L’articolo 14 del Decreto Legge 9 marzo 2020, rubricato “Disposizioni sul trattamento dei dati personali nel contesto emergenziale”, ha creato la base giuridica per consentire il trattamento dei dati personali da parte di tutti i soggetti coinvolti nella gestione dell’emergenza (Strutture Sanitarie, Ministeri e Protezione Civile).
Il comma 2 consente la comunicazione dei dati personali (non quelli sensibili/particolari) a soggetti pubblici e privati diversi da quelli del comma 1 (Comuni, Vigili del Fuoco, Prefetture e Forze di Polizia) solo se strettamente necessario ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto, nel rispetto dei principi stabiliti in materia di privacy.
La formulazione della norma ha creato molte incertezze. Sembrava non esservi la possibilità da parte delle Strutture Sanitarie di comunicare i dati dei soggetti sottoposti a cure o alla quarantena ai Comuni e per questi di comunicare tali dati alle Forze di Polizia o di informare la popolazione.
La Presidenza del Consiglio dei Ministri ha chiarito in una circolare dei giorni scorsi che è consentita la comunicazione dei dati personali e dei dati particolari (dati della salute) relativi alle persone sottoposte a cure o a quarantena, a soggetti pubblici e privati diversi dalle Strutture Sanitarie Nazionali e Regionali e dalla Protezione Civile (Prefetture, Comuni, Vigili del Fuoco e Forze di Polizia), nonché la diffusione dei dati personali ( NON DUNQUE DEI DATI PARTICOLARI / SALUTE) nei casi in cui ciò risulti indispensabile ai fini di svolgere le attività connesse alla gestione dell’emergenza sanitaria in atto.
I Dipartimenti di Prevenzione delle Aziende Sanitarie Locali possono legittimamente trasmettere i dati personali e i dati di salute dei soggetti sottoposti a cure o alla quarantena ai Comuni, alle Prefetture, ai Vigili del Fuoco e alle Forze di Polizia e questi possono comunicare tali dati tra di loro nel rispetto dei principi generali stabiliti dal Regolamento UE 679/2016.
Art. 14. Disposizioni sul trattamento dei dati personali nel contesto emergenziale
1. Fino al termine dello stato di emergenza deliberato dal Consiglio dei ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, nel rispetto dell’articolo 9, paragrafo 2, lettere g), h) e i), e dell’articolo 10 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonché dell’articolo 2-sexies, comma 2, lettere t) e u), del decreto legislativo 30 giugno 2003, n. 196, i soggetti operanti nel Servizio nazionale di protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19.
2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento (UE) 2016/679, è effettuata, nei casi in cui risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza sanitaria in atto.
3. I trattamenti di dati personali di cui ai commi 1 e 2 sono effettuati nel rispetto dei principi di cui all’articolo 5 del citato regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.
4. Avuto riguardo alla necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 possono conferire le autorizzazioni di cui all’articolo 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, anche oralmente.
5. Nel contesto emergenziale in atto, ai sensi dell’articolo 23, paragrafo 1, lettera e), del menzionato regolamento (UE) 2016/679, fermo restando quanto disposto dall’articolo 82 del decreto legislativo 30 giugno 2003, n. 196, i soggetti di cui al comma 1 possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione.
Ordinanza del Capo del Dipartimento della Protezione Civile n. 630 del 03 febbraio 2020
Art. 5 (Trattamento dati personali)
1. Nell’ambito dell’attuazione delle attività di protezione civile connesse allo svolgimento delle attività di cui alla presente ordinanza, allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, i soggetti operanti nel Servizio nazionale di protezione civile di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, nonché quelli individuati ai sensi dell’art. 1 della presente ordinanza, possono realizzare trattamenti, ivi compresa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del Regolamento del Parlamento europeo 27 aprile 2016, n. 2016/679/UE, necessari per l’espletamento della funzione di protezione civile al ricorrere dei casi di cui agli articoli 23, comma 1 e 24, comma 1, del decreto legislativo 2 gennaio 2018, n. 1, fino al 30 luglio 2020.
2. La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli di cui al comma 1, nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento del Parlamento europeo 27 aprile 2016, n. 2016/679/UE è effettuata, nei casi in cui essa risulti indispensabile, ai fini dello svolgimento delle attività di cui alla presente ordinanza.
3. Il trattamento dei dati di cui ai commi 1 e 2 è effettuato nel rispetto dei principi di cui all’articolo 5 del citato Regolamento n. 2016/679/UE, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.
4. In relazione al contesto emergenziale in atto, nonché avuto riguardo all’esigenza di contemperare la funzione di soccorso con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 conferiscono le autorizzazioni di cui all’articolo 2-quaterdecies, del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, ed anche oralmente.