L’art 14 del DECRETO-LEGGE 9 marzo 2020, n. 14 – Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19. (il cui testo riporto alla fine di questo post) è l’ennesima prova della percezione distorta dell’ambito di applicabilità della normativa sulla protezione dei dati personali.
I considerando 16) e 19) del GDPR escludono l’applicazione del regolamento alle questioni di pubblica sicurezza e sicurezza nazionale.
Nel caso specifico, il considerando 16 stabilisce che
(16) Il presente regolamento non si applica a questioni di tutela dei diritti e delle libertà fondamentali o di libera circolazione dei dati personali riferite ad attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, quali le attività riguardanti la sicurezza nazionale
Mentre il considerando 19) stabilisce che
(19) La protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro, e la prevenzione di, minacce alla sicurezza pubblica, e la libera circolazione di tali dati sono oggetto di uno specifico atto dell’Unione. Il presente regolamentonon dovrebbe pertanto applicarsi ai trattamenti effettuati per tali finalità.
Le esenzioni indicate dai due Considerando hanno chiaramente valore indicativo e non esauriscono i casi nei quali il GDPR non trova applicazione. E se anche così non fosse, è pacifico che la nozione di “pubblica sicurezza” includa anche l’emergenza sanitaria. Da tempo la Corte costituzionale (Corte Cost. Sent. 23 marzo 1995 n. 115) ha infatti definito la pubblica sicurezza come l’insieme delle
misure preventive e repressive dirette al mantenimento dell’ordine pubblico, da intendersi quale complesso dei beni giuridici fondamentali o degli interessi pubblici primari sui quali si fonda l’ordinata convivenza civile dei consociati
Anche volendo negare (e non capisco in che modo) che il bene salute sia incluso fra i “beni giuridici fondamentali”, rimane il fatto che il controllo di chi non rispetta le regole di quarantena è pacificamente una questione di pubblica sicurezza e dunque sottratta alla normativa sul trattamento dei dati personali.
Nulla quaestio, quindi, sul fatto che tutti i dati necessari alla gestione della emergenza sanitaria, di ordine e sicurezza pubblica possano essere liberamente trattati inclusi quelli di geolocalizzazione, per essere sicuri di poter sanzionare duramente – come ha annunciato il governo – coloro che non rispettano l’ordine di isolamento (e con questo spero di prevenire gli “allarmi” per la “violazione della privacy” nel caso il Governo dovesse adottare una sacrosanta misura del genere).
E anche a voler considerare necessaria la previsione di una base giuridica per il trattamento in emergenza l’art. 14 rimane sostanzialmente e largamente inutile perchè nella sostanza rimuove l’obbligo di informativa (pacificamente assolvibile con pubblicazioni online che portano via pochissimo tempo) e consentono le designazioni di mansioni anche per via orale. Come se fossero questi i problemi da risolvere nel contemperamento di interessi in una condizione di emergenza sanitaria come quella che stiamo vivendo.
Art. 14 Disposizioni sul trattamento dei dati personali nel contesto emergenziale
1. Fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanita’ pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonche’ per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell’articolo 9, paragrafo 2, lettere g), h) e i), e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonche’ dell’articolo 2-sexies, comma 2, lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196,
- i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e
- i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630,
- nonche’ gli uffici del Ministero della salute e dell’Istituto Superiore di Sanita’,
- le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e
- i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13,
anche allo scopo di assicurare la piu’ efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19.
2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonche’ la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, e’ effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attivita’ connesse alla gestione dell’emergenza sanitaria in atto.
3. I trattamenti di dati personali di cui ai commi 1 e 2 sono effettuati nel rispetto dei principi di cui all’articolo 5 del citato regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle liberta’ degli interessati.
4. Avuto riguardo alla necessita’ di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 possono conferire le autorizzazioni di cui all’articolo 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196, con modalita’ semplificate, anche oralmente.
5. Nel contesto emergenziale in atto, ai sensi dell’articolo 23, paragrafo 1, lettera e), del menzionato regolamento (UE) 2016/679, fermo restando quanto disposto dall’articolo 82 del decreto legislativo 30 giugno 2003, n. 196, i soggetti di cui al comma 1 possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione.
6. Al termine dello stato di emergenza di cui alla delibera del Consiglio dei ministri del 31 gennaio 2020, i soggetti di cui al comma 1 adottano misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte