COVID-19: online le FAQ del Garante privacy sul trattamento dei dati personali nell'ambito dell'emergenza sanitaria in corso

Il 4 maggio 2020, il Garante per la protezione dei dati personali ha pubblicato sul proprio sito web (www.garanteprivacy.it) le FAQ dirette a fornire indicazioni in merito al trattamento di dati personali nell'ambito dell'emergenza sanitaria da COVID-19 effettuato da strutture sanitarie e da operatori sanitari, enti locali, datori di lavoro, scuole ed istituti scolastici, nonché da promotori e centri di sperimentazione nel contesto delle sperimentazioni cliniche e delle ricerche mediche. 

In particolare, con riferimento ai dati personali trattati nel contesto sanitario, il Garante ha chiarito che tutti i professionisti sanitari (inclusi i dentisti) possono raccogliere le informazioni ritenute necessarie per la cura dei loro pazienti, ivi comprese quelle legate alla presenza di sintomi da COVID-19, e ha individuato le misure che le aziende sanitarie devono adottare per comunicare ai soggetti in isolamento le regole da seguire durante il periodo di quarantena e quelle per le strutture sanitarie che devono fornire informazioni sullo stato di salute ai familiari dei pazienti che non sono in grado di comunicare in via autonoma. Inoltre, viene specificato che le ricette mediche possono essere inviate dal medico al paziente (al fine di evitare che quest'ultimo debba recarsi presso lo studio medico per il ritiro) e anche direttamente al farmacista. Resta, in ogni caso, fermo il divieto di diffondere i dati identificativi delle persone positive al COVID-19 o che sono state poste in isolamento domiciliare.

Relativamente al trattamento di dati personali dei lavoratori, l'Autorità ha individuato le misure che possono essere adottate dal datore di lavoro per prevenire e contenere il contagio sul luogo di lavoro (tra cui rientrano la rilevazione della temperatura corporea del personale per l’accesso alle sedi aziendali e la preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti positivi al COVID-19 o provenga da zone considerate a rischio) e quelle che non possono, invece, essere messe in atto (quali, ad esempio, la comunicazione dell’identità dei dipendenti contagiati al Rappresentante dei lavoratori per la sicurezza o agli altri lavoratori), nonché i trattamenti di dati che coinvolgono il medico competente (incluse la possibilità di sottoporre i lavoratori a visite straordinarie e la segnalazione al datore di lavoro di “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti”).

Con riferimento, invece, ai trattamenti di dati personali nel contesto di sperimentazioni cliniche e delle ricerche mediche, il Garante ha, in primo luogo, stabilito che gli stessi possono essere effettuati sulla base del consenso degli interessati, ovvero, in conformità al diritto dell’Unione o nazionale per motivi di interesse pubblico rilevante, per motivi di interesse pubblico nel settore della sanità pubblica e per fini di ricerca scientifica (art. 9, par. 2, lett. a, g, i e j del GDPR). Viene, inoltre, chiarito che, qualora a causa di particolari e comprovate ragioni, informare gli interessati risulti impossibile o implichi uno sforzo sproporzionato oppure rischi di pregiudicare gravemente il conseguimento delle finalità della ricerca e non sia quindi possibile acquisire il consenso degli interessati, i titolari del trattamento sono tenuti a raccogliere tale consenso, previa idonea informativa, presso chi esercita legalmente la potestà su costoro, ovvero tramite un prossimo congiunto, un familiare, un convivente o, in loro assenza, il responsabile della struttura presso cui dimora l’interessato. 

Qualora non sia possibile acquisire il consenso dell’interessato, neanche presso terzi, i trattamenti di dati che riguardano esclusivamente studi sperimentali e gli usi compassionevoli dei medicinali per uso umano, per la cura e la prevenzione del virus Covid-19 non debbono essere necessariamente preceduti dalla sottoposizione del progetto di ricerca e della valutazione di impatto alla consultazione preventiva del Garante di cui all’art. 110 del d.lgs. 196/2003.

Infine, gli IRCSS che trattano dati personali nell’ambito delle ricerche mediche finanziate dal Ministero della salute non sono tenuti ad effettuare gli adempimenti previsti dall’art. 110 del Codice della privacy, né a raccogliere il consenso degli interessati, dal momento che tali trattamenti ineriscono alle funzioni di rilevante interesse pubblico attribuite, tra gli altri, anche ai soggetti del SSN.