Articoli

Lotta al Covid-19: le aziende possono usare app o braccialetti per il contact tracing?

Con le FAQ di 6 e 13 luglio 2020 il Garante ha fornito ulteriori chiarimenti sul trattamento di dati personali per finalità di prevenzione e contenimento dell’emergenza sanitaria, in particolare affermando il divieto per i datori di lavoro di ricorrere alle applicazioni di “contact tracing” differenti da Immuni e consentendo l’utilizzo dei soli dispositivi che non comportino il trattamento di dati personali.
 
Il quadro normativo attuale

Nonostante si sia recentemente assistito ad una stabilizzazione della curva dei contagi su scala nazionale, l’attuale quadro normativo non ha subito alcun intervento di modifica con riguardo alle misure prescritte, in ambito pubblico e privato, per il ritorno sui luoghi di lavoro: in particolare si fa riferimento al Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14 marzo 2020, aggiornato al 24 aprile 2020 e rinvenibile all’Allegato 12 del  DPCM 11 giugno 2020. 

La rilevazione della temperatura corporea

Ad oggi, al datore di lavoro è consentito procedere alla rilevazione della temperatura corporea, da intendersi informazione di tipo sanitario. L’identificazione dell’interessato al superamento della soglia di temperatura è consentita solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali. Il datore di lavoro è tenuto a fornire (anche oralmente) l’informativa sul trattamento dei dati omettendo le informazioni di cui l’interessato è già in possesso, nelle forme precisate dal Protocollo.

Le informazioni sugli spostamenti ed i “contatti stretti”

Oltre al dato sanitario della temperatura corporea, il datore di lavoro può raccogliere, anche mediante autodichiarazione, informazioni inerenti gli spostamenti ed i contatti dei dipendenti, anche in tale occasione provvedendo al rilascio di apposita informativa, nelle forme di cui sopra.

Il datore di lavoro può comunicare i nomi dei dipendenti contagiati?  

I datori di lavoro non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che non si tratti delle autorità sanitarie competenti, al fine di consentire la tempestiva attivazione delle misure di profilassi. Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.

I test sierologici in azienda

I test sierologici possono essere disposti solo dal medico competente, tenuto conto del rischio generico derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori, e devono essere eseguiti nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’affidabilità e all’appropriatezza di tali test.

Le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro.

Il datore di lavoro può ricorrere ad apposite applicazioni di contact tracing?

Il Garante ha chiarito che la funzionalità di “contact tracing” è disciplinata unicamente dall’art. 6, d.l. 30.4.2020, n. 28, che ha istituito la piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, abbiano installato, su  base volontaria, un’apposita applicazione  sui  dispositivi  di  telefonia mobile, da intendersi l’app Immuni.

Tale chiarimento è intervenuto con la FAQ n. 9 del 6 luglio 2020.

Si deve quindi ritenere che la raccolta di dati personali mediante app di contact tracing differenti da Immuni sarebbe sguarnita di idonea base giuridica che deve essere specifica e deve rispondere al principio di finalità del trattamento e di proporzionalità.

A quali app può ricorrere l’azienda?

Con la successiva risposta n. 10, il Garante ha affermato che, comunque, il datore di lavoro può ricorrere all’utilizzo di applicativi che non comportino il trattamento di dati personali riferiti a soggetti identificati o identificabili, come per esempio quelli che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, oppure gli applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione).

Qual è la base giuridica delle app non strettamente necessarie alla cura?

Ulteriori chiarimenti sono stati forniti con le FAQ del 13 luglio 2020: le app volte a fornire servizi diversi dalla telemedicina o comunque non strettamente necessari alla cura che comportino il trattamento di dati personali possono essere utilizzate solo previo consenso libero, specifico, esplicito e informato dell’interessato.

Segue: le app regionali

In tema di app, con il 13 luglio il Garante ha chiarito che le Regioni non possono subordinare l’accesso e la circolazione sul territorio al download di una specifica applicazione, in quanto l’adesione al sistema di allerta Covid attraverso il tracciamento digitale dei contatti è su base volontaria e non obbligatoria.

Le app di telemedicina

Con l’occasione, l’Autorità ha individuato la base giuridica per l’utilizzo di app di telemedicina per il contrasto al Covid 19 da parte delle strutture sanitarie di telemedicina (app di telediagnosi, teleconsulto, teleassistenza e telemonitoraggio utilizzate dal personale medico) nella lettera h) del paragrafo 2 e nel paragrafo 3 dell’art. 9 del GDPR. Le strutture predette non sono dunque tenute a richiedere uno specifico consenso al trattamento dei dati personali dell’interessato, in quanto si tratta di una diversa modalità di svolgimento del rapporto medico-paziente. Ciò non si traduce nell’obbligatorietà delle app, dovendo essere garantita la prestazione sanitaria anche a coloro che non possano o non intendano installare dette app.

Avv. Chiara Benvenuto

 

In arrivo Immuni: quali implicazioni privacy per gli utenti?

Al centro del dibattito pubblico l’app Immuni, che verrà adottata per il contenimento dei casi durante la Fase 2, ma quali sono le implicazioni per la privacy degli utenti e per la sicurezza dei dati trattati?

Sviluppata e offerta pro bono da Bending Spoons, l’applicazione scelta dal Governo sarà disponibile – stando alle ultime news non ufficiali – alla fine del mese di maggio. L’app Immuni sarà composta da due sezioni, una dedicata al contact tracing vero e proprio, basato sulla tecnologia Bluetooth Low Energy (BLE), l’altra destinata ad ospitare un “diario clinico” dove l’utente potrà annotare dati relativi alle proprie condizioni di salute. In particolare, una volta installata, Immuni genererà un codice (ID) temporaneo e anonimo che, grazie alla tecnologia BLE, scambierà chiavi anonime con i dispositivi vicini. Grazie ai dati raccolti e ad un algoritmo (ancora in via di affinamento), in caso di intervenuto contagio di uno dei “contatti” (una delle persone “frequentate”) l’utente verrà informato e potrà quindi adottare ogni più idonea misura di prevenzione. Si richiede, dunque, all’utente di aggiornare quotidianamente l’app con l’inserimento dell’eventuale dato sanitario dell’intervenuto contagio.

La Presidenza del Consiglio dei Ministri ha richiesto un parere al Garante privacy sulla proposta normativa per valutare possibili implicazioni per la privacy degli utenti. Con parere del 29 aprile 2020, il Garante ha rilevato che il sistema non si pone in contrasto con i principi dettati dal Regolamento 679/2016 (GDPR) e dal Codice Privacy ed anzi risulta in linea con i criteri indicati dalle Linee guida del Comitato europeo per la protezione dei dati del 21 aprile. Nello specifico, secondo il Garante:

  • sono stati rispettati i requisiti di volontarietà, tipicità, trasparenza, determinatezza ed esclusività dello scopo, selettività e minimizzazione dei dati, non esclusività dell’algoritmo e reciprocità di anonimato tra gli utenti dell’app;
  • la norma è sufficientemente dettagliata con riguardo alle modalità del trattamento, che risulta conforme ai principi di minimizzazione, di trasparenza e ai criteri di privacy by default e by design. Ciò escludendo la raccolta di dati di geolocalizzazione e limitando la conservazione dei dati rilevati al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine;
  • la conformità dell’applicazione è confermata dalla previsione dell’adesione volontaria dell’interessato, essendo esclusa ogni forma di condizionamento della determinazione individuale e, quindi, di disparità di trattamento.

Stante l’importanza che l’applicazione avrà nella gestione e nel contenimento dell’emergenza, occorrerebbe verificare le capacità infrastrutturali della Pubblica Amministrazione, anche a fronte del grave data breach subito dall’INPS di recente. In tale ottica, sarà necessario vagliare l’implementazione delle misure di sicurezza previste dagli artt. 25 e 32 del GDPR non solo da parte del Ministero della Salute, in quanto titolare del trattamento, ma anche dei responsabili del trattamento. Questi ultimi sono i soggetti operanti nel Servizio Nazionale della protezione civile, i  soggetti cc.dd. “attuatori” di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile, nonché l’Istituto superiore di sanità e le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale.

Si segnala come, ad oggi, debba ancora essere svolta la valutazione d’impatto, obbligatoria ai sensi dell’art. 35 GDPR e che verrà vagliata dall’Autorità Garante per la protezione dei dati personali, nell’ambito del prior check.

Avv. Vincenzo Colarocco e Dott. Niccolò Olivetti

EventBot, il nuovo malware che minaccia i conti correnti: come difendersi?

Bypassa l’autenticazione a due fattori e accede a pagine riservate. Si tratta di un trojan che per le sue capacità di evolversi rapidamente sembra essere sempre in grado di hackerare i sistemi.

EventBot è un trojan che, abusando delle funzionalità di accessibilità di Android, ruba i dati degli utenti dalle applicazioni finanziarie e legge i messaggi SMS per consentire al malware di bypassare l’autenticazione a due fattori e accedere alle pagine riservate del mobile banking. In questo modo, EventBot oltre a raccogliere informazioni finanziarie e bancarie, dati personali e password, consente all’aggressore di accedere direttamente ai conti bancari degli utenti.

Sembra che il malware abbia come obiettivo gli utenti di oltre 200 diverse applicazioni finanziarie, tra cui rientrano Paypal Business, Revolut, Barclays, UniCredit, CapitalOne UK, HSBC UK, Santander UK, TransferWise, Coinbase, Paysafecard.

Il gruppo di studio Cybereason Nocturnus segue EventBot da tempo e ha rilevato la peculiare capacità dello stesso di evolversi rapidamente: dall’inizio di marzo 2020, il team ha riscontrato quattro versioni diverse del malware.

Come difendersi?

In questi casi, le misure da prendere non sono mai sufficienti. Tuttavia, qualche consiglio potrebbe risultare utile. Si potrebbe cominciare con il mantenere il proprio dispositivo mobile sempre aggiornato alle ultime versioni; tenere sempre acceso Google Play Protect; evitare di scaricare applicazioni mobili da fonti non ufficiali o non autorizzate; utilizzare soluzioni di rilevamento delle minacce mobili, per una maggiore sicurezza.

Si raccomanda comunque di utilizzare sempre un pensiero critico quando si scaricano le applicazioni per dispositivi mobili, valutando se è il caso di dare tutti i permessi che vengono richiesti ed analizzando anche la privacy policy.

Avv.ti Vincenzo Colarocco e Marta Cogode

La Commissione UE adotta una raccomandazione sul contenimento del Coronavirus attraverso le applicazioni

Avv. Vincenzo Colarocco

La Commissione europea, con raccomandazione dell’8 aprile 2020, ha definito un percorso per l’adozione, insieme agli Stati membri, di un pacchetto di misure per l’utilizzo delle applicazioni su dispositivi mobili per ragioni di prevenzione e contenimento del Coronavirus.

Tale percorso prevede: a) un approccio coordinato e paneuropeo per l’utilizzo delle applicazioni mobili al fine di consentire ai cittadini di adottare misure di distanziamento sociale efficaci e più mirate e per scopi di allerta, prevenzione e tracciamento dei contatti e b) un approccio comune per la standardizzazione e previsione dell’evoluzione del virus mediante dati relativi all’ubicazione aggregati e anonimizzati.

Il 23 marzo 2020 la Commissione ha già avviato un dialogo con gli operatori di telefonia mobile degli Stati membri.

Le predette attività sono prodromiche all’elaborazione, prevista entro il 15 aprile 2020, da parte degli Stati membri, insieme alla Commissione e in collaborazione con il Comitato europeo per la protezione dei dati, di un pacchetto di strumenti per un approccio paneuropeo per le applicazioni mobili. Per sostenere gli Stati membri la Commissione emanerà orientamenti, anche in materia di protezione dei dati e di tutela della vita privata. Gli Stati membri dovrebbero riferire in merito alle misure intraprese entro il 31 maggio 2020 e renderle accessibili agli altri Stati membri e alla Commissione per la loro valutazione. La Commissione valuterà i progressi compiuti e pubblicherà relazioni periodiche a partire dal giugno 2020 e per tutta la durata della crisi, raccomandando azioni e/o provvedendo all’eliminazione graduale delle misure non più necessarie.

TEST GDPR per settore bancario e finanziario: tutti bocciati

Avv. Vincenzo Colarocco

ImmuniWeb ha condotto una ricerca lo scorso 10 luglio sulla sicurezza dei dati gestiti dalle nostre banche. I risultati? Per nulla rassicuranti: il 97% delle più grandi banche sono a rischio di furto di dati online, e il 20% delle app di mobile banking contiene almeno una vulnerabilità di sicurezza ad alto rischio. In particolare tra le app esaminate, 85 non hanno superato il test di conformità al GDPR, 25 non sono protette da firewall, e 7 contengono vulnerabilità note e sfruttabili dagli hacker.

La situazione non migliora guardando al settore del Fintech. Immuniweb ha rivelato i dati in un nuovo report emesso il 20 agosto mettendo in evidenza che il 100% delle aziende ha problemi di sicurezza, privacy e conformità relativi ad applicazioni web, API e sotto-domini abbandonati o dimenticati. In questo ambito sono stati rilevati 8 siti web principali e 64 sotto-domini con almeno una vulnerabilità di sicurezza divulgata pubblicamente e sfruttabile a medio o alto rischio. Anche con il mobile i dati sono sconcertanti: il 100% delle applicazioni mobili contiene almeno una vulnerabilità di sicurezza a rischio medio, il 97% presenta almeno due vulnerabilità a rischio medio o alto. Il 56% dei back-end di app mobili presenta gravi configurazioni errate o problemi di privacy relativi alla insufficiente protezione della sicurezza del server web.

Come far crescere la fiducia di investitori e risparmiatori se il livello di allerta e di pericolo raggiunge i massimi livelli, non solo per i dati personali? È chiaro, infatti, che hackerare l’home banking permetterebbe a terzi sconosciuti di compiere operazioni con i soldi degli investitori attraverso la gestione del conto bancario e di altri servizi finanziari.