Ormai siamo abituati a parlare di Regolamento Europeo per il trattamento dei dati personali (Reg. UE 679/2016 o “GDPR”) associandolo ad attività puramente aziendali. In realtà il Regolamento si applica anche ad attività che ricadono nel campo del volontariato (il c.d. Terzo Settore) e in particolare alle attività di protezione civile. Vediamo gli aspetti salienti affinché un’organizzazione sia conforme al Regolamento nell’adempimento delle proprie attività sia in tempo di pace che in caso di calamità o emergenza.
Protezione Civile, quadro normativo di riferimento
Innanzitutto, per citare le norme più importanti, la Protezione Civile nasce con la Legge Quadro sul volontariato (L. 266/1991) con la quale “La Repubblica italiana riconosce il valore sociale e la funzione dell’attività di volontariato come espressione di partecipazione, solidarietà e pluralismo, ne promuove lo sviluppo salvaguardandone l’autonomia e ne favorisce l’apporto originale per il conseguimento delle finalità di carattere sociale” e, successivamente, viene normata con la Legge sul sistema di Protezione Civile (L. 225/1992). Ad oggi la prima è stata abrogata e sostituita dal Codice Unico del Terzo Settore (D.Lgs. 117/2017) mentre la seconda è stata abrogata ed inserita nel nuovo Codice della protezione civile (D.Lgs. 101/2018).
Nell’ambito delle Organizzazioni di volontariato di protezione civile troviamo una importante distinzione: l’Associazione e il Gruppo Comunale. La prima è un ente privato con un proprio statuto, un presidente e un consiglio direttivo, il cui Legale Rappresentante è il Presidente dell’Associazione stessa; il secondo è un’organizzazione pubblica e dipende direttamente dal Sindaco, che ne è anche Legale Rappresentante. In generale sono Organizzazioni di Volontariato di Protezione Civile tutti gli Enti costituiti per svolgere o promuovere attività di previsione, prevenzione e soccorso in vista o in occasione di eventi calamitosi, ivi comprese le attività di formazione e addestramento, nelle stesse materie.
Il trattamento dei dati personali da parte delle organizzazioni di Protezione Civile
Accanto alle norme specifiche del settore, per la Protezione Civile dobbiamo richiamare la normativa in tema di trattamento dei dati personali. Non che prima dell’avvento del GDPR questa tematica non fosse presente ma, proprio l’introduzione dello stesso, ha posto l’accento sulle attività di trattamento che, necessariamente, sono presenti. Ricordiamoci che per trattamento si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (art.4 GDPR). Ovviamente il trattamento dovrà rispettare i principi di liceità, correttezza e trasparenza; i dati dovranno essere raccolti per finalità determinate, esplicite, legittime e, successivamente, trattati in modo tale che non ci sia incompatibilità con tali finalità (art.5 GDPR). Ogni trattamento che non rispetta queste previsioni è fonte di responsabilità e quindi base giuridica per la richiesta di risarcimento da parte degli interessati attraverso sanzioni penali ed amministrative.
Nell’ambito delle attività di protezione civile le Organizzazioni di Protezione Civile, in qualità di Titolari del trattamento, trattano i dati dei loro aderenti esattamente come se fossero un vero e proprio datore di lavoro. Proviamo a fare un quadro sulla tipologia di dati trattati.
Dati personali comuni
I dati personali trattati dalle organizzazioni di Protezione Civile sono sicuramente quelli c.d. comuni. Nello specifico:
- La maggior parte dei dati personali conferiti riguardano informazioni concernenti l’iscrizione all’organizzazione, la convocazione delle assemblee, eventuali deleghe conferite, eventuale assunzione di incarichi o cariche all’interno dell’organizzazione, l’idoneità o meno al servizio, e la partecipazione alle attività interne (esercitazioni, interventi, turni di servizio);
- I dati vengono raccolti presso gli interessati e saranno trattati dagli incaricati dell’organizzazione (art.13 GDPR);
- I dati sono comunicati a terze parti, in qualità di Titolari autonomi del trattamento, per l’iscrizione agli appositi Albi (ad esempio, in Lombardia, i dati saranno caricati sul “Nuovo Albo del Volontariato – DBVOL”) per consentire la gestione dei dati anagrafici e operativi dei volontari iscritti nelle Organizzazioni stesse, nonché, per i Gruppi Comunali e Intercomunali, per la presentazione delle domande di iscrizione, cancellazione e mantenimento dei requisiti di operatività. L’aggiornamento costante dei dati è poi fondamentale per una corretta gestione delle attivazioni dei volontari e per garantire ad esempio i rimborsi previsti dal DPR 194/2001, ai datori di lavoro e alle Organizzazioni;
- Tra le finalità del trattamento abbiamo (i) la necessità di essere iscritto all’interno dell’Organizzazione per poter svolgere le attività operative del gruppo e, se necessario, (ii) per accertare, esercitare e/o difendere i diritti dell’Organizzazione in sede giudiziaria. Sono dati necessari senza i quali non si può finalizzare l’iscrizione del volontario all’interno dell’Organizzazione e degli Albi;
- I dati saranno conservati per un periodo stabilito dal Titolare, comunque congruo alle finalità stabilite, e al termine saranno cancellati o resi anonimi. Non si procede alla cancellazione se il trattamento è necessario (i) per l’adempimento di un obbligo legale che richieda il trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il Titolare del trattamento (la norma fa riferimento tanto alle attività degli enti pubblici, ma può anche essere riferita a compiti di pubblico interesse quali il soccorso sanitario, inclusa l’assistenza ai disabili, o quello di protezione civile), (ii) per motivi di interesse pubblico nel settore della sanità pubblica (rientrano in questa ipotesi quelle di cui all’articolo 5, lettere A, B e C del Codice del Terzo Settore) o (iii) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- In generale, l’interessato potrà far valere i propri diritti ai sensi degli artt.15-23 GDPR;
- Il trattamento deve essere indicato all’interno dell’informativa sul trattamento dei dati personali che sarà consegnata a ciascun volontario.
Dati personali sanitari
L’attività ordinaria prevede che i dati sanitari possano essere trattati nei limiti di cui all’art. 9 del GDPR. In particolare possiamo richiamare la lettera H) la quale stabilisce che “il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3”. Normalmente:
- I volontari sono tenuti a consegnare l’attestazione del giudizio di idoneità al servizio, scevra di ogni elemento ulteriore rispetto al mero giudizio di idoneità. Potrà essere prevista l’eventuale indicazione di limitazioni o di allergie che possono comprometterne la salute durante un’attività di Protezione civile.
Attenzione: l’art. 9 del D.P.R. 194/2001 stabilisce che “i volontari di Protezione civile possano svolgere nell’arco di un anno fino a un massimo di 90 giorni di attività, di cui 30 continuativi, raddoppiabili in caso di emergenze dichiarate ai sensi di quanto previsto dall’art. 5 della Legge n. 225/1992 e previa autorizzazione nominativa”. L’Allegato 4 del “Decreto del Capo della Protezione Civile del 12 Gennaio 2012” riguardante la definizione delle attività di sorveglianza sanitaria di cui all’articolo 41 del decreto legislativo 9 aprile2008, n. 81 prevede che “per i fattori di rischio previsti nel decreto legislativo dai titoli VI (movimentazione di carichi manuali), VII (attrezzature munite di videoterminali), VIII (agenti fisici), IX (sostanze pericolose, limitatamente alle sostanze di cui al Capo I), X (agenti biologici, relativamente agli agenti appartenenti ai gruppi 2, 3 e 4 dell’articolo 268, comma 1), quest’ultimo relativamente ai volontari che svolgono compiti di soccorso e assistenza sanitaria, dovranno essere individuati dall’Organizzazione di appartenenza, ai fini della sottoposizione alla sorveglianza sanitaria, i volontari che svolgono attività operative di volontariato per più di 535 ore nell’arco dell’anno” e che “per le Organizzazioni che non dispongono di sistemi di rilevamento delle attività orarie svolte dai propri volontari, il termine di impiego oltre il quale dovranno essere sottoposti alla sorveglianza sanitaria è determinato in 65 giorni di volontariato annui”. Ciò significa che:
- in caso di applicazione della sorveglianza sanitaria i dati saranno trattati esclusivamente dal medico, che si limiterà a trasmettere all’Organizzazione la sola diagnosi, contenente il solo giudizio di idoneità totale, idoneità parziale o non idoneità (temporanea o definitiva), senza alcun dato sensibile, per tramite del volontario. La comunicazione concernente l’esito della sorveglianza, anche in caso di esito negativo, non contiene dati personali sanitari e per la sua conservazione a cura dell’Organizzazione non sono richiesti adempimenti diversi da quelli previsti per la generalità dei dati personali comuni. I dati sanitari acquisiti dal medico competente vengono conservati a cura del volontario mentre i dati sanitari dei volontari appartenenti alla Croce Rossa Italiana e al Corpo Nazionale del Soccorso Alpino e Speleologico saranno conservati secondo procedure definite dai rispettivi organismi centrali.
Riprendendo l’analisi secondo lo schema sopra riportato:
- i dati non saranno comunicati a terze parti, salvo nell’ipotesi in cui i volontari siano sottoposti alla sorveglianza sanitaria obbligatoria. In tal caso l’Organizzazione comunica entro il mese di gennaio di ogni anno alla Regione, o alla Provincia Autonoma dove è iscritta, che i volontari individuati per essere sottoposti alla sorveglianza sanitaria nell’anno precedente vi hanno ottemperato;
- tra le finalità del trattamento abbiamo (i) adempiere agli obblighi previsti dal Codice della Protezione Civile (idoneità al servizio, sorveglianza sanitaria), alla (ii) legislazione in materia di salute e sicurezza sul lavoro, ovvero (iii) per motivi di interesse pubblico rilevante (capacità reattiva in caso di intervento in caso di calamità) o (iv) per accertare, esercitare e/o difendere i diritti del gruppo in sede giudiziaria. Anche questi sono tutti dati necessari, senza i quali non si può, in alcuni casi, finalizzare l’iscrizione del volontario all’interno dell’organizzazione ed in altri considerare il volontario totalmente operativo soprattutto in caso di calamità;
- i dati saranno conservati per un periodo stabilito dal Titolare, e comunque congruo alle finalità stabilite, e al termine saranno cancellati o resi anonimi. Non si procede alla cancellazione se il trattamento è necessario per l’adempimento di un obbligo legale che richieda il trattamento o per l’esecuzione di un compito svolto nel pubblico interesse;
- in generale, l’interessato potrà far valere i propri diritti ai sensi degli artt.15-23 GDPR;
- il trattamento deve essere indicato all’interno dell’informativa sul trattamento dei dati personali.
Dati personali giudiziari
Il tema dei dati giudiziari è forse quello più articolato. Dati giudiziari sono quelli relativi a condanne penali e a reati o a connesse misure di sicurezza e vengono disciplinati dall’art.10 del GDPR secondo cui “il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica”.
Il Codice italiano riformato dal D.Lgs. n. 101/2018 prevede, all’art. 2 octies, che nel caso in cui il trattamento dei dati giudiziari non sia previsto da alcuna norma di legge (o, su previsione di legge, da un regolamento), esso può avvenire solo se autorizzato con decreto del Ministero della Giustizia, sentito il Garante.
La cosa certa è che le Organizzazioni di Protezione Civile non sono legittimate al trattamento di questi dati e, pertanto, non potranno chiedere al volontario copia del casellario. La prassi di richiedere informazioni in tale ambito deriva probabilmente dal fatto che il volontario di protezione civile ricopre un ruolo legalmente riconosciuto. Non solo, quando si trova in servizio è, a tutti gli effetti, un incaricato di pubblico servizio (sono incaricati di un pubblico servizio coloro che svolgono un’attività disciplinata nelle stesse forme della pubblica funzione, ma che sono carenti di poteri tipici della pubblica funzione medesima, pur non esercitando mansioni d’ordine o meramente materiale).
Secondo alcune correnti di pensiero sarebbe quindi sufficiente un’autodichiarazione in cui il volontario (o l’aspirante volontario) dichiari di non avere pregiudizi per delitti non colposi contro la persona e il patrimonio. Secondo altre correnti di pensiero si afferma che non è percorribile tale ipotesi in quanto il Garante la considererebbe al pari di un certificato rilasciato dal Tribunale.
Il trattamento di dati giudiziari è quindi possibile se si rientra nelle ipotesi di liceità dell’art. 6 GDPR, e se è presente almeno una di queste condizioni: (i) se il trattamento avviene “sotto il controllo dell’Autorità pubblica” o (ii) se il trattamento è autorizzato dal diritto dell’Unione o dal diritto italiano che prevedano garanzie appropriate per i diritti e le libertà degli interessati (ad esempio rientrano in questa ipotesi le Organizzazioni di volontariato che si occupano della messa in prova o di lavori di pubblica utilità). Per l’iscrizione agli Albi si potrebbe rientrare nella casistica appena citata. Sino a futuri chiarimenti ritengo che sia meglio non raccogliere questo tipo di informazioni e magari, nella domanda di iscrizione o nel regolamento dell’Organizzazione, utilizzare un’espressione più generale come “persona di indubbia moralità”.
Trattamento di dati riguardanti persone differenti dai volontari nella Protezione Civile
Le Organizzazioni di protezione civile trattano, per l’esercizio dei propri compiti, anche dati di soggetti diversi dai propri aderenti, che ricadono sempre e comunque in compiti di interesse pubblico. Le attività possono spaziare su diversi campi: da quelle emergenziali sino alla formazione nelle scuole. Di seguito ho scelto di prendere in considerazione quei trattamenti che per loro natura riguardano aspetti “particolari” degli interessati.
Ricerca dispersi
Viene definita persona dispersa il soggetto non più rintracciabile per motivi certamente diversi da atti criminali, e per il quale, poiché si suppone possa essere in situazione di pericolo, occorre avviare operazioni di ricerca e soccorso. Ogniqualvolta vi sia l’attivazione delle Organizzazioni, da parte della pubblica autorità, per una ricerca dispersi, vengono raccolte una serie di informazioni e quindi anche dati personali. Questo comporta una sorta di profilazione del soggetto. In questo caso si tratterà di:
- Dati biometrici, ovvero, quei dati relativi a caratteristiche fisiche, fisiologiche o comportamentali di un individuo, che potranno essere trattati per proteggere un interesse vitale dell’interessato che si trova ovviamente nell’incapacità fisica di prestare il proprio consenso;
- Dati relativi allo stato di salute, che ricadono nella scriminante della salvaguardia della vita umana, sotto il controllo della pubblica autorità.
Ovviamente questi dati saranno trattati sotto il controllo delle autorità di pubblica sicurezza, per le finalità sopra indicate, e saranno trattati solo per il tempo strettamente necessario per la ricerca del disperso.
Gestione delle persone nel c.d. campo di accoglienza
In questo caso parliamo di due tipologie di interessati:
- quando a essere trattati sono i dati dei volontari si rientra nelle considerazioni sopra esposte;
- quando a essere trattati sono i dati relativi ai soggetti ospitati all’interno del campo (il trattamento consiste nella registrazione dei dati identificativi, a fini di trasmissione all’Autorità di Pubblica Sicurezza) parliamo di meri dati identificativi in adempimento a disposizione di legge, per fini di comunicazione, all’Autorità Pubblica;
- i dati sanitari degli ospiti non sono trattati dal personale delle Organizzazioni di protezione civile, ma solo dal personale sanitario presente all’interno del campo di accoglienza.
Trattamento dati nell’emergenza sanitaria da parte della Protezione Civile
Questo è un tema complesso che richiederebbe un approfondimento per la tipologia di dati trattati e per la complessità del trattamento che avveniva anche sull’onda emotiva del contesto. Sul punto, è intervenuto il Garante Italiano della Privacy, il quale, con il Parere del 02 febbraio 2020, ha sottolineato la rilevanza del diritto alla salute, autorizzando modalità semplificate di trattamento dei dati in favore della Protezione Civile al fine di rendere efficaci le misure di prevenzione e di contenimento del contagio. Con riferimento all’Ordinanza n. 630 del 3 febbraio 2020 sui “Primi interventi urgenti di protezione civile in relazione all’emergenza relativa al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili” all’art.5 (Trattamento dei dati personali) si dice che nell’ambito dell’attuazione delle attività di protezione civile connesse allo svolgimento delle attività rientranti nell’ordinanza, i soggetti operanti nel Servizio nazionale di Protezione Civile, possono realizzare trattamenti, ivi compresa la comunicazione tra loro, dei dati personali, anche relativi agli artt.9 e 10 del GDPR necessari per l’espletamento della funzione di protezione civile al ricorrere dei casi di cui agli articoli 23, comma 1 e 24, comma 1, del decreto legislativo 2 gennaio 2018, n. 1, e fino al 30 luglio 2020.
La comunicazione dei dati personali a soggetti pubblici e privati, diversi da quelli citati, nonché la diffusione dei dati personali diversi da quelli di cui agli artt. 9 e 10 del GDPR è effettuata, nei casi in cui essa risulti indispensabile, ai fini dello svolgimento delle attività di cui alla citata ordinanza. Il trattamento è effettuato nel rispetto dei principi di cui all’art.5 del GDPR adottando misure appropriate a tutela dei diritti e delle libertà degli interessati. In relazione al contesto emergenziale in atto, nonché avuto riguardo all’esigenza di contemperare la funzione di soccorso con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti citati conferiscono le autorizzazioni di cui all’articolo 2-quaterdecies, del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, ed anche oralmente.
Inoltre, resta fermo (parere del Garante del 2 marzo 2020) che l’accertamento e la raccolta di informazioni relative ai sintomi tipici da COVID-19 e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla Protezione Civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.
Durante l’emergenza si sono verificate tre ipotesi:
- rilevamento della temperatura corporea nei luoghi pubblici. In tal caso il dato è relativo allo stato di salute dell’interessato;
- attività di supporto alla popolazione nelle Sale Operative Regionali. Qui il trattamento è ben più complesso perché ai dati comuni, si aggiungono quelli relativi allo stato di salute dell’interessato. Ma non solo. La specificità del contagio portava a trattare i dati comuni e particolari con riferimento ai famigliari e a tutte le persone entrate in contatto con l’interessato stesso;
- attività di consegna dei beni di prima necessità alle persone in isolamento.
Rifacendosi anche alle indicazioni del Garante:
- nel primo caso le disposizioni adottate per l’emergenza sanitaria da Covid-19, hanno previsto la possibilità di effettuare controlli della temperatura corporea a tutti i passeggeri di voli europei e internazionali in arrivo negli aeroporti italiani o in quei luoghi (mercati, parchi) in cui l’Autorità locale ritenga necessario tutelare la popolazione dal rischio di contagio nonché per avere una pronta risposta nel contenimento dello stesso;
- nel secondo caso è lecito che l’operatore chieda all’interessato l’identità della persona positiva con cui ha avuto un contatto stretto in quanto l’operatore, al fine di determinare le misure di contenimento di contagio più opportune, è chiamato a ricostruire la filiera dei contati stretti del soggetto risultato positivo al Covid-19. La disciplina vigente vieta la diffusione dei dati relativi alla salute: tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19. Pertanto, le aziende sanitarie e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia;
- nel terzo caso i servizi assistenziali comunali a favore della popolazione (es. consegna di beni di prima necessità o di farmaci) possono essere offerti su richiesta degli interessati, pubblicizzando le modalità di attivazione del servizio (ad es. numero verde) senza raccogliere gli elenchi dei soggetti posti in isolamento domiciliare tenuti dalle Aziende Sanitarie competenti. In primo luogo, chiarisce il Garante, non tutti i soggetti in isolamento domiciliare potrebbero essere interessati a fruire di tali servizi ed in secondo luogo, la modalità di attivazione “a richiesta” dei servizi citati potrebbe garantirne la fruizione anche ai soggetti che, pur non essendo in isolamento domiciliare, sono maggiormente a rischio di contagio (c.d. soggetti fragili). In generale il volontario di protezione civile tratta solo i dati comuni dell’interessato (nome, cognome, indirizzo per la consegna della spesa) ma nulla circa lo stato di salute e non può diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia.
Conclusioni
Chi coordina un’Organizzazione di protezione civile, e sino ai più alti livelli della catena di comando, deve considerare anche l’aspetto del trattamento dei dati personali di cui viene a conoscenza nello svolgimento dei propri compiti. Non sempre nelle Organizzazioni di protezione civile sono presenti figure che possono aiutare a gestire questo aspetto. E non è nemmeno ipotizzabile la presenza di un Dpo all’interno delle stesse. È importante, però, che chi coordina venga informato e formato sulla disciplina in materia di trattamento del dato anche attraverso l’organizzazione di incontri formativi specifici.