in questo approfondimento:
aggiornamenti e implementazioni alle Faq “COVID-19 e protezione dati personali” del Garante Privacy (v. newsletter 05/2020)
riguarda in particolare:
- titolari di trattamento dei dati
- lavoratori e altri interessati
Nella newsletter di maggio 2020 sono state segnalate le Faq del Garante Privacy in merito a diverse attività di trattamento dei dati in ambito di emergenza COVID-19.
A motivo delle variazioni intervenute in alcune di tali Faq del Garante, segnaliamo di seguito:
- il riferimento della sezione delle Faq oggetto di variazione o di nuova implementazione
- il riferimento del numero Faq oggetto di variazione o di nuova implementazione
- il contenuto della variazione o implementazione intervenuta
01. CONTESTO SANITARIO
Faq nr. 10
E’ stato aggiunto il seguente riferimento:
02. CONTESTO ENTI LOCALI
Nessuna variazione
03. CONTESTO LAVORATIVO
Sono state aggiunte le seguenti nuove Faq:
07. Il datore di lavoro può richiedere ai propri dipendenti di eseguire test sierologici?
Si, ma solo se disposta dal medico competente e, in ogni caso, nel rispetto delle indicazioni fornite dalle autorità sanitarie, anche in merito all’affidabilità e all’appropriatezza di tali test.
Solo il medico competente, infatti, in quanto professionista sanitario, tenuto conto del rischio generico derivante dal Covid-19 e delle specifiche condizioni di salute dei lavoratori sottoposti a sorveglianza sanitaria, può stabilire la necessità di particolari esami clinici e biologici e suggerire l’adozione di mezzi diagnostici, qualora ritenuti utili al fine del contenimento della diffusione del virus e della salute dei lavoratori (cfr. par. 12 del Protocollo condiviso tra il Governo e le Parti sociali aggiornato il 24 aprile 2020).
Resta fermo che le informazioni relative alla diagnosi o all’anamnesi familiare del lavoratore non possono essere trattate dal datore di lavoro (ad esempio, mediante la consultazione dei referti o degli esiti degli esami), salvi i casi espressamente previsti dalla legge. Il datore di lavoro può, invece, trattare i dati relativi al giudizio di idoneità alla mansione specifica e alle eventuali prescrizioni o limitazioni che il medico competente può stabilire come condizioni di lavoro.
Le visite e gli accertamenti, anche ai fini della valutazione della riammissione al lavoro del dipendente, devono essere attuati dal medico competente o da altro personale sanitario, e, comunque, nel rispetto delle disposizioni generali che vietano al datore di lavoro di effettuare direttamente esami diagnostici sui dipendenti.
Resta fermo che i lavoratori possono liberamente aderire alle campagne di screening avviate dalle autorità sanitarie competenti a livello regionale relative ai test sierologici Covid-19, di cui siano venuti a conoscenza anche per il tramite del datore di lavoro, coinvolto dal dipartimento di prevenzione locale per veicolare l’invito di adesione alla campagna tra i propri dipendenti (cfr. FAQ n. 10 – Trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria).
I datori di lavoro possono offrire ai propri dipendenti, anche sostenendone in tutto o in parte i costi, l’effettuazione di test sierologici presso strutture sanitarie pubbliche e private (es. tramite la stipula o l’integrazione di polizze sanitarie ovvero mediante apposite convenzioni con le stesse), senza poter conoscere l’esito dell’esame.
08. Il datore di lavoro può trattare i dati personali del dipendente affetto da Covid-19
o che ne presenta i sintomi?
Sebbene, di regola, i dati personali relativi alle specifiche patologie di cui sono affetti i lavoratori possano essere trattati solo da professionisti sanitari (es. medici di base, specialisti, medico competente) e non anche dal datore di lavoro, quest’ultimo, in taluni casi, nel contesto dell’attuale emergenza epidemiologica, può lecitamente venire a conoscenza dell’identità del dipendente affetto da Covid-19 o che presenta sintomi compatibili con il virus.
Ciò, in particolare, può verificarsi quando ne venga informato direttamente dal dipendente, sul quale grava l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Coerentemente il Protocollo condiviso tra il Governo e Parti sociali aggiornato il 24 aprile 2020, la cui osservanza è prescritta dalla normativa dell’emergenza, prevede specifici obblighi informativi del lavoratore in favore del datore di lavoro laddove sussistano condizioni di pericolo, come i sintomi influenzali (si vedano anche gli analoghi protocolli stilati in ambito pubblico e quelli relativi a specifici settori, quali cantieri, trasporti e logistica); ciò anche quando tali sintomi si manifestino all’ingresso della sede di lavoro o durante la prestazione lavorativa (cfr. Protocollo condiviso, es. §§ 1, 2 e 11). A tal fine,
il datore di lavoro può quindi invitare i propri dipendenti a fare tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati, tenendo conto del proprio generale obbligo di tutelare l’integrità fisica dei prestatori di lavoro, ai sensi dell’art. 2087 c.c. e del d.lgs. 81/2008 (cfr., anche FAQ n. 2).
Il datore di lavoro potrebbe, inoltre, venire a conoscenza dello stato di positività al Covid-19 accertato dalle autorità sanitarie a seguito dell’effettuazione di un tampone oro/nasofaringeo, nell’ambito della collaborazione che è tenuto a prestare a tali autorità, anche con il coinvolgimento del medico competente, per la ricostruzione degli eventuali contatti stretti con altre persone nel contesto lavorativo (cfr. par. 11 del Protocollo del 24 aprile 2020).
Il datore di lavoro può, altresì, conoscere lo stato di avvenuta negativizzazione del tampone oro/nasofaringeo, ai fini della riammissione sul luogo di lavoro dei lavoratori già risultati positivi all’infezione da Covid-19, secondo le modalità previste e la documentazione rilasciata dal dipartimento di prevenzione territoriale di competenza (cfr. par. 2 e 12 del Protocollo del 24 aprile 2020).
In questi casi, dunque, il datore di lavoro può trattare i dati relativi ai sintomi o alla positività al Covid-19 del lavoratore per la finalità di salute e sicurezza dei luoghi di lavoro o per adempire agli obblighi di collaborazione con gli operatori di sanità pubblica.
Al di fuori dei casi normativamente previsti, il datore di lavoro non può, invece, trattare dati sulla salute del lavoratore e comunicare gli stessi a soggetti terzi (cfr. FAQ nn. 5 e 6).
In base alle norme in materia di sorveglianza sanitaria, non derogate da quelle dell’emergenza, il datore di lavoro non può, inoltre, conoscere l’esito degli esami diagnostici disposti dal medico competente, tra i quali anche i test sierologici, che non consentono, peraltro, di diagnosticare l’infezione (cfr. FAQ n. 7).
Resta fermo che, ove all’esito del test sierologico sia disposta l’effettuazione di un tampone che attesti la positività al virus, il datore di lavoro potrà conoscere, oltre alla valutazione del medico competente in merito all’inidoneità al servizio, anche l’identità del dipendente nei casi sopra esplicitati (cfr. Protocollo condiviso, §§ 1, 2, 11 e 12), di seguito riepilogati.
Alla luce del quadro normativo vigente, il datore di lavoro può quindi trattare i dati personali del dipendente affetto da Covid-19 o che ne presenta i sintomi e può conoscere la condizione di positività al Covid-19:
- quando ne venga informato direttamente dal lavoratore; o
- nei limiti in cui sia necessario al fine di prestare la collaborazione all’autorità sanitaria; o
- ai fini della riammissione sul luogo di lavoro del lavoratore già positivo al Covid-19.
09. Sono utilizzabili applicativi con funzionalità di “contact tracing” in ambito aziendale?
La funzionalità di “contact tracing”, prevista da alcuni applicativi al dichiarato fine di poter ricostruire, in caso di contagio, i contatti significativi avuti in un periodo di tempo commisurato con quello individuato dalle autorità sanitarie in ordine alla ricostruzione della catena dei contagi ed allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi, è − allo stato − disciplinata unicamente dall’art. 6, d.l. 30.4.2020, n. 28.
10. Al fine di contenere il rischio di contagio sul luogo di lavoro sono disponibili applicativi che non trattano dati personali?
Sì, il datore di lavoro può ricorrere all’utilizzo di applicativi, allo stato disponibili sul mercato, che non comportano il trattamento di dati personali riferiti a soggetti identificati o identificabili. Ciò nel caso in cui il dispositivo utilizzato non sia associato o associabile, anche indirettamente (es. attraverso un codice o altra informazione), all’interessato né preveda la registrazione dei dati trattati.
Si pensi alle applicazioni che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, attivando un “semaforo rosso” al superamento di un prestabilito numero di persone contemporaneamente presenti; oppure alle funzioni di taluni dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita (dunque senza tracciare chi indossa il dispositivo e senza registrare alcuna informazione).
Si pensi, altresì, ad applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione).
In questi casi spetta comunque al titolare verificare il grado di affidabilità dei sistemi scelti, predisponendo misure da adottare in caso di malfunzionamento dei dispositivi o di falsi positivi o negativi.
04. CONTESTO SCOLASTICO
Nessuna variazione
05. SPERIMENTAZIONE E RICERCA MEDICA
Nessuna variazione
E’ stata implementata, infine, la seguente sezione e le rispettive Faq:
06. APP NAZIONALE DI CONTACT TRACING E APP REGIONALI PER COVID-19
01. Quale è la base giuridica per il sistema nazionale di tracciamento digitale dei contatti (contact tracing)?
L’App per il tracciamento digitale dei contatti dei contagiati da Covid 19 è stata disciplinata dall’art. 6 del decreto legge 30 aprile 2020, n. 28 che ha istituito il Sistema nazionale di allerta Covid uniformando, a livello nazionale, il quadro di garanzie poste a tutela degli interessati.
La norma rappresenta un adeguato presupposto giuridico per introdurre tale misura di sanità pubblica e soddisfa i requisiti previsti dal Regolamento (UE) 2016/679 (articoli6, par.1, lett. e) e 9, par. 2, lett. g) e, in particolare, lett. i)) e dal Codice (articoli 2-ter e 2-sexies).
Il Ministero della Salute, ai sensi del citato art. 6 del d.l. 28/2020, ha condotto la valutazione d’impatto prevista dall’art. 35 del Regolamento e il Garante ha successivamente autorizzato il trattamento effettuato attraverso l’App Immuni (provvedimento adottato il 1° giugno 2020 – doc. web. n. 9356568).
02. È obbligatorio installare l’App Immuni?
No, la norma prevede che l’App sia installata dagli interessati su base volontaria.
L’adesione al sistema di allerta deve essere infatti frutto di una scelta realmente libera da parte dell’interessato che deve essere adeguatamente informato e deve poter confidare nella trasparenza del trattamento. La volontarietà dell’adesione dell’interessato è assicurata in ogni fase del trattamento effettuato dal Ministero della salute, come ribadito dal Garante sia nel parere sulla norma (cfr. parere del 29 aprile 2020 – doc. web n. 9356568).
03. La mancata installazione dell’App Immuni può comportare conseguenze per l’interessato?
La mancata installazione dell’App, seppure priva l’interessato della possibilità di ricevere avvisi automatici sugli eventuali contatti a rischio, non determina conseguenze negative, né può rappresentare la condizione per l’esercizio di diritti o per usufruire di determinati servizi o beni.
04. Può una Regione consentire l’accesso sul proprio territorio solo a condizione che l’interessato installi e utilizzi un‘ App?
No, tanto è vero che la norma nazionale che ha introdotto il sistema di Allerta Covid, attraverso il tracciamento digitale dei contatti, ha stabilito che le persone non possono
essere obbligate a installare l’App e che la mancata installazione non può comportare alcuna conseguenza pregiudizievole per gli interessati ovvero incidere sull’esercizio dei diritti fondamentali, quale, in particolare, la libertà di circolazione (art. 16 Cost.)
05. Quale è la base giuridica per l’utilizzo di App di telemedicina per il contrasto al Covid 19 da parte delle strutture sanitarie?
La normativa d’urgenza adottata per il Covid 19 ha previsto misure rigorose per lo svolgimento delle visite mediche, al fine di favorire l’adozione di misure di protezione per il paziente e per il personale sanitario, nonché per garantire il distanziamento interpersonale tra gli stessi pazienti.
In tale contesto, le strutture sanitarie che intendono avvalersi di strumenti di telemedicina (App di telediagnosi, teleconsulto, teleassistenza e tele monitoraggio utilizzate dal personale medico) per effettuare diagnosi o terapie a distanza, non devono richiedere uno specifico consenso al trattamento dei dati personali dell’interessato, in quanto si tratta di una diversa modalità di svolgimento del rapporto medico-paziente (cfr. in particolare art. 9, § 2, lett. h) e § 3 del Regolamento).
Il titolare del trattamento dovrà in ogni caso provvedere a effettuare la valutazione di impatto (art. 35 del Regolamento), fornire all’interessato un’informativa completa con riferimento al trattamento dei dati effettuato attraverso la già menzionata App, nonché assicurare il rispetto dei principi di integrità, riservatezza ed esattezza dei dati trattati anche attraverso tale specifica modalità di trattamento.
06. Può essere imposta l’installazione delle App di telemedicina per il contrasto al Covid 19 utilizzate dalle strutture sanitarie?
No, il Servizio Sanitario Nazionale deve garantire la prestazione sanitaria anche a coloro che non possano o non intendano installare App di telemedicina. La prestazione in tal caso sarà erogata nel rispetto delle disposizioni e dei protocolli adottati per assicurare il rispetto delle misure di protezione individuale.
07. Quale è la base giuridica delle altre App, diverse da quelle di telemedicina, utilizzate per il contrasto al Covid 19?
Premesso che le App di tracciamento devono avere una adeguata base normativa e rispettare i criteri già definiti a livello nazionale, le App, volte a fornire servizi diversi dalla telemedicina o comunque non strettamente necessari alla cura (App divulgative; App per la raccolta di informazioni sullo stato di salute della popolazione di un dato territorio), che comportino il trattamento di dati personali, possono essere utilizzate, in linea generale, solo previo consenso libero, specifico, esplicito e informato dell’interessato (cfr. provv. 7 marzo 2019, doc. web n. 9091942).
08. Come devono essere configurate le App per assicurare il rispetto dei principi di privacy by design e privacy by default?
Le App devono trattare solamente i dati strettamente necessari a perseguire le finalità del trattamento evitando di raccogliere dati eccedenti (es. quelli relativi all’ubicazione del dispositivo mobile dell’utente) e limitandosi a richiedere permessi per l’accesso a funzionalità o informazioni presenti nel dispositivo, solo se indispensabili. Nell’ambito delle relative valutazioni di impatto sarà, inoltre, necessario valutare attentamente, tra l’altro, la liceità e i rischi derivanti dall’eventuale trasferimento di dati a terze parti (es. social login, notifiche push, ecc.), soprattutto se stabilite al di fuori dell’Unione Europea.