prestazione, anche in caso di prestazione medica che può essere pregiudicata dal loro preventivo rilascio, in termini di tempestività o efficacia.
4. Dopo il raggiungimento della maggiore età le informazioni sono fornite all'interessato nel caso in cui non siano state fornite in precedenza."