Articoli

Lotta al Covid-19: le aziende possono usare app o braccialetti per il contact tracing?

Con le FAQ di 6 e 13 luglio 2020 il Garante ha fornito ulteriori chiarimenti sul trattamento di dati personali per finalità di prevenzione e contenimento dell’emergenza sanitaria, in particolare affermando il divieto per i datori di lavoro di ricorrere alle applicazioni di “contact tracing” differenti da Immuni e consentendo l’utilizzo dei soli dispositivi che non comportino il trattamento di dati personali.
 
Il quadro normativo attuale

Nonostante si sia recentemente assistito ad una stabilizzazione della curva dei contagi su scala nazionale, l’attuale quadro normativo non ha subito alcun intervento di modifica con riguardo alle misure prescritte, in ambito pubblico e privato, per il ritorno sui luoghi di lavoro: in particolare si fa riferimento al Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro del 14 marzo 2020, aggiornato al 24 aprile 2020 e rinvenibile all’Allegato 12 del  DPCM 11 giugno 2020. 

La rilevazione della temperatura corporea

Ad oggi, al datore di lavoro è consentito procedere alla rilevazione della temperatura corporea, da intendersi informazione di tipo sanitario. L’identificazione dell’interessato al superamento della soglia di temperatura è consentita solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali. Il datore di lavoro è tenuto a fornire (anche oralmente) l’informativa sul trattamento dei dati omettendo le informazioni di cui l’interessato è già in possesso, nelle forme precisate dal Protocollo.

Le informazioni sugli spostamenti ed i “contatti stretti”

Oltre al dato sanitario della temperatura corporea, il datore di lavoro può raccogliere, anche mediante autodichiarazione, informazioni inerenti gli spostamenti ed i contatti dei dipendenti, anche in tale occasione provvedendo al rilascio di apposita informativa, nelle forme di cui sopra.

Il datore di lavoro può comunicare i nomi dei dipendenti contagiati?  

I datori di lavoro non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che non si tratti delle autorità sanitarie competenti, al fine di consentire la tempestiva attivazione delle misure di profilassi. Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.

I test sierologici in azienda

I test sierologici possono essere disposti solo dal medico competente, tenuto conto del rischio generico derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori, e devono essere eseguiti nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’affidabilità e all’appropriatezza di tali test.

Le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro.

Il datore di lavoro può ricorrere ad apposite applicazioni di contact tracing?

Il Garante ha chiarito che la funzionalità di “contact tracing” è disciplinata unicamente dall’art. 6, d.l. 30.4.2020, n. 28, che ha istituito la piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, abbiano installato, su  base volontaria, un’apposita applicazione  sui  dispositivi  di  telefonia mobile, da intendersi l’app Immuni.

Tale chiarimento è intervenuto con la FAQ n. 9 del 6 luglio 2020.

Si deve quindi ritenere che la raccolta di dati personali mediante app di contact tracing differenti da Immuni sarebbe sguarnita di idonea base giuridica che deve essere specifica e deve rispondere al principio di finalità del trattamento e di proporzionalità.

A quali app può ricorrere l’azienda?

Con la successiva risposta n. 10, il Garante ha affermato che, comunque, il datore di lavoro può ricorrere all’utilizzo di applicativi che non comportino il trattamento di dati personali riferiti a soggetti identificati o identificabili, come per esempio quelli che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, oppure gli applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione).

Qual è la base giuridica delle app non strettamente necessarie alla cura?

Ulteriori chiarimenti sono stati forniti con le FAQ del 13 luglio 2020: le app volte a fornire servizi diversi dalla telemedicina o comunque non strettamente necessari alla cura che comportino il trattamento di dati personali possono essere utilizzate solo previo consenso libero, specifico, esplicito e informato dell’interessato.

Segue: le app regionali

In tema di app, con il 13 luglio il Garante ha chiarito che le Regioni non possono subordinare l’accesso e la circolazione sul territorio al download di una specifica applicazione, in quanto l’adesione al sistema di allerta Covid attraverso il tracciamento digitale dei contatti è su base volontaria e non obbligatoria.

Le app di telemedicina

Con l’occasione, l’Autorità ha individuato la base giuridica per l’utilizzo di app di telemedicina per il contrasto al Covid 19 da parte delle strutture sanitarie di telemedicina (app di telediagnosi, teleconsulto, teleassistenza e telemonitoraggio utilizzate dal personale medico) nella lettera h) del paragrafo 2 e nel paragrafo 3 dell’art. 9 del GDPR. Le strutture predette non sono dunque tenute a richiedere uno specifico consenso al trattamento dei dati personali dell’interessato, in quanto si tratta di una diversa modalità di svolgimento del rapporto medico-paziente. Ciò non si traduce nell’obbligatorietà delle app, dovendo essere garantita la prestazione sanitaria anche a coloro che non possano o non intendano installare dette app.

Avv. Chiara Benvenuto

 

Immuni: l’app non è per tutti. Quali le indicazioni del Garante?

Il Garante, precisando alcune misure che necessariamente dovranno essere adottate in fase di sperimentazione per arginare quanto più possibile i rischi connessi al trattamento dei dati, autorizza Immuni ma l’applicazione è in grado di funzionare solo sui dispositivi di ultima generazione. Il sistema di tracciamento inaccessibile a molti sarà lo stesso efficace?
 
La nuova applicazione Immuni

Il Garante per la protezione dei dati personali ha autorizzato, con il provvedimento dell’1 giugno 2020, il Ministero della salute, titolare del trattamento, ad avviare il sistema nazionale di tracciamento digitale dei contatti (di seguito “Sistema”) attraverso l’applicazione Immuni.

In particolare, tenuto conto della valutazione d’impatto trasmessa dal Ministero è stato rilevato che il trattamento di dati personali effettuato nell’ambito del Sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati, che attenuano i rischi che potrebbero derivare da trattamento illecito.

Le misure indicate dal Garante

Tuttavia, le cautele non sono mai troppe e, per queste ragioni, il Garante ha ritenuto opportuno precisare alcune misure che necessariamente dovranno essere adottate in fase di sperimentazione per arginare quanto più possibile i rischi connessi al trattamento dei dati.

Pertanto, il rispetto dei principi del GDPR diventa certamente prioritario.

Gli obblighi di trasparenza impongono da un lato, che gli utenti debbano essere informati adeguatamente in ordine al funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio e del fatto che le notifiche generate dal sistema non sempre riflettono una condizione di rischio; dall’altro, che particolare attenzione dovrà essere dedicata all’informativa e al messaggio di allerta, tenendo altresì conto del fatto che i soggetti attinti dal trattamento saranno anche minori ultra quattordicenni.

Il rispetto della limitazione delle finalità e del principio di minimizzazione dei dati comporta che i dati raccolti attraverso il Sistema non potranno essere trattati per finalità non previste dalla norma che istituisce l’applicazione, dovendo altresì evitare ogni forma di nuova associazione a soggetti identificabili e adottando idonee misure di sicurezza e tecniche di anonimizzazione.

Quanto, poi, all’osservanza del principio di limitazione delle conservazione la retention degli indirizzi IP dei cellulari dovrà essere commisurata ai tempi strettamente necessari per il rilevamento di anomalie e di attacchi.

L’apparente parità di trattamento

Sembra, tuttavia, che l’attesa, i dibattiti, i dubbi in merito al funzionamento dell’applicazione siano serviti a poco, perché il Sistema è sì funzionale alla tutela della salute pubblica di tutti ma non è per tutti. Solo gli smartphone di ultima generazione supportano l’utilizzo dell’applicazione: nelle FAQ ufficiali dell’applicazione si legge che “i requisiti di sistema per usare Immuni sono imposti dalla tecnologia sottostante di Apple e Google, che non è disponibile per versioni precedenti di iOS, Android e Google Play Services”.

Se tanti non potranno scaricare l’applicazione perché dotati di un dispositivo di vecchia generazione, il tanto discusso Sistema funzionerà effettivamente? 

Avv. Marta Cogode

In arrivo Immuni: quali implicazioni privacy per gli utenti?

Al centro del dibattito pubblico l’app Immuni, che verrà adottata per il contenimento dei casi durante la Fase 2, ma quali sono le implicazioni per la privacy degli utenti e per la sicurezza dei dati trattati?

Sviluppata e offerta pro bono da Bending Spoons, l’applicazione scelta dal Governo sarà disponibile – stando alle ultime news non ufficiali – alla fine del mese di maggio. L’app Immuni sarà composta da due sezioni, una dedicata al contact tracing vero e proprio, basato sulla tecnologia Bluetooth Low Energy (BLE), l’altra destinata ad ospitare un “diario clinico” dove l’utente potrà annotare dati relativi alle proprie condizioni di salute. In particolare, una volta installata, Immuni genererà un codice (ID) temporaneo e anonimo che, grazie alla tecnologia BLE, scambierà chiavi anonime con i dispositivi vicini. Grazie ai dati raccolti e ad un algoritmo (ancora in via di affinamento), in caso di intervenuto contagio di uno dei “contatti” (una delle persone “frequentate”) l’utente verrà informato e potrà quindi adottare ogni più idonea misura di prevenzione. Si richiede, dunque, all’utente di aggiornare quotidianamente l’app con l’inserimento dell’eventuale dato sanitario dell’intervenuto contagio.

La Presidenza del Consiglio dei Ministri ha richiesto un parere al Garante privacy sulla proposta normativa per valutare possibili implicazioni per la privacy degli utenti. Con parere del 29 aprile 2020, il Garante ha rilevato che il sistema non si pone in contrasto con i principi dettati dal Regolamento 679/2016 (GDPR) e dal Codice Privacy ed anzi risulta in linea con i criteri indicati dalle Linee guida del Comitato europeo per la protezione dei dati del 21 aprile. Nello specifico, secondo il Garante:

  • sono stati rispettati i requisiti di volontarietà, tipicità, trasparenza, determinatezza ed esclusività dello scopo, selettività e minimizzazione dei dati, non esclusività dell’algoritmo e reciprocità di anonimato tra gli utenti dell’app;
  • la norma è sufficientemente dettagliata con riguardo alle modalità del trattamento, che risulta conforme ai principi di minimizzazione, di trasparenza e ai criteri di privacy by default e by design. Ciò escludendo la raccolta di dati di geolocalizzazione e limitando la conservazione dei dati rilevati al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine;
  • la conformità dell’applicazione è confermata dalla previsione dell’adesione volontaria dell’interessato, essendo esclusa ogni forma di condizionamento della determinazione individuale e, quindi, di disparità di trattamento.

Stante l’importanza che l’applicazione avrà nella gestione e nel contenimento dell’emergenza, occorrerebbe verificare le capacità infrastrutturali della Pubblica Amministrazione, anche a fronte del grave data breach subito dall’INPS di recente. In tale ottica, sarà necessario vagliare l’implementazione delle misure di sicurezza previste dagli artt. 25 e 32 del GDPR non solo da parte del Ministero della Salute, in quanto titolare del trattamento, ma anche dei responsabili del trattamento. Questi ultimi sono i soggetti operanti nel Servizio Nazionale della protezione civile, i  soggetti cc.dd. “attuatori” di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile, nonché l’Istituto superiore di sanità e le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale.

Si segnala come, ad oggi, debba ancora essere svolta la valutazione d’impatto, obbligatoria ai sensi dell’art. 35 GDPR e che verrà vagliata dall’Autorità Garante per la protezione dei dati personali, nell’ambito del prior check.

Avv. Vincenzo Colarocco e Dott. Niccolò Olivetti