Un caso di “scuola”, tra Covid, privacy ed informazione.
Premetto che la ricerca tra le varie fonti normative non è stata agevole; basti ricordare che la “Raccolta delle principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19 aventi implicazioni in materia di protezione dei dati personali”, pubblicato sul sito del Garante per la Protezione dei Dati Personali è un documento di 926 pagine e contiene tutti i provvedimenti – in cui vi siano riflessi sulla sfera individuale – assunti in situazione emergenziale di pandemia fino al 5 novembre 2020.
Come prima cosa, è bene ricordare che il termine privacy nel nostro ordinamento, non è solo la tutela dei dati personali, sensibili o giudiziari, ma anche e soprattutto il trattamento di quei dati, ovvero l’acquisizione, la custodia e la divulgazione a terzi.
Cioè, in una parola la “protezione” di quei dati, che a seconda della loro natura possono essere divulgati con il nostro consenso, oppure unicamente per le finalità per cui vengono acquisiti, oppure infine non essere affatto divulgati a terzi.
Ciò detto, la scuola è pacificamente un ambiente di lavoro e come tale soggetto alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro.
A scuola, anche a tal fine, vengono raccolti e trattati dati personali. Sul trattamento e sul titolare del trattamento dei dati, l’art. 4 del GDPR* stabilisce che titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali” (*Regolamento generale per la protezione dei dati personali n. 2016/679 noto come General Data Protection Regulation o GDPR) è la normativa europea in materia di protezione dei dati, in Gazzetta Ufficiale europea il 4 maggio 2016, in vigore il 24 maggio 2016, ed attuato in Italia dal 25 maggio 2018).
Per la scuola il titolare del trattamento è l’istituzione scolastica stessa, nella figura del suo dirigente.
I dati raccolti a scuola sono custoditi dal datore di lavoro, anche quelli di carattere sanitario.
I datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta. E in base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.
Per rispondere dunque al quesito, nel caso in cui manchi un/una insegnante o sia assente un/una alunno/a – studente e si sospetti che possa aver contratto il Covid 19, il dirigente scolastico o il “referente COVID” potrà comunicare il suo nominativo in favore dell’Autorità Sanitaria ed esclusivamente per finalità di prevenzione dal contagio da Covid-19; e ciò anche in caso di richiesta diretta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti” stretti di un lavoratore risultato positivo e per attivare le misure previste per la profilassi.
Per converso, è obbligo dell’insegnante/dipendente segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81), compresa la sua condizione di salute.
Quindi non può essere divulgata a terzi (intesi essi i genitori degli alunni/studenti) l’identità della persona contagiata sia essa insegnante, personale ATA o alunno/studente.
Il contatto diretto è tra Istituzione Scolastica e Dipartimento di prevenzione presso la ASL territoriale; e, come detto, avviene o attraverso il dirigente scolastico o attraverso la figura del referente Covid, secondo questo iter: comunicare e ricevere comunicazioni su eventuali contatti stretti tra alunni/studenti o personale scolastico, e trasmetterli alla Asl competente; comunicare e ricevere casi confermati Covid.
Alla domanda: “È possibile diffondere i dati identificativi delle persone positive al COVID 19 o che sono state poste in isolamento domiciliare?” il Garante ha risposto che la disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.
Ne consegue che, al di fuori dello scambio di informazioni sullo stato di salute (dato sensibile) tra autorità entrambe titolate alla raccolta ed al trattamento dei dati sulla salute (personali e sensibili), quali scuola e ASL, non è ammessa divulgazione dell’identità personale a terzi estranei.
Non possiamo ragionevolmente ritenere che l’informazione sullo stato di salute altrui e sulla sua identità (custodita e trattata da altri per noi e nel nostro interesse) possa minare il nostro diritto alla salute, né che il mancato accesso ad informazioni sull’identità personale altrui possa costituire una compressione del diritto alla salute, rispetto al diritto alla riservatezza del contagiato o presunto tale.
I genitori hanno il diritto a che le procedure e le misure per il contenimento della diffusione epidemiologica, contenute in normative, regolamenti o protocolli, siano osservate da chi in nostra vece e nel nostro interesse è chiamato ad applicarle, proprio nel rispetto, rigoroso, di tutte le disposizioni e le garanzie, compresa quella alla riservatezza.
Il Prof. Francesco Micozzi, docente di Informatica Giuridica all’Università di Perugia, a margine di un’intervista al Dott. Antonello Soro (Presidente del Garante per la protezione dei dati personali, a firma di Cristiana Mangani, su Il Messaggero, 23 febbraio 2020) ha detto: “…le esigenze vanno contemperate”. “Vanno eliminati gli agganci tra il dato personale e la necessità di informare – sottolinea – e lo si può fare rispettando la pseudonimizzazione o l’anonimizzazione. Esempio: arriva in Italia una persona con coronavirus, è necessario che venga rivelato il nome? Evidentemente no. Si metteranno in contatto con lui coloro che hanno il compito di gestire l’emergenza. E i suoi dati personali dovranno rimanere in possesso solo degli operatori sanitari, e in questo caso anche dalla protezione civile. Saranno loro stessi a informare tutte le persone che sono entrate in contatto con chi ha il virus o si sospetta che lo abbia, ma possono farlo senza dame le generalità. Altrimenti il rischio che si corre è una pericolosa caccia all’untore”.
Grazie per l’attenzione
Avv. Umberto Pantanella