1) Le scuole sono tenute ad acquisire il consenso di alunni, genitori e insegnanti per attivare la didattica a distanza?

No. Gli istituti scolastici possono trattare i dati, anche relativi a categorie particolari⁽¹⁾ di insegnanti, alunni (anche minorenni), e genitori nell’ambito delle proprie finalità istituzionali e non devono chiedere agli interessati di prestare il consenso al trattamento dei propri dati, neanche in relazione alla didattica a distanza, attivata a seguito della sospensione delle attività formative delle scuole di ogni ordine e grado. Peraltro, il consenso di regola non costituisce una base giuridica idonea per il trattamento dei dati in ambito pubblico e nel contesto del rapporto di lavoro.

 

2) Gli Istituti scolastici devono informare gli interessati in merito ai trattamenti dei dati personali effettuati nelle attività di didattica a distanza?

Sì. Gli istituti scolastici sono tenuti ad assicurare la trasparenza del trattamento informando, con un linguaggio facilmente comprensibile anche dai minori, gli interessati (alunni, studenti, genitori e docenti) in merito, in particolare, ai tipi di dati e alle modalità di trattamento degli stessi, ai tempi di conservazione e alle altre operazioni di trattamento, specificando che le finalità perseguite sono limitate esclusivamente all’erogazione della didattica a distanza, sulla base dei medesimi presupposti e con garanzie analoghe a quelli della didattica tradizionale.

 

3) La scuola può comunicare alle famiglie degli alunni l’identità dei parenti di studenti risultati positivi al COVID 19?

Spetta alle autorità sanitarie competenti informare i contatti stretti del contagiato, al fine di attivare le previste misure di profilassi. L’istituto scolastico è tenuto a fornire alle istituzioni competenti, le informazioni necessarie, affinché le stesse possano ricostruire la filiera dei contatti del contagiato, nonché, sotto altro profilo, ad attivare le misure di sanificazione recentemente disposte.

 

4) Le scuole possono svolgere riunioni dei docenti in video conferenza?

Per effetto della sospensione dell’attività didattica e delle riunioni degli organi collegiali in presenza, sono state attivate modalità di didattica a distanza e il ricorso al lavoro agile con riguardo ai servizi amministrativi. Per le medesime ragioni legate all’emergenza, anche alla luce delle indicazioni del Ministro per la pubblica amministrazione e del Ministero dell’Istruzione, ogni forma di riunione nell’ambito delle attività indifferibili deve essere svolta con modalità telematiche. Il Garante ha già fornito alcune indicazioni alle scuole per orientare scelte consapevoli riguardo alle piattaforme da impiegare, sulla base delle garanzie offerte dai fornitori, in considerazione degli specifici rischi anche per i dati personali dei docenti.

 

(1) Vale a dire i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale.

Fonte: Garante Privacy

1. Il datore di lavoro può rilevare la temperatura corporea del personale dipendente o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede?

Nell’attuale situazione legata all’emergenza epidemiologica, si sono susseguiti, in tempi assai ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, numerosi interventi normativi e  conseguenti atti di indirizzo emanati dalle istituzioni competenti che, al fine di individuare misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica, hanno stabilito che, i datori di lavoro, le cui attività non sono sospese, sono tenuti a osservare le misure per il contenimento e la gestione dell’emergenza epidemiologica contenute nel Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali del 14 marzo 2020^.(1)
In particolare, il citato Protocollo prevede la rilevazione della temperatura corporea del personale dipendente per l’accesso ai locali e alle sedi aziendali, tra le misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti di utenti, visitatori e clienti nonché dei fornitori, ove per questi ultimi non sia stata predisposta una modalità di accesso separata (cfr. Protocollo par. 2 e 3 e nota n. 1).
Analoghi protocolli di sicurezza, con riguardo alle attività pubbliche non differibili o ai servizi pubblici essenziali, sono stati stipulati dal Ministro per la pubblica amministrazione con le sigle sindacali maggiormente rappresentative nella pubblica amministrazione (come il Protocollo di accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza sanitaria da “Covid-19” del 3 e 8 aprile 2020) in quanto le misure per la sicurezza del settore privato sono state ritenute coerenti con le indicazioni già fornite dallo stesso Ministro con la direttiva n. 2/2020 e con la Circolare n. 2/2020.
In ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro. Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche qualora la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.

 

2. L’amministrazione o l’impresa possono richiedere ai propri dipendenti di rendere informazioni, anche mediante un’autodichiarazione, in merito all’eventuale esposizione al contagio da COVID 19 quale condizione per l’accesso alla sede di lavoro?

In base alla disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro il dipendente ha uno specifico obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro (art. 20 del d.lgs. 9 aprile 2008, n. 81). Al riguardo la direttiva n.1/2020 del Ministro per la pubblica amministrazione ha specificato che in base a tale obbligo il dipendente pubblico e chi opera a vario titolo presso la P.A. deve segnalare all’amministrazione di provenire (o aver avuto contatti con chi proviene) da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare, ove necessario, tali comunicazioni anche mediante canali dedicati. Tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare in base al quadro normativo vigente, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al COVID-19 o provenga da zone a rischio secondo le indicazioni dell’OMS. A tal fine, anche alla luce delle successive disposizioni emanate nell’ambito del contenimento del contagio (v. Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 14 marzo 2020 fra il Governo e le parti sociali), è possibile richiedere una dichiarazione che attesti tali circostanze anche a terzi (es. visitatori e utenti).
In ogni caso dovranno essere raccolti solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da Covid-19, e astenersi dal richiedere informazioni aggiuntive in merito alla persona risultata positiva, alle specifiche località visitate o altri dettagli relativi alla sfera privata.

 

3. È possibile pubblicare sul sito istituzionale i contatti dei funzionari competenti per consentire al pubblico di prenotare servizi, prestazioni o appuntamenti presso le amministrazioni nella attuale emergenza epidemiologica?

Le disposizioni normative per il contenimento e la gestione dell’emergenza epidemiologica e le indicazioni operative fornite dalle istituzioni competenti impongono di limitare la presenza del personale negli uffici mediante, prevalentemente, il ricorso al lavoro agile. Con riguardo ai compiti che richiedono la necessaria presenza sul luogo di lavoro, è previsto che le amministrazioni svolgano le attività strettamente funzionali alla gestione dell’emergenza e quelle “indifferibili”, anche con riguardo “all’utenza esterna”. Pertanto, le attività di ricevimento o di erogazione diretta dei servizi al pubblico devono essere garantite con modalità telematica o comunque con modalità tali da escludere o limitare la presenza fisica negli uffici (ad es. appuntamento telefonico o assistenza virtuale), ovvero, predisponendo accessi scaglionati, anche mediante prenotazioni di appuntamenti.
Nel rispetto dei principi di protezione dei dati (art. 5 Regolamento UE 2016/679) la finalità di fornire agli utenti recapiti utili a cui rivolgersi per assistenza o per essere ricevuti presso gli uffici, può essere utilmente perseguita pubblicando i soli recapiti delle unità organizzative competenti (numero di telefono e indirizzo PEC) e non quelli dei singoli funzionari preposti agli uffici. Ciò, anche in conformità agli obblighi di pubblicazione concernenti l’organizzazione delle pubbliche amministrazioni.

 

4. Quali trattamenti di dati personali sul luogo di lavoro coinvolgono il medico competente?

In capo al medico competente permane, anche nell’emergenza, il divieto di informare il datore di lavoro circa le specifiche patologie occorse ai lavoratori. Nel contesto dell’emergenza gli adempimenti connessi alla sorveglianza sanitaria sui lavoratori da parte del medico competente, tra cui rientra anche la possibilità di sottoporre i lavoratori a visite straordinarie, tenuto conto della maggiore esposizione al rischio di contagio degli stessi, si configurano come vera e propria misura di prevenzione di carattere generale, e devono essere effettuati nel rispetto dei principi di protezione dei dati personali e rispettando le misure igieniche contenute nelle indicazioni del Ministero della Salute (cfr. anche Protocollo condiviso del 14 marzo 2020)⁽¹⁾. Nell’ambito dell’emergenza, il medico competente collabora con il datore di lavoro e le RLS/RLST al fine di proporre tutte le misure di regolamentazione legate al Covid-19 e, nello svolgimento dei propri compiti di sorveglianza sanitaria, segnala al datore di lavoro “situazioni di particolare fragilità e patologie attuali o pregresse dei dipendenti” (cfr. paragrafo 12 del predetto Protocollo). Ciò significa che, nel rispetto di quanto previsto dalle disposizioni di settore in materia di sorveglianza sanitaria e da quelle di protezione dei dati personali, il medico competente provvede a segnalare al datore di lavoro quei casi specifici in cui reputi che la particolare condizione di fragilità connessa anche allo stato di salute del dipendente ne suggerisca l’impiego in ambiti meno esposti al rischio di infezione. A tal fine, non è invece necessario comunicare al datore di lavoro la specifica patologia eventualmente sofferta dal lavoratore. In tale quadro il datore di lavoro può trattare, nel rispetto dei principi di protezione dei dati (v. art. 5 Regolamento UE 2016/679), i dati personali dei dipendenti solo se sia normativamente previsto o disposto dagli organi competenti ovvero su specifica segnalazione del medico competente, nello svolgimento dei propri compiti di sorveglianza sanitaria.

 

5. Il datore di lavoro può comunicare al Rappresentante dei lavoratori per la sicurezza l’identità dei dipendenti contagiati?

I datori di lavoro, nell’ambito dell’adozione delle misure di protezione e dei propri doveri in materia di sicurezza dei luoghi di lavoro, non possono comunicare il nome del dipendente o dei dipendenti che hanno contratto il virus a meno che il diritto nazionale lo consenta.In base al quadro normativo nazionale il datore di lavoro deve comunicare i nominativi del personale contagiato alle autorità sanitarie competenti e collaborare con esse per l’individuazione dei “contatti stretti” al fine di consentire la tempestiva attivazione delle misure di profilassi.
Tale obbligo di comunicazione non è, invece, previsto in favore del Rappresentante dei lavoratori per la sicurezza, né i compiti sopra descritti rientrano, in base alle norme di settore, tra le specifiche attribuzioni di quest’ultimo.
Il Rappresentante dei lavoratori per la sicurezza,  proprio nella fase dell’attuale emergenza epidemiologica, dovrà continuare a svolgere i propri compiti consultivi, di verifica e di coordinamento, offrendo la propria collaborazione al medico competente e al datore di lavoro (ad esempio, promuovendo l’individuazione delle misure di prevenzione più idonee a tutelare la salute dei lavoratori nello specifico contesto lavorativo; aggiornando il documento di valutazione dei rischi; verificando l’osservanza dei protocolli interni).
Il Rappresentate dei lavoratori per la sicurezza quando nell’esercizio delle proprie funzioni venga a conoscenza di informazioni- che di regola tratta in forma aggregata ad es. quelle riportate nel documento di valutazione dei rischi- rispetta le disposizioni in materia di protezione dei dati nei casi in cui sia possibile, anche indirettamente, l’identificazione di taluni interessati.

 

6. Può essere resa nota l’identità del dipendente affetto da Covid-19 agli altri lavoratori da parte del datore di lavoro?

No. In relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi. Il datore di lavoro è, invece, tenuto a fornire alle istituzioni competenti e alle autorità sanitarie le informazioni necessarie, affinché le stesse possano assolvere ai compiti e alle funzioni previste anche dalla normativa d’urgenza adottata in relazione alla predetta situazione emergenziale (cfr. paragrafo 12 del predetto Protocollo).
La comunicazione di informazioni reltive alla salute, sia all’esterno che all’interno della struttura organizzativa di appartenenza del dipendente o collaboratore, può avvenire esclusivamente qualora ciò sia previsto da disposizioni normative o disposto dalle autorità competenti in base a poteri normativamente attribuiti (es. esclusivamente per finalità di prevenzione dal contagio da Covid-19 e in caso di richiesta da parte dell’Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo).
Restano ferme le misure che il datore di lavoro deve adottare in caso di presenza di persona affetta da Covid-19, all’interno dei locali dell’azienda o dell’amministrazione, relative alla pulizia e alla sanificazione dei locali stessi, da effettuarsi secondo le indicazioni impartite dal Ministero della salute (v. punto 4 del Protocollo condiviso).

(1) Come aggiornato in data 24 aprile 2020

Fonte: Garante Privacy

1. Come devono essere trattati i dati dei soggetti destinatari dei servizi comunali di supporto alla popolazione attivati per l’emergenza Covid-19?

I servizi assistenziali comunali a favore della popolazione (es. consegna di beni di prima necessità o di farmaci) possono essere offerti su richiesta degli interessati, pubblicizzando, con i canali ritenuti più efficaci, le modalità di attivazione del servizio (ad es. numero verde), senza raccogliere, dunque, gli elenchi dei soggetti posti in isolamento domiciliare tenuti dalle Aziende Sanitarie competenti.
In primo luogo, infatti, non tutti i soggetti in isolamento domiciliare potrebbero essere interessati a fruire di tali servizi, poiché tali esigenze potrebbero, ad esempio, essere assolte dalla famiglia o da altre reti sociali scelte dall’interessato.
In secondo luogo, la modalità di attivazione “a richiesta” dei servizi citati potrebbe garantirne la fruizione anche ai soggetti che, pur non essendo in isolamento domiciliare, sono maggiormente a rischio di contagio o non possono usufruire di reti familiari o sociali (anziani, invalidi, malati cronici).

 

2. Come devono essere trattati i dati dei soggetti destinatari dei contributi economici comunali?

Ai fini dell’attribuzione delle risorse economiche ai soggetti che versano in condizioni di difficoltà economiche nel contesto dell’emergenza Covid-19, i Comuni hanno predisposto dei moduli con cui autocertificare il possesso dei requisiti previsti per ottenere le misure di sostegno. Tali moduli devono prevedere la raccolta dei soli dati indispensabili alla verifica dei presupposti (es. reddito, fruizione di altri aiuti, composizione nucleo familiare, etc.) e non anche informazioni non necessarie o non pertinenti per ottenere il beneficio richiesto.
Con specifico riferimento ai cd. buoni spesa, alcuni bandi rivolti agli esercizi commerciali prevedono il rimborso del valore nominale dei buoni a fronte della presentazione, da parte degli esercenti, di adeguata documentazione giustificativa (es. buoni spesa in originale e/o gli scontrini fiscali per cui il rimborso è richiesto).
In tale ipotesi, piuttosto che presentare direttamente gli scontrini con i dettagli di spesa, si ritiene preferibile che l’esercizio commerciale presenti un’autodichiarazione sulla conformità dell’utilizzo dei buoni di cui chiede il rimborso, con contestuale impegno a conservare gli scontrini per gli eventuali controlli che il Comune riterrà di effettuare. In tal modo si evita la produzione sistematica di documentazione di dettaglio che, associata all’identità del beneficiario del buono, comporterebbe la comunicazione di dati personali, anche di natura particolare (ad es. acquisti di prodotti alimentari specifici, etc.).

 

3. Possono essere pubblicati i dati relativi ai destinatari di contributi di natura economica o di altri benefici (es. buoni spesa)?

La normativa sulla trasparenza stabilisce l’obbligo di pubblicazione, fra l’altro, dei nominativi dei soggetti destinatari in generale di benefici economici superiori a mille euro nel corso dell’anno solare (quali sovvenzioni, contributi, sussidi o altri vantaggi economici), fermo restando il divieto di diffusione di nel caso in cui da tali dati “sia possibile ricavare informazioni relative allo stato di salute [o] alla situazione di disagio economico-sociale degli interessati” (art. 26, comma 4, d. lgs. n. 33/2013).
Si tratta di un divieto funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali degli interessati, al fine di evitare che soggetti in condizioni disagiate – economiche o sociali – soffrano l’imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate a causa della conoscenza da parte di terzi della particolare situazione personale.
Nel caso di benefici economici superiori a mille euro nell’anno solare, spetta all’ente locale, titolare del trattamento, valutare quando le informazioni di contesto rivelino dati sulla salute ovvero l’esistenza di un disagio economico o sociale dell’interessato e non procedere, di conseguenza, alla pubblicazione di dati o altre informazioni idonee ad identificarlo. In ogni caso, nel rispetto del principio di minimizzazione dei dati rispetto alla finalità perseguita, non risulta giustificato pubblicare dati quali, l’indirizzo di abitazione o la residenza, il codice fiscale, le coordinate bancarie dove sono accreditati i contributi o i benefici economici (codici IBAN), la ripartizione degli assegnatari secondo le fasce dell’equivalente-Isee, l’indicazione di analitiche situazioni reddituali, di condizioni di bisogno o di peculiari situazioni abitative, etc.

 

4. È possibile diffondere i dati identificativi delle persone positive al Covid-19 o che sono state poste in isolamento?

La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.
Pertanto, le aziende sanitarie, le prefetture, i comuni e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia o per il contrasto di “fake news”.

 

5. Chi può trattare i dati dei soggetti in isolamento per verificare il rispetto di tale misura?

L’attività di sorveglianza sanitaria dei soggetti posti in isolamento domiciliare consiste in un intervento di sanità pubblica, che deve essere realizzato da operatori sanitari in grado di valutare, in relazione alle condizioni di salute del soggetto, gli interventi sanitari più opportuni. Le disposizioni d’urgenza adottate pongono infatti in capo a “l’operatore di sanità pubblica” l’obbligo di provvedere “a contattare, quotidianamente, per avere notizie sulle condizioni di salute, la persona in sorveglianza” (art. 3, comma 6, d.p.c.m. 8 marzo 2020; art. 2, comma 6, d.p.c.m. 4 marzo u.s.).
Le prefetture, che hanno il compito di controllare che la misura dell’isolamento domiciliare sia effettivamente rispettata, possono avvalersi delle forze di polizia, deputate -eventualmente- anche ad adottare i provvedimenti sanzionatori connessi al mancato rispetto delle predette misure di isolamento.
Le forze di polizia locale possono venire a conoscenza dei dati identificativi dei soggetti posti in isolamento, qualora la Prefettura deleghi loro la predetta attività di controllo. In tal caso, la Prefettura potrà comunicare alla polizia locale insistente sul territorio comunale, i dati dei soggetti nei cui confronti ha delegato l’attività di controllo sul rispetto della misura di isolamento domiciliare.

 

6. Quali dati personali possono essere trattati dalla polizia locale nell’ambito dei controlli su strada?

La verifica sull’attuazione delle misure emergenziali è assicurata dalle Prefetture avvalendosi delle Forze di polizia, tra le quali la polizia locale (artt. 3 e 5 l. n. 65/1986).
Il personale di polizia locale preposto ai controlli su strada deve anche assicurare il rispetto delle restrizioni dei movimenti delle persone sul territorio, effettuando il controllo delle autodichiarazioni, rese dai cittadini, provvedendo anche all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative o, nei casi più gravi, alla trasmissione delle notizie di reato alle autorità competenti.
Gli accertamenti sulla veridicità delle dichiarazioni – rese ai sensi degli artt. 46 e 47 del d.P.R. 445/2000 sul modello ministeriale – riguardano anche la dichiarazione di “non essere sottoposto alla misura della quarantena ovvero di non essere risultato positivo al COVID-19” e devono poter essere effettuati, da tutte le forze di polizia, sui dati aggiornati tenuti dalle Aziende sanitarie competenti.  In ragione della gravità delle conseguenze che possono derivare agli interessati dall’esisto di tali verifiche, della temporaneità delle misure di isolamento e della variabilità delle stesse (per es. a seguito di tampone negativo), tali controlli devono essere necessariamente effettuati con modalità che garantiscano l’esattezza dei dati e il loro aggiornamento. Devono, pertanto, essere implementate soluzioni che consentano a tutte le Forze di polizia la possibilità di interrogare puntualmente i predetti elenchi con riferimento alla presenza della misura dell’isolamento domiciliare nei confronti del soggetto controllato. Nulla osta che tale interrogazione sia fatta presso ciascuna delle strutture sanitarie dislocate sul territorio ovvero, in modo coordinato, presso un ufficio a ciò deputato della Prefettura.

 

7. Quali dati personali possono essere trattati per la gestione del servizio di raccolta domiciliare dei rifiuti?

Qualora i Comuni intendano istituire un servizio di raccolta domiciliare dei rifiuti prodotti dai soggetti posti in isolamento domiciliare, come suggerito dall’Istituto Superiore della Sanità (rapporto n. 3/2020), tale servizio può essere attivato a richiesta degli interessati.
Tale modalità consentirebbe di raggiungere la finalità di raccolta domiciliare, limitando i rischi connessi alla circolazione degli elenchi contenenti dati sulla salute degli interessati, oltre che all’interno degli enti locali, anche tra i soggetti privati che erogano i servizi comunali, nonché quelli relativi al loro mancato aggiornamento.
Tale soluzione lascia, tra l’altro, agli interessati la facoltà di decidere se usufruire di tale servizio, oppure continuare a provvedere personalmente al conferimento dei rifiuti (per il tramite delle reti familiari), nel rispetto delle raccomandazioni fornite dall’Istituto Superiore di Sanità.

Fonte: Garante Privacy

 

1. I dentisti possono raccogliere informazioni sullo stato di salute del paziente in relazione al COVID 19?

Tutti i professionisti sanitari possono raccogliere le informazioni che ritengono necessarie nell’ambito delle attività di cura dei loro pazienti, ivi comprese quelle legate alla presenza di sintomi da COVID-19. Come ogni altro operatore sanitario, i dentisti sono inoltre tenuti a osservare le disposizioni emergenziali, in continua evoluzione, in merito alle misure di profilassi volte a prevenire e a limitare il contagio da COVID-19.
Resta fermo che l’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano invece agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

 

2. L’azienda sanitaria può inviare via e-mail, ai soggetti in isolamento domiciliare, informazioni sulle regole da rispettare durante la quarantena?

L’azienda può indicare le regole che i soggetti in isolamento devono seguire durante il periodo di quarantena con le modalità che ritiene più efficaci, nel rispetto della riservatezza degli interessati. Nel caso in cui utilizzi la posta elettronica per comunicare contemporaneamente a tutti i soggetti le disposizioni che sono tenuti a osservare, dovrà avere cura di inserire l’indirizzo dei destinatari dell’e-mail nel campo denominato “copia conoscenza nascosta” (ccn), al fine di evitare che tutti i destinatari della predetta comunicazione vengano a conoscenza dell’indirizzo e-mail degli altri soggetti posti in isolamento.

 

3. É lecito che l’operatore sanitario, durante l’esecuzione di un tampone per COVID 19, chieda al paziente l’identità della persona positiva con cui ha avuto un contatto stretto?

Si, in quanto l’operatore di sanità pubblica, al fine di determinare le misure di contenimento di contagio più opportune, è chiamato a ricostruire la filiera dei contati stretti del soggetto risultato positivo al COVID 19.

 

4. Le strutture sanitarie possono creare un servizio di call center per dare informazioni ai familiari sullo stato di salute dei pazienti COVID 19 che non sono in grado di comunicare con loro?

Le strutture sanitarie, in conformità al principio di accountability, possono individuare le modalità che ritengono più opportune ed efficaci per fornire informazioni sullo stato di salute ai familiari dei pazienti COVID 19 che non sono in grado di comunicare in via autonoma. In tale contesto, nulla osta che la struttura di ricovero dedichi un numero verde per fornire tali informazioni, prevedendo adeguate misure per identificare le persone effettivamente legittimate a conoscere le informazioni sullo stato di salute del familiare ricoverato.

 

5. Nel caso di decesso di un paziente COVID 19 positivo, le strutture sanitarie possono comunicare ai servizi funebri la causa del decesso?

Le disposizioni adottate nel corso dell’emergenza epidemiologica da COVID 19, hanno previsto che nei casi di sospetto o accertato decesso da Covid 19, gli operatori del servizio funebre debbano adottare particolari precauzioni, analoghe a quelle già previste per il decesso di persone con malattie infettive e diffusive, al fine di evitare l’ulteriore contagio. Nulla osta, pertanto, che, a tal fine, la struttura sanitaria ove è avvenuto il decesso comunichi all’impresa funebre lo stato di positività al COVID 19 del defunto.

 

6. Durante l’emergenza da COVID 19, il medico può inviare all’assistito la ricetta relativa alle prescrizioni dei farmaci evitando che l’interessato debba ritirala in studio?

Al fine di evitare che i cittadini si rechino presso gli studi dei medici di base per ritirare le ricette, l’ordinanza della protezione civile del 19 marzo 2020 ha previsto che il medico possa trasmettere all’assistito la ricetta per posta elettronica, via SMS o telefonicamente.
Nel caso di invio tramite e-mail, il promemoria della ricetta sarà allegato al messaggio e non inserito come testo nel corpo del messaggio stesso.
Nel caso di comunicazione telefonica o tramite sms, sarà invece sufficiente comunicare all’assistito il solo Numero della Ricetta Elettronica prescritta.

 

7.  Durante l’emergenza da COVID 19, è possibile inviare direttamente al farmacista la ricetta per l’acquisto di un farmaco?

Si, con decreto del Ministero dell’economia e delle finanze, sentito il Garante, è stato previsto che l’assistito che abbia ricevuto dal medico gli estremi della ricetta per posta elettronica, via sms o telefonicamente, possa comunicarla, con le stesse modalità, alla farmacia.
Le disposizioni adottate nel periodo emergenziale prevedono anche che l’assistito possa delegare il medico a inviare la ricetta direttamente alla farmacia, tramite posta elettronica o attraverso lo stesso sistema che genera la ricetta.

 

8.  È possibile diffondere i dati identificativi delle persone positive al COVID 19 o che sono state poste in isolamento domiciliare?

La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19.
Pertanto, le aziende sanitarie e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia.

 

9. Nel periodo emergenziale, può essere rilevata la temperatura corporea dei passeggeri negli aeroporti?

Si, le disposizioni adottate per l’emergenza sanitaria da COVID 19, hanno previsto la possibilità di effettuare controlli della temperatura corporea a tutti i passeggeri di voli europei e internazionali in arrivo negli aeroporti italiani, al fine di individuare le eventuali misure necessarie ai fini del contenimento dell’Epidemia da Coronavirus.

 

10.  Quali aspetti bisogna considerare nel promuovere screening sierologici per il Covid-19 nei confronti di lavoratori appartenenti a categorie a rischio come, ad esempio, gli operatori sanitari e le forze dell’ordine?

Gli screening sierologici per il Covid-19 possono essere promossi dai Dipartimenti di prevenzione della regione nei confronti delle categorie di soggetti considerati a maggior rischio di contagio e diffusione del Covid-19. Tra tali categorie di soggetti vi sono gli operatori sanitarie e le forze dell’ordine. La partecipazione di tali soggetti ai test può avvenire solo su base volontaria.
I risultati possono essere utilizzati dalla struttura sanitaria che ha effettuato il test per finalità di diagnosi e cura dell’interessato e per disporre le misure di contenimento epidemiologico previste dalla normativa d’urgenza in vigore (es. isolamento domiciliare), nonché per finalità di sanità pubblica da parte del dipartimento di prevenzione regionale.Tali trattamenti di dati devono essere tenuti distinti da quelli effettuati nell’ambito dell’effettuazione di test sierologici per Covid-19 per finalità di sicurezza e salute sul luogo di lavoro.

 Fonte: Garante Privacy

Il datore di lavoro può rilevare la temperatura corporea di dipendenti, fornitori, clienti all’ingresso della propria sede? E può rendere nota l’identità di un lavoratore contagiato ai colleghi? La scuola può comunicare alle famiglie degli alunni l’identità dei parenti di studenti risultati positivi al Covid-19? Gli enti locali possono pubblicare i dati dei destinatari dei benefici economici? Le aziende sanitarie, le prefetture, i comuni possono diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento?

Sono queste solo alcune delle domande cui rispondono le Faq messe a punto dal Garante per la protezione dei dati personali sulle problematiche connesse all’emergenza Coronavirus in vari ambiti: sanità, lavoro, scuola, ricerca, enti locali. I documenti sono stati predisposti per chiarire dubbi e fornire indicazioni per un corretto trattamento dei dati personali da parte di pubbliche amministrazioni e imprese private.

Le Faq, disponibili da oggi sul sito dell’Autorità www.garanteprivacy.it, contengono indicazioni di carattere generale ispirate alle risposte fornite e a reclami, segnalazioni, quesiti ricevuti dall’Ufficio in questo periodo.

Il Garante ha chiarito, in particolare, il ruolo che anche nell’attuale emergenza sanitaria deve essere svolto dal medico competente nel contesto lavorativo pubblico e privato, e ha inoltre specificato che il datore di lavoro non deve comunicare i nominativi dei contagiati al rappresentate dei lavoratori per la sicurezza.

Per quanto riguarda la scuola, l’istituto è tenuto a fornire alle istituzioni competenti le informazioni necessarie, affinché possano ricostruire la filiera delle persone entrate in contatto con una persona contagiata, ma spetta alle autorità sanitarie competenti informare i contatti del contagiato, al fine di attivare le misure di profilassi.

Riguardo alle strutture sanitarie, queste possono individuare le modalità che ritengono più opportune ed efficaci per fornire informazioni, sullo stato di salute, ai familiari dei pazienti Covid-19 che non sono in grado di comunicare autonomamente. La struttura di ricovero può, quindi, ad esempio, dedicare un numero verde per fornire tali informazioni, purché preveda adeguate misure per identificare le persone effettivamente legittimate a conoscere le informazioni sullo stato di salute del familiare ricoverato.

L’Autorità, poi, ha ribadito che aziende sanitarie, prefetture, comuni e qualsiasi altro soggetto pubblico o privato non possono diffondere, attraverso siti web o altri canali, i nominativi delle persone contagiate dal Covid-19 o di chi è stato posto in isolamento, anche qualora la finalità sia quella di contenere la diffusione dell’epidemia.

Il Garante ha, infine, fornito specifici chiarimenti in ordine alle semplificazioni introdotte dalla normativa emergenziale per il trattamento di dati personali nell’ambito delle sperimentazioni cliniche dei farmaci per l’emergenza epidemiologica da Covid-19 e delle ricerche mediche svolte dagli Istituti di ricovero e cura a carattere scientifico (Ircss) finanziate dal Ministero della salute.

Roma, 4 maggio 2020

Fonte: Garante Privacy

29 Aprile 2020

Registro dei provvedimenti n. 79 del 29 aprile 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vice presidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei Ministri;

Visti gli articoli 36, par. 4, e 57, par. 1, lett. c), del Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento).

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;
Viste le osservazioni del segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;

PREMESSO

1. La Presidenza del Consiglio dei Ministri ha richiesto il parere del Garante su una proposta normativa per il tracciamento dei contatti fra soggetti mediante apposita applicazione su dispositivi di telefonia mobile nell’ambito delle strategie di contenimento dell’epidemia Covid-19.

L’intervento normativo – si legge nella relazione illustrativa – è volto a disciplinare il trattamento di dati personali nel contesto dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del Covid-19 per finalità di tracciamento dei contatti tra i soggetti che, a tal fine, abbiano volontariamente installato un’apposita applicazione sui dispositivi mobili.

Al comma 1 si precisa che il titolare del trattamento è il Ministero della salute e che il trattamento riguarda il tracciamento effettuato tramite l’utilizzo di un’applicazione, installata su base volontaria e destinata alla registrazione dei soli contatti tra soggetti che abbiano parimenti scaricato l’applicazione. Ciò, al solo fine di adottare le adeguate misure di informazione e prevenzione sanitaria nel caso di soggetti entrati in contatto con utenti che risultino, all’esito di test o diagnosi medica, contagiati. Si prevede, in particolare, che il Ministero si coordini, anche ai sensi dell’articolo 28 del Regolamento, con i soggetti operanti nel Servizio nazionale della protezione civile e i soggetti cc.dd. “attuatori” di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3 febbraio 2020, nonché con l’Istituto superiore di sanità, le strutture pubbliche e private accreditate che operano nell’ambito del Servizio sanitario nazionale, nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all’emergenza epidemiologica da COVID-19. Si chiarisce, infine, che la modalità di tracciamento dei contatti tramite la piattaforma informatica di cui al predetto comma è complementare alle ordinarie modalità in uso nell’ambito del Servizio sanitario nazionale.

Al comma 2 si prevede che, all’esito di una valutazione di impatto effettuata ai sensi dell’articolo 35 del Regolamento il Ministero della salute adotti misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante, assicurando, in particolare, che: gli utenti ricevano, prima dell’attivazione dell’applicazione, un’idonea informativa; i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al Covid-19, individuati secondo criteri stabiliti dal Ministero della salute; il trattamento effettuato per il tracciamento dei contatti sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pseudonimizzati, con esclusione di ogni forma di geolocalizzazione dei singoli utenti; siano garantite su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché misure adeguate ad evitare il rischio di reidentificazione degli interessati cui si riferiscono i dati pseudonimizzati oggetto di trattamento; i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo, stabilito dal Ministero della salute, strettamente necessario al tracciamento e cancellati in modo automatico alla scadenza del termine; i diritti degli interessati di cui agli articoli da 15 a 22 del Regolamento possano essere esercitati anche con modalità semplificate.

Il comma 3 prevede che i dati raccolti attraverso l’applicazione non possono essere utilizzati per finalità diverse da quella di cui al medesimo comma 1, salvo in forma aggregata o anonima per finalità scientifiche o statistiche.

Il successivo comma 4 stabilisce che il mancato utilizzo dell’applicazione non comporta conseguenze in ordine all’esercizio dei diritti fondamentali dei soggetti interessati ed è assicurato il rispetto del principio di parità di trattamento, mentre il comma 5 prevede che la piattaforma informatica utilizzata è realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite da amministrazioni o enti pubblici o in controllo pubblico.

Infine il comma 6 chiarisce che ogni trattamento di dati personali dovrà cessare al termine del periodo di emergenza secondo la tempistica espressamente indicata, con conseguente cancellazione dei dati trattati.

RILEVATO

2. La norma tiene conto di molte delle indicazioni fornite dal Presidente del Garante nell’audizione tenuta in data 8 aprile u. presso la IX Commissione trasporti e comunicazioni della Camera dei deputati (in www.gpdp.it, doc. web n. 9308774), dal Segretario generale in riscontro alle ipotesi avanzate all’interno del Gruppo di lavoro “data-driven” per l’emergenza Covid-19, istituito presso la Presidenza del Consiglio dei ministri (nota del 7 aprile 2020, doc. web. n. 9316821).

Essa appare conforme, per quanto dalla stessa disciplinato e nelle sue linee generali, ai criteri indicati dalle Linee guida del Comitato europeo per la protezione dei dati del 21 aprile scorso (doc. web n. 9321621)a proposito dei sistemi di contact tracing, che possono sintetizzarsi nei termini seguenti, raffrontandovi la disposizione in esame:

a) volontarietà: in ragione del rilevante impatto individuale del tracciamento, l’adesione al sistema deve essere frutto di una scelta realmente libera da parte dell’interessato. La mancata adesione al sistema non deve quindi comportare svantaggi né rappresentare la condizione per l’esercizio di diritti. Si apprezza, in tal senso, la previsione di cui al comma 4 dell’articolo, che appare sufficientemente esaustiva, salvo la necessità di precisare, per fugare ogni possibile dubbio interpretativo, che il mancato utilizzo dell’applicazione non comporta conseguenze pregiudizievoli, adottando dunque una locuzione più ampia di quella riferita al solo esercizio dei diritti fondamentali;

b) previsione normativa: il presupposto può individuarsi nell’esigenza di svolgimento di un compito di interesse pubblico, in particolare per esigenze di sanità pubblica, in base a “previsione normativa o disposizione legislativa” dell’Unione europea o degli Stati membri. Sotto questo profilo, in particolare, la scelta di una norma di rango primario soddisfa i requisiti di cui all’articolo 9, par. 2, lett. i) del Regolamento e agli articoli 2-ter e 2-sexies del Codice, con garanzie ulteriori che potranno essere stabilite con il previsto provvedimento del Garante da adottare ai sensi dell’articolo 2-quinquiesdecies del medesimo Codice;

c)  trasparenza: è necessario assicurare il pieno rispetto degli obblighi di trasparenza previsti dal Regolamento nei confronti degli interessati. In linea con tale esigenza  è la previsione di cui all’articolo 1, comma 2, lett. a), della norma che assicura agli interessati un’idonea informazione sul trattamento e in particolare sulla pseudonimizzazione dei dati, mentre si raccomanda all’Amministrazione interessata di sottoporre la valutazione di impatto cui è tenuta al più ampio regime di conoscibilità e di prevedere, anche nella norma, il carattere libero e aperto del software da rilasciare con licenza open source;

d) determinatezza ed esclusività dello scopo: il tracing dev’essere finalizzato esclusivamente al contenimento dei contagi, escludendo fini ulteriori, ferme restando le possibilità di utilizzo a fini di ricerca scientifica e statistica, purché nei soli termini generali previsti dal Regolamento;.

e) selettività e minimizzazione dei dati: i dati raccolti devono poter tracciare i contatti stretti e non i movimenti o l’ubicazione del soggetto. Devono essere raccolti solo i dati strettamente necessari ai fini della individuazione dei possibili contagi, con tecniche di anonimizzazione e pseudonimizzazione affidabili. Anche la conservazione deve limitarsi al periodo strettamente necessario, da valutarsi sulla base delle decisioni dell’autorità sanitaria su parametri oggettivi come il periodo di incubazione. A tal riguardo le disposizioni dello schema di norma su tali aspetti è opportuno che siano ulteriormente articolate in sede di attuazione dal Ministero della salute ai sensi del comma 2, anche con riferimento alla sorte dei dati raccolti sul dispositivo di chi, in un momento successivo all’installazione dell’applicazione, abbia poi deciso di disinstallarla;

f) non esclusività del processo algoritmico e possibilità di esercitare in ogni momento i diritti di cui agli articoli da 15 a 22 del Regolamento;

g) interoperabilità con altri sistemi di contact tracing utilizzati in Europa. Tali caratteristiche di interoperabilità potranno essere assicurate in sede applicativa e, ancor prima, nell’ambito dei provvedimenti di competenza del Ministero;

h) reciprocità di anonimato tra gli utenti dell’app, i quali devono peraltro non essere identificabili dal titolare del trattamento, dovendo la identificazione ammettersi al limitato fine dell’individuazione dei contagiati. La norma, alla lettera e), non specifica chiaramente se si intenda optare per la conservazione dei dati in forma centralizzata ovvero decentrata. In ogni caso, la centralizzazione richiederebbe in sede attuativa  la previsione di misure di sicurezza rafforzate, adeguate alla fattispecie.

RITENUTO

3. In estrema sintesi, dunque, il sistema di contact tracing prefigurato non appare in contrasto con i principi di protezione dei dati personali in quanto:

a) è previsto da una norma di legge sufficientemente dettagliata quanto ad articolazione del trattamento, tipologia di dati raccolti, garanzie accordate agli interessati, temporaneità della misura;

b) si fonda sull’adesione volontaria dell’interessato, escludendo ogni forma di condizionamento della determinazione individuale e, quindi, di disparità di trattamento basate sulla scelta di consentire o meno il tracciamento;

c) è preordinato al perseguimento di fini di interesse pubblico indicati con sufficiente determinatezza ed escludendo il trattamento secondario dei dati così raccolti per fini diversi, salva la possibilità (nei termini generali previsti dal Regolamento) di utilizzo, in forma anonima o aggregata, a fini statistici o di ricerca scientifica;

d) appare conforme ai principi di minimizzazione e ai criteri di privacy by design e  by default, nella misura in cui prevede la raccolta dei soli dati di prossimità dei dispositivi, il  loro trattamento in forma pseudonima, sempre che non sia possibile in forma del tutto anonima, escludendo il ricorso  a dati di geolocalizzazione e limitandone la conservazione al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine;

e) si conforma al principio di trasparenza nei confronti dell’interessato, garantendone la dovuta informazione;

f) ammette l’ulteriore precisazione delle caratteristiche di dettaglio del trattamento e delle misure di sicurezza adeguate da parte del Ministero della salute ai sensi del comma 2 e, per quanto concerne il vaglio di questa Autorità, mediante l’atto di cui all’art. 2-quinquiesdecies del Codice. In tali sedi potranno, inoltre, essere previste le modalità di intervento umano sulla decisione algoritmica, così da soddisfare anche i requisiti di cui all’articolo 22, par. 2, lett. b) – del Regolamento.

L’Autorità auspica che tale misura sia idonea anche a superare il proliferare di iniziative analoghe in ambito pubblico, difficilmente compatibili con il quadro giuridico vigente.

4. Quanto al testo della norma, il Garante non ha particolari perfezionamenti da suggerire, salvo – per le ragioni esplicitate al punto 2 – richiamare l’attenzione sull’opportunità di sostituire, al comma 4, la locuzione “conseguenza in ordine all’esercizio dei diritti fondamentali dei soggetti interessati” con il più ampio “conseguenza pregiudizievole” e di integrare il comma 3 con i riferimenti normativi pertinenti (artt. 5, par. 1, lett. a) e 9, par. 2, lett. j), del Regolamento) e sostituendola parola utilizzati con “trattati”.

In conclusione, quindi, il Garante esprime parere favorevole sullo schema di norma in esame, auspicando, ove condivisi, i mirati interventi integrativi e specificativi dell’Amministrazione interessata in sede applicativa, nei termini prospettati ai punti 2 e 3, e riservandosi ogni valutazione dei profili tecnici del progetto in sede di esame ai sensi dell’articolo 2-quinquiesdecies del Codice.

IL GARANTE

ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, esprime parere favorevole, nei termini di cui in motivazione, sulla proposta normativa concernente il tracciamento dei contatti fra soggetti tramite apposita applicazione sui dispositivi di telefonia mobile, con le osservazioni di cui ai punti 2, 3 e 4.

Roma, 29 aprile 2020

IL PRESIDENTE Soro
IL RELATORE Soro
IL SEGRETARIO GENERALE Busia

Fonte: Garante Privacy